Firewalld防火墙

最新推荐文章于 2024-05-10 10:30:51 发布
最新推荐文章于 2024-05-10 10:30:51 发布
阅读量166 收藏 1
点赞数
文章标签: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scumy/article/details/94615667
版权

Firewalld防火墙

简述

防火墙是一个隔离工具,主要工作在主机或者网络的边缘。
对于进出本机或者网络的报文根据事先定义好的网络规则进行检测。
对匹配的报文进行相应处理

  • 主机防火墙
  • 网络防火墙

防火墙概念图

在这里插入图片描述

四表五链

  • 四表(功能)
    filter:过滤,防火墙
    nat:网络地址转换
    mangle:拆分报文,做出修改,再封装起来
    raw:关闭nat表上启用的链接追踪功能
  • 五链
    PREROUTING
    INPUT
    FORWARD
    OUTPUT
    POSTROUTING

报文走向

接收报文:
PROROUTING
INPUT

发送报文:
OUTPUT
POSTROUTING

报文转发:
PROROUTING
FORWARD
POSTROUTING

表上都有那些链

  • filter:INPUT,FORWARD,OUTPUT
  • nat:PREROUTING(DNAT),OUTPUT,INPUT,POSTROUTING(SNAT)
  • mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
  • raw:PREROUTING,OUTPUT
修改规则思考点

实现什么功能,判断在哪个表上做出修改;
报文流向路径,判断在哪个链上做出修改。

链管理
代码说明
iptables -F清空某表的规则
iptables -X删除所有自定义的链
iptables -N创建新的自定义链
iptables -P设置链的状态
规则管理
  • 查看防火墙规则
[root@sonw ~]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
3    INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
4    INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
5    INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
6    DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
7    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
...

-A 将新的规则追加于指定链的尾部

[root@sonw ~]# iptables -t filter -A INPUT -d 192.168.77.153 -p icmp -j REJECT
## 在filter表INPUT链上,目标地址为192.168.77.153,协议为icmp的,动作:黑名单
## 拒绝ping 192.168.77.153

-I 将新规则插入至指定链的位置

[root@sonw ~]# iptables -t filter -I 1  INPUT -d 192.168.77.153 -p icmp -j REJECT
## 将这条规则插入到INPUT链的1号位置

-D 删除指定链上的指定规则

[root@sonw ~]# iptables -D INPUT 1
## 删除INPUT链上的一号规则(没有指定表,默认为:filter)

网络防火墙

在这里插入图片描述
设置客户端允许ssh连接主机
客户端访问web端设置的防火墙

[root@sonw ~]# iptables -A INPUT -s 172.16.19.2 -d 192.168.10.2 -p tcp --dport 22 -j ACCEPT

web端回复客户端的防火墙

[root@sonw ~]# iptables -A INPUT -s 192.168.10.2 -d 172.16.10.2 -p tcp --dport 22 -j ACCEPT

路由转发

开启路由转发功能需要修改内核参数

  • 临时修改
[root@sonw ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
  • 永久修改
[root@sonw ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@sonw ~]# sysctl -p
  • 备份防火墙配置
[root@sonw ~]# iptables-save > /etc/sysconfig/iptables
  • 恢复防火墙配置
[root@sonw ~]# iptables-restore < /etc/sysconfig/iptables

DNAT/SNAT

想要内网ping通外网或者外网ping通内网
路由转发功能必须要开启

  • 原地址为192.168.20.2,经过防火墙转换成172.16.100.1(SNAT:原地址转换)
[root@sonw ~]# iptables -t nat -A POSTROUTING -s 192.168.10.2 -d 172.16.100.2 -j SNAT --to-source 172.16.100.1
  • 访问目标地址为172.16.100.1,基于tcp协议80端口转发给192.168.10.2的77端口(DNAT:目标地址转换)
[root@sonw ~]# iptables -t nat -A PREROUTING -s 172.16.100.2 -d 172.16.100.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.2:77
First.snow
关注
firewalld防火墙设置详解
悦分享
01-08 990
Centos7以上的发行版都试自带了firewalld防火墙的,firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。
主机到虚拟机22端口不通_VirualBox虚拟机服务无法访问——No route to host 问题分析...
weixin_39805734的博客
12-01 1786
今天学习ansible自动部署,在自己的笔记本上用virtualBox启动了2台虚拟机,用来模拟ansible controller(ip:192.168.128.141)与target server(ip:192.168.128.143)。在ansible controller上运行playbook,playbook会在target server上部署一个简单的Flask服务。该服务监听5000...
Linux——Firewall防火墙firewalld与iptables两种管理方式)_firewalld路由 透明代理(1)
最新发布
m0_60667010的博客
05-10 783
的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!
firewalld路由转发功能(snat和dnat)
Coastline98的博客
05-02 2731
因为自己在配置时出现一些莫名其妙的问题,如ping不通,理由转发不成功等; 环境准备:3台主机,提前下载好httpd服务 关闭防火墙systemctl stop firewalld setenforce 0 systemctl status firewall 确认为dead getenforce 查看确认为disabled 1.主机1:提前下载好httpd,配置网卡为仅主机模式 认为该主机是内网主机 在实际生产工作中大部分看到的ip地址一般只到网段,这部分即可确认地区城市..........
linux防火墙配置
weixin_47600479的博客
09-29 4264
一,安装并启动防火墙 [root@linux ~]# /etc/init.d/iptables start 当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以CentOS为例,文件地址是/etc/sysconfig /iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个文件就行了。 1.加载模块 /sbin/modprobe ip_tables 2.查看规则 iptables -L -n -v 3.设置规
Iptables(2) - iptables命令的基本用法
weixin_33701564的博客
07-16 575
一、iptables命令 iptables是一个规则管理工具. 具有添加、修改、删除和显示等功能. 规则和链都有计数器: pkts: 由规则或链所匹配到的报文的个数 bytes: 由规则或链匹配到的所有报文大小之和 1.1 用法 用法: $ iptables [-t table] SUBCOMMAND CHAIN CERTERIA -j TARGET -t table: filter na...
CentOS firewalld笔记
hknaruto的专栏
10-28 619
默认配置下,iptables filter规则 Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Linux日常运维3 iptables规则保存备份 firewalld service crontab chkconfig systemd unit
xou6363的博客
06-13 551
1、iptables规则保存和备份service iptables save 规则保存到/etc/sysconfig/iptablesptables如果不使用service iptables save命令,则重启之后规则会全部消失。如果想启动服务就让有规则,就把iptables保存在/etc/sysconfig/iptablesiptables-save &gt; /tmp/my.ipt ipta...
Firewalld防火墙基础
rqaz123的博客
05-23 312
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
Fedora 31 上部署kubernetes 单机集群,宿主服务器重启后,dashboard不能启动故障分析
hknaruto的专栏
08-26 907
查看kube-system pods状态 [yeqiang@harbor ~]$ kubectl get pods -n kube-system NAME READY STATUS RESTARTS AGE coredns-65dbdb44db-xmll6 0/1 Running 10 5d18h dashb
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 686
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
Calico
weixin_34318326的博客
03-14 165
0. 组件版本docker-1.13.1calico-v1.0.2 1. 安装calico(已安装etcd、docker)a.创建/etc/calico/calicoctl.cfgapiVersion: v1kind: calicoApiConfigmetadata:spec: datastoreType: "etcdv2" etcdEndpoints: http://192.168.56....
iptables防火墙(四表五链)
daxiongbaobei的博客
08-03 338
iptables防火墙Linux包过滤防火墙概述iptables的表、链结构规则链默认包括5中规则链规则表默认包括4个规则表默认的表、链结构示意查看规则列表规则的匹配条件常用的隐含匹配条件 Linux包过滤防火墙概述 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"内核态" iptables ​ 位于/sbin/iptables,用来管理防火墙规则的工具 ​ 称为Linux防火墙的"用户态" 包过滤的工作层次 ​ 主要是网络层,针对IP数据包 ​ 体现在对包内的IP
[问题已处理]docker中2个网桥互ping不通
爷来辣的博客
09-26 1955
两个网桥 br-65f和docker0 分别以2个网桥启动了一个busybox:latest 但是互相ping不通 后来发现是防火墙配置的问题 iptables -nvL |grep DROP 删除对应的规则 [root@izbp18yjhaftfs1kndfnjrz ~]# iptables -L INPUT --line-numbers Cha...
测试贴
chengxun9611的博客
05-30 144
> [```_](http://- 这里是列表文本) > ___强调_ _dfdfdfdf**sdsd**_ > sdsd > _强调_ _sdsd__sdsdsd_ > _[root@lgs-02 htdocs]# iptables -nvL_ > C...
七周五次课(1月26日) 10.19 iptables规则备份和恢复 10.20 firewalld的9个zone 10.21 firewalld关于zone的操作 10.22 firewalld关于...
weixin_30565327的博客
01-26 148
七周五次课(1月26日)10.19 iptables规则备份和恢复10.20 firewalld的9个zone10.21 firewalld关于zone的操作10.22 firewalld关于service的操作 ============================================================================================...
Linux日常运维(二)
变成习惯
06-13 2833
10.4 Linux的防火墙 SELinux SELinux是linux系统特有的安全机制,这种机制限制较多,配置也比较繁琐,所以一般把SELinux关闭。 查看selinux的状态有两种方法: getenforce命令可查看selinux状态: # getenforce Enforcing /usr/sbin/sestatus也可查看selinux状态: # /usr/sbin/sest...
firewalld防火墙
03-29
Firewalld是Linux系统中的一个防火墙管理工具,它可以控制网络流量的进出,并允许或阻止特定的网络连接。Firewalld是Red Hat Enterprise Linux(RHEL)7及更高版本的默认防火墙解决方案,它也可以在其他Linux发行版...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值