【第七章】iptables和firewall防火墙技术

最新推荐文章于 2024-06-07 11:41:33 发布

dqforgive

最新推荐文章于 2024-06-07 11:41:33 发布

阅读量1.2k

点赞数

分类专栏：【Linux操作系统】文章标签： linux

本文链接：https://blog.csdn.net/u014797713/article/details/107178817

版权

【Linux操作系统】专栏收录该内容

16 篇文章 3 订阅

订阅专栏

四种方法配置网卡

1、编辑配置文件

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736

TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=eno16777736        //网卡名
UUID=65ac1fd4-82e8-4944-bebd-bdb661aff60d
ONBOOT=yes              //自启
IPADDR0=192.168.10.10   //IP地址
PREFIX0=24              //掩码
HWADDR=00:0C:29:EF:C6:BC
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes

2、nmtui配置网卡

[root@localhost ~]# nmtui    //RHEL7
[root@localhost ~]# setup    //RHEL5/6

3、nm-connection-editor配置网卡

[root@localhost ~]# nm-connection-editor

4、图形界面直接配置

防火墙的作用

1、在进行路由选择前处理数据包（PREROUTING）；

2、处理流入的数据包（INPUT）；

3、处理流出的数据包（OUTPUT）；

4、处理转发的数据包（FORWARD）；

5、在进行路由选择后处理数据包（POSTROUTING）。

iptables防火墙配置管理工具

ACCEPT 允许

REJECT 拒绝

DROP 丢包

LOG 日志

参数	作用
-L	显示已有策略
-F	清空所有策略
-P	设置默认策略

例：

iptables -P INPUT DROP   
//设置默认策略访问丢包

iptables -I INPUT -s 192.168.10.1 -p icmp -j ACCEPT           
//允许192.168.10.1对主机的ping

//-I  加入一条优先策略
//-s  来源地址
//-p  协议

iptables -I INPUT -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT    
//放行192.168.10.1对主机的SSH服务的访问

//-I  加入一条优先策略
//-s  来源地址
//-p  协议

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 80 -j DROP
//禁止外部对192.168.10.0 80端口号的访问
//-I  加入一条优先策略
//-s  来源地址
//-p  协议

service iptables save
//保存iptables状态

firewalld

[root@localhost ~]# firewall-cmd --get-default-zone 
public
//查询默认区域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=eno16777736 
public
//查询网卡默认区域

紧急模式

[root@localhost ~]#firewall-cmd --panic-on
//开启紧急模式
[root@localhost ~]#firewall-cmd --panic-off
//关闭紧急模式

查询public区域是否允许请求SSH和HTTPS协议的流量：

[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https
no

把firewalld服务中请求HTTPS协议的流量设置为永久允许，并立即生效：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@linuxprobe ~]# firewall-cmd --reload
success

把firewalld服务中请求HTTP协议的流量设置为永久拒绝，并立即生效：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http 
success
[root@linuxprobe ~]# firewall-cmd --reload 
success

把在firewalld服务中访问8080和8081端口的流量策略设置为允许，但仅限当前生效：

[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 
8080-8081/tcp

把原本访问本机888端口的流量转发到22端口，要且求当前和长期均有效：

流量转发命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success

在客户端使用ssh命令尝试访问192.168.10.10主机的888端口：

[root@client A ~]# ssh -p 888 192.168.10.10
The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
root@192.168.10.10's password:此处输入远程root管理员的密码
Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10

firewalld中的富规则表示更细致、更详细的防火墙策略配置，它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。比如，我们可以在firewalld服务中配置一条富规则，使其拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务（22端口）：

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success

在客户端使用ssh命令尝试访问192.168.10.10主机的ssh服务（22端口）：

[root@client A ~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.

图形管理工具

**1：**选择运行时（Runtime）模式或永久（Permanent）模式的配置。

2：可选的策略集合区域列表。

3：常用的系统服务列表。

4：当前正在使用的区域。

5：管理当前被选中区域中的服务。

6：管理当前被选中区域中的端口。

7：开启或关闭SNAT（源地址转换协议）技术。

8：设置端口转发策略。

9：控制请求icmp服务的流量。

10：管理防火墙的富规则。

11：管理网卡设备。

12：被选中区域的服务，若勾选了相应服务前面的复选框，则表示允许与之相关的流量。

13：firewall-config工具的运行状态。

第8章 Iptables与Firewalld防火墙。第8章 Iptables与Firewalld防火墙。

服务的访问控制列表

[root@linuxprobe ~]# vim /etc/hosts.deny
#
# hosts.deny This file contains access rules which are used to
# deny connections to network services that either use
# the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# The rules in this file can also be set up in
# /etc/hosts.allow with a 'deny' option instead.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
sshd:*
[root@linuxprobe ~]# ssh 192.168.10.10
ssh_exchange_identification: read: Connection reset by peer

[root@linuxprobe ~]# vim /etc/hosts.allow
#
# hosts.allow This file contains access rules which are used to
# allow or deny connections to network services that
# either use the tcp_wrappers library or that have been
# started through a tcp_wrappers-enabled xinetd.
#
# See 'man 5 hosts_options' and 'man 5 hosts_access'
# for information on rule syntax.
# See 'man tcpd' for information on tcp_wrappers
sshd:192.168.10.

[root@linuxprobe ~]# ssh 192.168.10.10
The authenticity of host '192.168.10.10 (192.168.10.10)' can't be established.
ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.10.10' (ECDSA) to the list of known hosts.
root@192.168.10.10's password: 
Last login: Wed May 4 07:56:29 2017
[root@linuxprobe ~]#

1．在RHEL 7系统中，iptables是否已经被firewalld服务彻底取代？

**答：**没有，iptables和firewalld服务均可用于RHEL 7系统。

2．请简述防火墙策略规则中DROP和REJECT的不同之处。

**答：**DROP的动作是丢包，不响应；REJECT是拒绝请求，同时向发送方回送拒绝信息。

3．如何把iptables服务的INPUT规则链默认策略设置为DROP？

**答：**执行命令iptables -P INPUT DROP即可。

4．怎样编写一条防火墙策略规则，使得iptables服务可以禁止源自192.168.10.0/24网段的流量访问本机的sshd服务（22端口）？

**答：**执行命令iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j REJECT即可。

5．请简述firewalld中区域的作用。

**答：**可以依据不同的工作场景来调用不同的firewalld区域，实现大量防火墙策略规则的快速切换。

6．如何在firewalld中把默认的区域设置为dmz？

**答：**执行命令firewall-cmd --set-default-zone=dmz即可。

7．如何让firewalld中以永久（Permanent）模式配置的防火墙策略规则立即生效？

**答：**执行命令firewall-cmd --reload。

8．使用SNAT技术的目的是什么？

**答：**SNAT是一种为了解决IP地址匮乏而设计的技术，它可以使得多个内网中的用户通过同一个外网IP接入Internet（互联网）。

9． TCP Wrappers服务分别有允许策略配置文件和拒绝策略配置文件，请问匹配顺序是怎么样的？

**答：**TCP Wrappers会先依次匹配允许策略配置文件，然后再依次匹配拒绝策略配置文件，如果都没有匹配到，则默认放行流量。

dqforgive

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
【第七章】iptables和firewall防火墙技术

四种方法配置网卡1、编辑配置文件[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eno16777736TYPE=EthernetBOOTPROTO=noneDEFROUTE=yesIPV4_FAILURE_FATAL=noIPV6INIT=yesIPV6_AUTOCONF=yesIPV6_DEFROUTE=yesIPV6_FAILURE_FATAL=noNAME=eno16777736 //网卡名
复制链接

扫一扫