firewall常用命令
注意事项:
1.firewall默认开起来的时候只会开启ssh(22)端口,其它一切拒绝连接
firewall提供的便捷配置保存在:
/usr/lib/firewalld/services/ :firewalld服务默认在此目录下定义了70+种服务供我们使用
/etc/firewalld/zones/ : 默认区域配置文件,配置文件中指定了编写完成的规则
systemctl stop firewalld.service //关闭防火墙
systemctl restart firewalld.service //开启防火墙
systemctl disable firewalld.service //关闭自启动
systemctl enable firewalld.service //开启自启动
firewall-cmd --state //查看防火墙状态
firewall-cmd --list-all //列出配置所有的防火墙策略
如果不使用--permanent配置策略,配置好后需要重启防火墙生效
#指定IP通讯
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.2.2" accept"
#指定网段访问指定端口
firewall-cmd --add-rich-rule="rule family="ipv4" source address="10.40.0.0/16" port protocol="tcp" port="3306" accept"
#也可以这样
firewall-cmd --add-rich-rule="rule family="ipv4" source address="10.40.0.0/16" service name="mysql" accept"
#firewall自己有一些已经预置好的服务端口,可以这样添加上,mysql对应的就是3306
firewall-cmd --add-service=mysql
firewall-cmd --remove-service=mysql
#可以使用--permanent配置后直接生效
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.3" accept"
iptables常用命令
注意事项
1.iptables开启是默认是允许所有连接通讯,配置后不需要保存立马生效,但重启后失效,需要save
2.配置的策略有执行的先后顺序,且有序号标志,后配置的优先级越高,序号就越小。
比如:原先配置了一条策略,序号为1,如果再配置一条策略,则之前的策略序号就变成2了。
service iptables status //查看状态
service iptables stop //停止
service iptables start //运行
chkconfig iptables on //自启动
service iptables save //保存配置好的策略
iptables -nL #查看防火墙配置,每一条防火墙策略都有序号
iptables -I INPUT -s 192.168.1.4/24 -p tcp --dport 22 -j ACCEPT #插入策略
iptables -I INPUT -s 192.168.1.4 -j ACCEPT
iptables -I INPUT 2 -j DROP #插入序号为2的拒绝所有连接的策略
iptables -D INPUT 5 #删除序号为5的策略
ufw防火墙
注意事项
1.开启ufw后,默认是允许所有连接通讯
2.且配置的策略也有先后顺序,每一条策略都有序号
ufw enable #开启防火墙且自启动
ufw disable #关闭防火墙和自启动
ufw status numbered #查看所有配置
ufw allow from 192.168.12.1 #指定IP可以连入
ufw insert 2 allow from 192.168.12.1 #在序号2中插入,后续的策略序号自动+1
ufw delete 6 #删除序号6的策略
sudo ufw deny from any #拒绝所有连接