linux的火墙策略优化

最新推荐文章于 2024-04-23 18:35:19 发布
最新推荐文章于 2024-04-23 18:35:19 发布
阅读量157 收藏
点赞数
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowysumi/article/details/114434139
版权

linux的火墙策略优化

实验环境

三台主机, 一个双网卡 ,两个单网卡
双网卡主机设定两个网段,192.168.43.100(和windows一个网段),172.25.254.100
单网卡主机 172.25.254.200
单网卡主机 192.168.43.79

数据库管理原理

iptables用来管理netfilter这个包,netfilter是内核上面数据过滤的一个插件。
iptables{firewalld iptables}两种控制方式。
企业七之前没有firewalld
iptables更趋近于对表格的管理,会精确到表得到每一条连接

火墙管理方式的切换

  • 从firewall切换到iptables

     dnf install iptables-services -y
 systemctl stop firewalld
 systemctl disable firewalld 
 systemctl    mask firewalld

 systemctl  enable   --now  iptables      ##此时就已经切换到iptables管理
 iptables -nL用来查看

在这里插入图片描述
在这里插入图片描述

  • 从iptables切换到firewall
    systemctl stop iptables
    systemctl disable --now iptables
    systemctl mask iptables
    systemctl unmask firewalld
    systemctl enable --now firewalld

在这里插入图片描述

关于firewalld的域

trusted 			##接受所有的网络连接
home  				##用于家庭网络,允许接受ssh mdns ipp-client samba-client  dhcp-client
work  				##工作网络  ssh  ipp-client dhcp-client
public  			##公共网络  ssh  dhcp-client
dmz  				##军级网络  ssh
block  				##拒绝所有
drop  				##丢弃,所有数据全部丢弃无任何回复
internal  			##内部网络  ssh madn  ipp-client samba-client dhcp-client
external  			##ipv4网络地址伪装转发 sshd

firewalld的管理方式

firewalld用域来进行管理,域就是管理的集合,在/etc/firewalld/zones中有文件,删掉这些文件相当于使用了命令进行了管理删除
把域设定成不同的样子,能访问的也不同

firewall-cmd --state  							##查看火墙状态
firewall-cmd --get-default-zone  				##查看默认域
firewall-cmd --get-active-zone 					##查看当前火墙中生效的域
firewall-cmd  --list-all  						##查看默认域中的火墙策略
firewall-cmd --list-all  --zone=work  			##查看指定域中的火墙策略
firewall-cmd --list-all-zones 					##列出所有域的信息
firewall-cmd --get-zones	 					##查看可以用的域
firewall-cmd --set-default-zone=trusted			##设定默认域,改了就生效,而且是永久的。但是在/etc/firewalld/zones中并没有显示出来。
firewall-cmd --permanent --add-service=ssh		##当我们添加一个设备的时候才会出现文件。实际上在我们更改域的时候,他是在/lib/firewalld中进行变化的。

--permanent的意思就是永久更改,并且保存在/etc/firewalld/zones中。

firewall-cmd --get-services						##查看所有允许的服务
firewall-cmd  --add-service=http				##改了就生效,在浏览器可以访问生效,但是这是一次性的
firewall-cmd --reload    ##输入此命令之后,上述修改就会消失
firewall-cmd  --permanent   --add-service=http	##使用此命令进行永久修改,修改之后需要进行reload
firewall-cmd --reload            				 ##输入此命令让上述命令生效
firewall-cmd  --permanent --remove-service=http   ##移除服务

端口:
vim /etc/httpd/conf/httpd.conf
8080
systemctl restart httpd
netstat -antlupe | grep httpd
firewall-cmd  --permanent --add-service=http       ##开启了httpd服务,但是在/lib/firewalld/services/http.xml中默认的端口是80
firewall-cmd   --reload
firewall-cmd  --list-all				##此时在浏览器访问是不能访问到的
firewall-cmd  --permanent --add-port=8080/tcp
firewall-cmd   --reload
firewall-cmd  --list-all				##此时在浏览器中可以访问到
firewall-cmd  --permanent --remove-port=8080/tcp   ##取消这个端口


firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block   
firewall-cmd   --reload
firewall-cmd  --list-all --zone=block
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block

firewall-cmd  --permanent  --remove-interface=ens192 --zone=public
firewall-cmd  --permanent  --add-interface=ens192 --zone=trusted
 firewall-cmd   --reload
 firewall-cmd  --list-all
 firewall-cmd  --list-all  --zone=trusted

firewall-cmd  --permanent  --change-interface=ens192 --zone=public  ##一次性修改,不用先移除。

在这里插入图片描述

在这里插入图片描述##火墙打开了,这些服务都保存在/etc/firewalld/zones这个目录中

在这里插入图片描述
在这里插入图片描述
##查看可用的域

在这里插入图片描述

在这里插入图片描述
##部署实验内容
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

火墙的三张表五条链及高级规则

某一个服务,只让某一个人不能访问,或者只能让某一个人访问。
火墙的内部规则,有三张表五条链。
在这里插入图片描述
在这里插入图片描述

  • 高级规则

     firewall-cmd --direct --permanent   --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 192.168.43.200 -j REJEC
  					 ##不允许ip为192.168.43.200的这个主机访问端口为80的服务
 firewall-cmd   --reload
 firewall-cmd  --direct --get-all-rules    ##查看规则

    snat 172.25.254.0/24网段访问192.168.43.0/24
    dnat 192.168.43.0/24网段访问172.25.254.0/24

    原地址转换:
    在双网卡主机中:
    打开地址伪装:

     firewall-cmd  --permanent  --add-masquerade
 firewall-cmd   --reload
 firewall-cmd   --list-all

    打开内核路由功能:

     sysctl -a | grep ip_forward       ##如果是1,就表示已经打开,如果没开表示这个双网卡不在一个网段,是不能通信的,这个要可以通信依赖于一个内核路由功能
 	
 vim  /etc/sysctl.conf				##如果是0,就编辑这个而文件为1
 sysctl -p  让其生效

    网关就是在双网卡中和单网卡属于同一个网段的ip。如果是172.25.254.9到192.168.43.200,我们就应该在192中设定网关192.168.43.100:

     route -n  ##查看网关
 ip  route  add default via 192.168.43.100   ##临时添加网关,网卡重新启动,就会不见。

    此时设定完成,在192单主机中。ping 172.25.254.9的单网卡主机,可以ping通,且可以连接ssh这个172.25.254.9
    切换到172.25.254.9可以用w - i 查看是谁连接了他,此时 发现是172.25.254.100.

    目的地地址转换:
    此时使用ssh @root172.25.254.100,发现真的连接到了172.25.254.100,但是我们需要转接到192.168.43.200,172.25.254.100只是有一个转接的作用,这就是目的地地址转换:

     firewall-cmd --permanent  --add-forward-port=proto=tcp:port=22:toport=22:toaddr=192.168.43.200
 firewall-cmd --reload
 firewall-cmd --list-all

    此时在172.25.254.9上ssh root@172.25.254.100 发现连接到了192.168.43.200

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

iptables命令的基本使用方法

systenctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
systemctl enable iptables.service

 /etc/sysconfig/iptables   			##这个是他的策略文件

iptables -nL  					    ##查看,n表示不做解析
iptables -F							##刷新
systemctl restart iptables.service  ##重启
iptables  -nL						##查看,发现没有保存之前的火墙策略。 
iptables-save > /etc/sysconfig/iptables
service iptables save 	 			##刷新之后,可以用这两种保存的方式,保存下来。

默认策略的5条链:
input   		##输入
output  		##输出
forward 		##转发
postrouting  	##路由之后
prerouting  	##路由之前

 默认的3张表:
 filter  		##经过本机内核的数据(input,output,forward)
 nat  			##不经过内核的数据(input,output,postrouting,prerouting)
 mangle  		##当上面的两个表不够用的时候使用

iptable命令
iptables
		 -t   ##指定表的名称
		 -n   ##不做解析
		 -L	  ##查看
		 -A   ##添加策略
 		 -p   ##协议
         --dport  ##目的地端口
		 -s   ##来源
		 -j   ##动作 
			# ACCEPT允许
			#DROP丢弃
			#REJECT拒绝
			#SNAT原地址转换
			#DNAT目的地址转换
	  	-N 			##新建链
		-E 			#更改链名称
		-X 			##删除链
		-D			##删除规则
		-I 			##插入规则
		-R 			##更改规则
		-P  		##更改默认规则

iptables -t filter -nL
iptables -t mangle -nL
iptables -t nat -nL

iptables -A INPUT -p tcp  --dport 22 -j ACCEPT				 ##22端口的服务被允许
iptables -I INPUT 1 -p tcp --dport 22 -s 172.25.254.200  -j  REJECT	
															 ##将这个命令插入到第一条,表示200这个用户不能使用这个命令。
iptables -D INPUT 2
iptables -R INPUT 1 -p tcp --dport 22 -s 172.25.254.200  -j DROP  ## 这个状态不能用ssh连接,数据包丢失了
iptables -R INPUT 1 -p tcp --dport 22 -s 192.168.43.222  -j REJECT
iptables -N westo新建链接
iptables -E westo westos更改
iptables -X westos删除
iptables -P INPUT DROP更改策略,一般都是ACCEPT
iptables -P INPUT ACCEPT

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

iptables中数据包状态的跟踪

数据包的状态:
RELATED表示已经连接过,,ESTABLISHED表示正在连接,new表示新的
火墙的优化:

iptables -F
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j  REJECT
iptables-save > /etc/sysconfig/iptables
service iptables save

在这里插入图片描述
在192.168.43.200中ping 172.25.254.9发现不通,网关已经设定,不通的原因就是双网卡主机的火墙策略没有设定,此时nat,forwart表都是空的
在双网卡之中开启内核功能,之前也已经做过。如果要让192.168.43.200可以Ping172.25.254.9,应该设定一下nat 中的postrouting ,路由之后

iptables -t nat -A POSTROUTING -o ens160 -j SNAT  --to-source 172.25.254.100

ens160表示 从双网卡的172网段出去的网卡名字。所有从ens160这个网卡出去的都吧地址伪装成172.25.254.100
IPtables -t nat -nL
此时在192.168.43.200中ping 172.25.254.9可以ping通
此时在192.200中ssh root @172.25.254.9连接
切换到172.25.254.9中使用w-i查看,是172.25.254.100连接过来的。
此时需要在172.9中连接172.100的时候连接到192.200
这就是dnat

iptable -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 192.168.43.200

##从172.100这个的网卡 进来的都转换到192.200

iptable -t nat -A PREROUTING  ! -s 172.25.254.9 -i ens160 -j DNAT --to-dest 192.168.43.200

##除了172.25.254.9这个ip,其他的从172.100这个的网卡 进来的都转换到192.200
此时在9中ssh root@172.25.254.100

在这里插入图片描述在这里插入图片描述

snowysumi
关注
firewall
weixin_45436958的博客
08-16 948
firewall-cmd --get-services cd /usr/lib/firewalld/services cp -p nfs.xml iscsi.xml vim iscsi.xml firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.34 -p tcp --dport 22 -j ...
Linux火墙策略优化
weixin_43803940的博客
08-08 400
实验环境准备 westosa: 双网卡(vim 两个文件 ifcfg-ens3 ifcfg-ens9) 设定两个网段: 网卡1:172.25.254.112 网卡2:1.1.1.112 westosb: 单网卡:1.1.1.212 真机: 172.25.254.12 1.火墙介绍 火墙:在内核上安装的一个数据过滤表(数据过滤插件)——netfilter,管理策略。 通过iptables或firewalld来管理iptables这个插件 1.netfilter 2.iptabl...
Linux----防火墙firewalld与iptables两种管理方式)
yunyuzhu的博客
08-18 1019
一、防火墙的基本信息 1、定义: 防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。 2.管理防火墙的两种方式: (1)firewalld管理火墙的工具,相对简单 (2)iptables复杂,功能强大 3.防火墙的三表五链 Filter表:过滤数据包,...
『2-8』Linux之防火墙策略优化
qq_39679699的博客
03-03 623
1.火墙介绍firewalld 1.火墙介绍 netfileter iptables iptables|firewalld 2.火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld -----> iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --.
linux系统中部署防火墙服务
hiro
05-21 4548
火墙:一.图形化配置防火墙firewall-config使用命令配置防火墙1. systemctl start firewalld    打开防火墙2. firewall-cmd --state         查看防火墙状态3. firewall-cmd --get-active-zones  查看正在使用的域4. firewall-cmd --get-default-zone   查看默认...
服务运维篇-通过防火墙抵御渗透扫描
最新发布
qq_30294911的博客
04-23 410
这段时间为应对渗透攻击(GFYL),各服务都要做好端口控制,为此分享和记录工作中的一个方法,希望对各位有这问题的人有所帮助。
Linux中的火墙策略优化
lxyfeliciali的博客
03-03 700
Linux中内核级加强型火墙的管理 实验环境: 两台主机 一台主机是双网卡 设定成两个网段 172.25.254.101 192.168.0.101 一台主机是单网卡(192网段) 192.168.0.201 一台主机ip: 172.25.254.201 要求同一个网段要能互相ping通 ...
2.8 Linux火墙策略优化
黑羽冰音的博客
03-02 213
FirewallD与iptables的操作方法,火墙三张表及其策略的管理.
3.7 linux火墙策略优化
WHDCCDJA的博客
08-12 298
什么是防火墙? 防火墙是位于内部网和外部网之间的屏障,其作用是保护服务器安全。
3-7.linux中的火墙策略优化
wonderful10的博客
12-08 89
1.火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 2.火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --now iptables i
CentOS7系列之Firewalld防火墙常用命令操作
liyuanjie的博客
03-10 1556
CentOS7 Linux系统firewall火墙firewall-cmd常用命令操作详解
Centos7 Firewall火墙配置应用实例参考
weixin_33918357的博客
06-01 203
简单的配置,参考学习:--permanent当设定永久状态时 在命令开头或者结尾处加入此参数,否则重载或重启防火墙后设置失效!开放端口:# firewall-cmd --zone=public --add-port=80/tcp --permanent# firewall-cmd --zone=public --add-port=22/tcp --permanent可以一...
Linux之防火墙篇(包括firewalld、iptables)详解
qq_41830712的博客
02-25 1506
一、firewalld 1、什么是firewalld? firewalld是一个动态防火墙后台程序,它提供了一个动态管理的防火墙用于支持“zones“,以分配对一个网络及其相关链接和界面的一定程度的信任。它具备对IPv4和IPv6防火墙设置的支持。支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewal...
Centos7配置firewalld防火墙
xixixilalalahaha的博客
07-23 506
简介 firewalld提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口 firewall daemon可实现动态管理防火墙,不需要重启整个防火墙便可应用更改,但要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的 另外,firewall daemon 无法解析由 iptables 和 e
如何在 Linux 中配置 firewalld 规则
liuxiang66666的博客
12-29 1211
通过使用选项"--zone”和“--change-interface”的组合,可以轻松更改zone中的接口。它提供了一个动态管理的防火墙,带有一个非常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。每个zones都可以按照指定的标准进行配置,以根据你的要求接受或拒绝某些服务或端口,并且它可以与一个或多个网络接口相关联。Firewalld 服务配置是预定义的服务,如果启用了服务,则会自动加载。富规则允许使用易于理解的命令创建更复杂的防火墙规则,但丰富的规则很难记住,可以查看手册。
firewall安全策略
记录成长,分享收获。
01-30 1409
firewall安全策略Firewall代替iptables有更加人性化的操作方式,使得防火墙规则的配置变得非常的简单。Firewall可以简单地使用firwall-cmd --permanent --add-port=80/tcp开放一个端口,但是很快发现这个格式并不能设置请求来源的IP。查阅很多资料发现如下命令firewall-cmd --permanent --add-rich-rule ...
# Linux命令之firewall-cmd
超级无敌棒棒糖
07-27 3945
CENTOS 7 FIREWALLD详解及添加删除策略 文章目录CENTOS 7 FIREWALLD详解及添加删除策略一、CENTOS7中FIREWALL火墙二、防火墙配置文件三、CENTOS7的FIREWALLD开启端口/IP、屏蔽IP四、FIREWALLD防火墙 禁止/限制 特定用户的IP访问,DROP和REJECT区别 原文链接:https://www.cnblogs.com/faithH/p/11811286.html 一、CENTOS7中FIREWALL火墙 修改防火墙配置文件之前,需要对
深入解析Linux系统性能优化策略
Linux系统性能优化中,关键在于理解影响系统性能的各种因素,并采取相应的优化策略。这些因素主要包括系统硬件资源、操作系统相关资源以及程序问题。 首先,系统硬件资源是性能的基础。CPU是计算的核心,判断多核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值