iptables、firewall、selinux

最新推荐文章于 2024-02-27 17:42:44 发布
最新推荐文章于 2024-02-27 17:42:44 发布
阅读量153 收藏
点赞数
分类专栏: linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43403454/article/details/114047763
版权
本文详细介绍了CentOS 6与7中iptables和firewalld的使用,包括规则设置、端口开放、服务控制等。同时,探讨了SELinux的强制访问控制功能及其配置,提供了一系列命令行操作示例,帮助理解与管理系统的安全策略。
摘要由CSDN通过智能技术生成

iptables firewall selinux

centos 6中常用iptables

iptables用于过滤数据包,属于网络层防火墙,设置iptables后需要重启iptables,会破坏数据链接,可能需要重新启动程序。配置文件/etc/sysconfig/iptables

service iptables [ stop | start | status | restart ]
chkconfig iptables off | on  #开机不自启和自启
iptables -L                  #查看防火墙设置
iptables -A INPUT -p tcp  --dport ssh -j        #允许ssh端口传入数据
iptables -A INPUT -p tcp  --dport 22 -j ACCEPT  #开放端口
iptables -A INPUT -p tcp  --dport 22 -j DROP    #关闭端口
iptables -A INPUT -p udp  --dport 30001:30004 -j ACCEPT  #添加多个端口
iptables -A INPUT -s 192.168.12.12 -j           #禁止某个IP地址访问
iptables -D INPUT  3   #删除第3条规则
iptables -vnL            #查看禁用的IP
iptables -F         #清除所有添加的防火墙规则
service  iptables  save    #将iptables规则写入文件保存/etc/sysconfig/iptables

-p  设置默认策略
-F  清空策略链
-L  查看规则链
-A  在规则链的末尾加入新的规则
-I  在规则链的头加入新的规则
-D  删除某一条规则链
-s  匹配来源地址IP/MASK,加!表示除这个之外
-d  匹配目标地址
-i  网卡名,匹配这块网卡流入的数据
-o  网卡名,匹配这块网卡流出的数据
-p  匹配协议,如tcp、udp、icmp

常用显示匹配:
	多端口匹配:
	-m  multiport  --sport   源端口列表
	-m  multiport  --dport   目的端口列表
	IP范围匹配:
	-m  iprange  --src-range   IP范围
	MAC地址匹配:
	-m  mac  -macl-source   MAC地址
	状态匹配:
	-m  state  --state   连接状态

centos7中默认使用firewall,取代iptables

yum install iptables-services   #安装iptables使用

vim /etc/sysconfig/iptables-config   #iptables配置文件

systemctl restart iptables.service   #重启
systemctl enable iptables.service   #开机自启
[start | restart | stop | status | disable | enable] #开启,重启,停止,状态,关闭自启,开机自启		

firewall可以允许哪些服务可用,端口可用,底层使用iptables进行数据过滤,建立在iptables之上,动态防火墙,修改配置不会破坏已有数据链接

yum install firewall
yum install firewall-config  #图形界面安装
firewall-cmd command   #命令模式
firewall-config        #进入图形模式
firewall-cmd  --state  #查看状态
systemctl stop firewalld.service     #停止firewall
systemctl disable firewalld.service  #禁止firewall开机启动  [ start | restart | stop | status | disable | enable ]

firewall-cmd  --reload             #重新加载firewall配置
firewall-cmd  --completely-reload  #更新规则,重启服务
firewall-cmd  --list-all
firewall-cmd  --get-service       #查看所支持的服务,服务之间以空格隔开
firewall-cmd  --get-active-zones  #查看已激活的zone信息

	zone值指定:
		drop      丢弃所有进入的包,不给出任何响应
		block     拒绝所有外部发起的连接,允许内部发起连接
		public    允许指定的进入连接
		external  允许指定连接,对伪装的进入连接,一般由路由转发
		dmz       允许受限制的进入连接
		work      允许受信任的计算机被限制的进入连接
		trusted   信任所有连接
	
firewall-cmd  --zone=public  --add-port=80/tcp --permanent     #开启80端口 --permanent表示永久生效,不加表示临时有效
firewall-cmd  --zone=public  --remove-port=80/tcp --permanent  #删除80端口
firewall-cmd  --permanent --zone=public --add-port=100-500/tcp #添加多个端口
firewall-cmd  --zone=public  --add-service=https  --permanent  #开启https服务
firewall-cmd  --zone=public  --remove-service=https  --permanent  #关闭https
firewall-cmd  --zone=public --list-ports     #查看所有开启的端口
firewall-cmd  --zone=public --list-services  #查看所有开启的服务
firewall-cmd  --zone-public --add-forward-port=port=22:proto=tcp:toport=80            #将tcp22端口转发至80
firewall-cmd  --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.1   #将22端口数据转发到另一个ip相同的端口上
firewall-cmd  --zone=public --add-forward-port=port=22:proto=tcp:toport=90:toaddr=192.168.1.2  #将22端口数据转至另一IP的90端口上
firewall-cmd  --panic-on     #开启应急模式阻断所有网络连接
firewall-cmd  --panic-off    #关闭应急模式
firewall-cmd  --query-panic  #查看应急模式的状态

# 针对某个 IP开放端口
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.233" accept"
 
# 删除某个IP
firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.51" accept"
 
# 针对一个ip段访问
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept"

selinux对于强制访问控制的实现

配置文件/etc/selinux/config,另一个链接文件/etc/sysconfig/selinux
使用config文件配置selinux(状态永久修改,系统重启才生效)
	SELINUX=enforcing  #状态
	enforcing启用 disabled关闭,直接在文件中修改
	SELINUXTYPE=targeted  #定义使用什么策略模块保护系统,默认政策,针对网络服务限制较多,仅针对本机限制较少
	SELINUXTYPE=minimum   #针对选择的程序来保护
	SELINUXTYPE=mls       #完整的SELinux限制,限制比较严格
常用命令
	#sestatus    #查询selinux工作状态
	#selinuxenabled
	#echo $?     #检查selinux是否开启,返回值0为开启,1关闭
	#getenforce  #查看selinux状态
	#setenforce  0   #设定运行状态0或1,enforce开启(1)permissive关闭(0)

ls -Z  查询文件或目录的安全上下文
	例:system_u : object_r : public_content_t : s0
		用户       角色     类型        级别
restorecon  将文件或目录安全上下文恢复到默认值
	-v   打印过程
	-R   递归操作
semanage  fcontext -l  | grep /var/ftp    查询ftp服务selinux默认目录的安全上下文
chcon   修改文件的安全上下文
	-u    修改安全上下文件的用户字段
	-r    修改安全上下文的角色字段
	-t    修改安全上下文的类型字段
	-l    修改安全上下文的级别字段
	--reference  修改与指定文件或目录一致的安全上下文
	-R    递归
	-h    修改软连接安全上下文,不加则修改软连接对应文件
	chcon  -t  public_context_t  -R  /document  临时修改
semanage fcontext –a –t  安全上下文   /目录"(/.*)?"      添加目录的默认安全上下文
restorecon   恢复selinux文件属性的安全上下文
	-i   忽略不存在的文件
	-e   排除目录
	-F   强制恢复文件安全语境
诚以释然
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos系统Linux系统防火墙iptables,firewall,selinux策略管理
随心分享
08-19 507
Linux系统-防火墙策略管理 文章目录Linux系统-防火墙策略管理一、iptables二、firewall三、selinux 一、iptables (一)iptables防火墙介绍 1.防火墙介绍 作用: 提供一道保护性的安全屏障,起到保护隔离作用,隔离公网和私网之间 分类:硬件防火墙 软件防火墙 程序:RHEL6以下iptables命令,RHEL7以上firewalld命令 firewalld底层是调用包过滤防火墙iptables 包过滤防火墙:工作在3层,对ip包进行过滤处理 2. i.
【原创】Centos7.0 中的中iptablesfirewallSELINUX
GengLUT
12-08 7374
【原创】Centos7.0 中的中iptablesfirewallSELINUX 缘由 今天在学习UDP组播通信是,两台主机之间不能顺利通信。 A机 - Ubuntu12.04,B机 - Centos7.0,相互之间可以ping通。 A作为发送端,B作为接收端,B接收不到数据。 B作为发送端,A作为接收端,A可以接收数据。 原因:B机的防火墙的问题,关闭了防火墙之后
SELinux防火墙firewalliptables)
尘埃落定
04-29 1244
#一、SELinux 一套强化linux安全的MAC扩展模块,由美国国家安全局主导开发,集成在内核中(2.6及以上),操作系统提供可定制的策略,管理工具。 安全保护模型: DAC 自主访问控制 (Discretionary access control 所有者对自己的资源负责) 典型的DAC应用: 9位权限码(rwx); ACL 策略 MAC 强制访问控制 MAC 可以针对特定的进...
iptablesfirewall-selinux
qq_33214236的博客
08-23 451
一、Iptables防火墙 三表五链: 三表: filter过滤表 nat转换表 mangle表 五链: PREROUTING—>在进行路由选择前处理数据包 INPUT—>处理流入的数据包 FORWADR—>处理转发的数据包 OUTPUT—>处理流出的数据包 POSTRO
iptables-firewall-selinux
Z的博客
10-15 348
iptables firewalls selinux
CentOS关闭防火墙
02-29
在Hadoop安装过程中需要关闭 防火墙SElinux 及其配置文件设置
虚拟机考试2_答卷和错误情况
10-14
- **firewalld或iptables**:检查防火墙规则,如`firewall-cmd --list-all`或`iptables -L -n -v`,确保没有阻止8080端口的规则。 8. **虚拟机B的优化**: - **密码重置**:参照上述密码破解方法,但需注意不同...
iptbles工具书
06-25
- **iptables起源**:iptables的前身叫做ipfirewall,最初由艾伦·考克斯于1994年从FreeBSD移植到了Linux 1.1版本中。随着时间的发展,iptables已经成为Linux系统中的一个重要的网络工具,用于管理和控制网络数据包...
DSS流媒体服务器
06-16
关闭iptablesselinux CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。 1、关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止...
centos7配置APache+PHP+mysql[归纳].pdf
10-11
将 `SELINUX=enforcing` 注释掉,并添加 `SELINUX=disabled`。然后,重启系统以生效: `setenforce 0` 二、安装 Apache 安装 Apache 服务: `yum install httpd` 安装完成后,Apache 服务以 `httpd` 服务的形式...
iptable和selinux下的FTP
03-29
开启iptablesselinux会使很多服务都无法正常提供服务,再次我就FTP的selinuxiptables总结一下。
IptablesFirewall-selinux
weixin_30851409的博客
10-30 140
一、Iptables防火墙 ---------- **三表五链:**三表: filter过滤表 nat转换表 mangle表五链: PREROUTING--->在进行路由选择前处理数据包 INPUT--->处理流入的数据包 FORWADR--->处理转发的数据包 OUTPUT--->处理流出的数据包 POSTROUTING---&g...
iptablesSELinux解析
weixin_34144450的博客
09-26 247
防火墙,顾名思义,是用于防止一些可能造成的威胁对操作系统造成破坏,为了保护系统而采取的一种防护措施,将威胁挡在防火墙外;iptables防火墙命令,用于编写netfilter规则,将其送入内核空间,当报文从内或外传输时,对内核空间的规则进行匹配,由上到下,匹配到的第一条规则后,就不再匹配下面的规则,防火墙的这种匹配方式称之为首项匹配;防火墙有几种分类方式一种是软硬件防火...
firewalliptablesselinux
最新发布
qq_49041944的博客
02-27 306
或sed -i ‘s/\(SELINUX=\)[a-z].*/\1disabled/’ /etc/selinux/config。sed -i 's/enforcing/disabled/' /etc/selinux/config # 永久。5个链:input、output、prerouting、postrouting、forward。--sport:源端口、--dport:目标端口、-j:动作。POSTOUTING链 :用于源地址转换(SNAT)。-p:指定协议、-s:源ip、-i:网卡、-t:指定表。
防火墙 SELinux,netfilter, iptables,firewalld
李向东的专栏
11-09 668
10.12- 10.22 SELinux,netfiler5表5链,iptables语法, firewalld的zone和service SELinuxselinuxLinux特有的安全机制,但是因为配置太麻烦,所以几乎没有人真正的应用它。安装完系统后我们一般会选择关闭selinux。setenforce 0 //临时关闭,但是重启后会失效//永久关闭需要更改配置文件 /etc/selinux/c
Linux selinuxiptablesfirewalld
weixin_42742817的博客
10-14 164
Linux 内核添加额外的强制访问控制机制。
selinuxiptablesfirewalld相关介绍
weixin_47019016的博客
11-09 2681
selinuxiptablesfirewalld详解selinuxiptablesfirewalld firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结 构以及使用方法不一样罢了。 selinux iptables firewalld ...
iptablesselinux
my_chenjie的博客
09-18 352
iptablesselinux 1、直接关闭防火墙 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、设置 iptables service yum -y install iptables-services 如果要修改防火墙配置,如增加防火墙端...
系统安全博客1-iptables防火墙selinux安全机制配置
weixin_42566183的博客
02-03 260
文章目录1.iptables防火墙配置2.开启SELinux(永久开启,需要设置 /etc/sel inux/config配置文件)4.SELinux放行SSH端口5.设置Web目录权限 1.iptables防火墙配置 最小化防火墙规则:配置防火墙, 拒绝所有端口,只放行SSH, HTTP这两个必要的端口。 [root@localhost ~]# iptables -F [root@localh...
关闭selinuxiptables
08-24
关闭iptables可以通过在系统管理中选择Firewall的Disable来实现,但有时候即使选择了Disable,系统仍然显示为Enable。可以尝试重启系统来使其生效。关闭selinuxiptables的操作需要谨慎,并且需要确保系统仍然有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值