防火墙 SELinux,netfilter, iptables,firewalld

最新推荐文章于 2024-04-30 09:49:09 发布
最新推荐文章于 2024-04-30 09:49:09 发布
阅读量660 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wash168/article/details/78489198
版权

10.12- 10.22 SELinux,netfiler5表5链,iptables语法, firewalld的zone和service

SELinux

selinux是Linux特有的安全机制,但是因为配置太麻烦,所以几乎没有人真正的应用它。安装完系统后我们一般会选择关闭selinux。

setenforce 0 //临时关闭,但是重启后会失效

//永久关闭需要更改配置文件 /etc/selinux/config

vim /etc/selinux/config
更改SELINUX=disabled这样就能永久禁用selinux

[root@centos-011 ~]# getenforce
Disabled

netfilter

在centos5和6上用的防火墙是netfiler,其配置工具为iptables。centos7则用的是firewalld防火墙,其配置工具也是iptables。但是现在依然有很多企业使用centos6。

firewalld向下兼容netfilter,所以在firewalld里面也可以用netfilter的设置方法。

[root@centos-011 ~]# systemctl stop firewalld //关闭firewalld服务
[root@centos-011 ~]# systemctl disable firewalld //禁止firewalld开机启动
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.

[root@centos-011 ~]# yum install -y iptables-services //安装iptables-services启用之前版本的iptables

[root@centos-011 ~]# systemctl enable iptables //设置开机启动
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@centos-011 ~]# systemctl start iptables //启动iptables服务

iptables已经有默认规则,我们可以用以下命令查看。但是我们在设置自己 的规则之前,建议先将其清除。

iptables命令选项:
-A 在指定链的末尾添加(append)一条新的规则
-D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I 在指定链中插入(insert)一条新的规则,默认在第一行添加
-R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L 列出(list)指定链中所有的规则进行查看
-E 重命名用户定义的链,不改变链本身
-F 清空(flush)
-N 新建(new-chain)一条用户自己定义的规则链
-X 删除指定表中用户自定义的规则链(delete-chain)
-P 设置指定链的默认策略(policy)
-Z 将所有表的所有链的字节和数据包计数器清零
-n 使用数字形式(numeric)显示输出结果
-v 查看规则表详细信息(verbose)的信息
-V 查看版本(version)
-h 获取帮助(help)

[root@centos-011 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  125  8368 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    6   468 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 73 packets, 9072 bytes)
 pkts bytes target     prot opt in     out     source               destination     
[root@centos-011 ~]# iptables -F;service iptables save  //-F清除。service iptables save保存设置。
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  确定  ]

netfilter的5个表和5个链

这里写图片描述

这里写图片描述

5个表:filter,nat,mangle,raw,security。常用的只有前两个。
5个链:prerouting,input,forward,output,postrouting。

filter表主要用于过滤包,用到的链有input,forward,output
nat表主要用于网络地址转换,用到的链有prerouting,postrouting,output

iptables基本语法

[root@centos-011 ~]# iptables -t nat -nvL  // -t后面跟表名,如果不跟则默认指filter表
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
iptables -F //-F把所有规则全部清除,如果不加-t指定表,默认只清除filter表的规则
iptables -Z //-Z把包和流量计数器清零

增加删除规则的用法

-A 增加一条规则
-D删除一条规则
-I插入一条规则 insert
-p指定协议 protocol,tcp,udp,icmp
–dport 和-p一起使用,指定目标端口destination port
–sport 和-p一起使用,指定源端口source port
-s指定源ip,可以是一个ip段
-d指定目的ip,可以是一个ip段
-j 判断规则judge,后面跟动作ACCEPT REJECT DROP
-i指定网卡 interface

[root@centos-011 ~]# iptables -I INPUT -s 1.1.1.1 -j DROP //丢掉所有来自此ip的数据包
[root@centos-011 ~]# iptables -D INPUT -s 1.1.1.1 -j DROP //-D删除一条规则
[root@centos-011 ~]# iptables -I INPUT -s 2.2.2.2 -p tcp --dport 80 -j DROP //丢掉来自此ip协议为tcp的且到本机80端口的数据包
[root@centos-011 ~]# iptables -I OUTPUT -p tcp --dport 22 -d 10.0.1.14 -j DROP //把发送到此ip 协议为tcp 端口为22的数据包丢掉

[root@centos-011 ~]# iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT //来此此ip段且作用在网卡eth0的数据包放行
[root@centos-011 ~]# iptables -nvL --line-numbers //查看现有的iptables规则
Chain INPUT (policy ACCEPT 62 packets, 4092 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       2.2.2.2              0.0.0.0/0            tcp dpt:80
2        0     0 DROP       tcp  --  *      *       2.2.2.2              0.0.0.0/0           
3        0     0 ACCEPT     all  --  eth0   *       192.168.1.0/24       0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 32 packets, 3008 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       0.0.0.0/0            10.0.1.14            tcp dpt:22
[root@centos-011 ~]# iptables -D INPUT 1 //-D删除上面列出的规则,后面跟表名,然后跟行号即可

关于icmp有一个特殊的应用:
iptables -I INPUT -p icmp --icmp-type 8 -j DROP //8指的是本机能ping通其他机器,而其他机器不能ping通本机

nat表的应用
iptables规则如此的强大,可以实现很多功能。路由器共享上网的功能就是通过linux的iptables的nat表实现。

echo "1" > /proc/sys/net/ipv4/ip_forward //echo 1到配置文件打开转发功能
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE //-o表表示出口的网卡,MASQUERADE表示伪装

保存iptables规则
service iptables save 可以把设置保存在文件中永久生效。文件地址为/etc/sysconfig/iptables

service iptables stop 停止防火墙服务,这样防火墙就失效了。但是如果重新设定任意一条规则,防火墙就会重新启用。

firewalld

我们先关闭netfilter然后才能启用firewalld的设置。

[root@centos-011 ~]# systemctl disable iptables //关闭开机启动
[root@centos-011 ~]# systemctl stop iptables //关闭服务
[root@centos-011 ~]# systemctl enable firewalld //打开开机启动
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
[root@centos-011 ~]# systemctl start firewalld //开启服务

[root@centos-011 ~]# iptables -nvL //可以查看现在的iptables规则


[root@centos-011 ~]# firewall-cmd --get-zones //获取有哪些zone
block dmz drop external home internal public trusted work
[root@centos-011 ~]# firewall-cmd --get-default-zone //获取默认zone
public

[root@centos-011 ~]# firewall-cmd --set-default-zone=work //设置默认zone为work
success 
[root@centos-011 ~]# firewall-cmd --get-zone-of-interface=ens33 //查看指定网卡的zone
work
[root@centos-011 ~]# firewall-cmd --zone=public --add-interface=lo //为指定网卡设置zone
success
[root@centos-011 ~]# firewall-cmd --zone=dmz --change-interface=lo //为指定网卡更改zone
success
[root@centos-011 ~]# firewall-cmd --zone=dmz --remove-interface=lo //移除指定网卡的zone
success
[root@centos-011 ~]# firewall-cmd --get-active-zones //查看系统所有网卡各自所在的zone
work
  interfaces: ens33

zone和services
zone相当于模式设置,一个zone里面可以自由的配置多个不同的service,这些services就构成了iptables规则。

以下是zone和service的模板文件位置:
/usr/lib/firewalld/zones
/usr/lib/firewalld/services

以下是zone和service文件生效的位置,在配置之前,我们需要把模板文件拷贝到这里
/etc/firewalld/zones
/etc/firewalld/services

[root@centos-011 ~]# firewall-cmd --get-service //列出当前系统所有的services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp gang

[root@centos-011 ~]# firewall-cmd --list-services  //查看当前zone的服务
ssh dhcpv6-client
[root@centos-011 ~]# firewall-cmd --zone=public --list-services  //查看指定zone的服务
dhcpv6-client ssh


[root@centos-011 ]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services  //复制模板
[root@centos-011 ]# vi /etc/firewalld/services/ftp.xml //编辑ftp配置文件

[root@centos-011 ]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones  //复制模板
[root@centos-011 ]# vim /etc/firewalld/zones/work.xml  /编辑work zone的配置文件
[root@centos-011 ]# firewall-cmd --reload //重新加载
success
[root@centos-011 services]# firewall-cmd --zone=work --list-services  //查看指定zone的服务
ssh ftp dhcpv6-client
李向东
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙netfilter/iptables/firewalld/关闭selinux
FUYY'S BLOG
09-26 1420
netfilteriptablesfirewalld的关系: iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核中的netfilter(网络过滤器来读取)从而实现真正的防火墙功能。 关系如图:(iptables/firewalld管理工具都是通过iptables命令来管理防火墙netfilter) 在centos7以上...
07-07防火墙selinux.pdf
07-31
了解与怎么关闭防火墙,或者防火墙开启某个端口,selinux了解与关闭,记录有几种关闭方法,基础常用命令
iptables和firewall-selinux
qq_33214236的博客
08-23 421
一、Iptables防火墙 三表五链: 三表: filter过滤表 nat转换表 mangle表 五链: PREROUTING—>在进行路由选择前处理数据包 INPUT—>处理流入的数据包 FORWADR—>处理转发的数据包 OUTPUT—>处理流出的数据包 POSTRO
Linux防火墙SElinux
最新发布
十一、的博客
04-30 866
Linux防火墙是一种网络安全系统,用于控制进出计算机网络的数据包,以保护内部网络不受外部威胁。Linux中主要有两种防火墙工具:iptablesfirewalldiptables:是一种更接近数据原始操作的防火墙工具,提供了较高的精确度。它是基于命令行的防火墙管理工具,用户可以通过一系列规则来定义如何处理进入或离开网络接口的数据包。firewalld:是CentOS 7及之后版本默认的防火墙管理工具,它取代了之前的iptables防火墙
SELinux防火墙(firewall 、iptables)
尘埃落定
04-29 1216
#一、SELinux 一套强化linux安全的MAC扩展模块,由美国国家安全局主导开发,集成在内核中(2.6及以上),操作系统提供可定制的策略,管理工具。 安全保护模型: DAC 自主访问控制 (Discretionary access control 所有者对自己的资源负责) 典型的DAC应用: 9位权限码(rwx); ACL 策略 MAC 强制访问控制 MAC 可以针对特定的进...
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4487
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptablesFirewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
iptables、firewall和SELinux的区别及CentOS6.5、7关闭/开启防火墙的方法
theworldofxiej的专栏
12-22 2062
1、iptables、firewall和SELinux的区别及应用: a、iptables用于过滤数据包,属于网络层防火墙,在设置iptables后需要重启iptables,会重新加载防火墙模块,而模块的装载将会破坏状态防火墙和确立的连接。会破坏已经对外提供数据链接的程序。可能需要重启程序。 b、CentOS 7.0默认使用的是firewall作为防火墙,需要iptables防火墙...
关闭selinux(防火墙)方法分享
09-15
默认装完CentOS,Selinux是打开的,这个你基本都是需要关闭,查看当前selinux的状态后,就可以按以下方法关闭selnux了
Linux下SElinux以及防火墙的关闭
01-09
SElinux以及防火墙的关闭  关闭SELinux的方法:  修改/etc/selinux/config文件中的SELINUX= 为 disabled ,然后重启。  如果不想重启系统,使用命令setenforce 0  注:  setenforce 1 设置SELinux 成为...
SElinux以及防火墙的关闭
10-08
SElinux以及防火墙的关闭,详细描述了在LINUX环境下如果关闭开启SElinux以及防火墙
Redhat关闭SELinux防火墙[0分]
08-08
Redhat关闭SELinux防火墙[0分]
iptables-firewall-selinux
Z的博客
10-15 341
iptables firewalls selinux
SELinuxNetfilteriptables、firewall和UFW五者关系
LinuxBegin的博客
11-20 9210
一、五者是什么? 1、SELinux是美国国家安全局发布的一个强制访问控制系统 2、Netfilter是Linux 2.4.x引入的一个子系统,作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制 3、iptables是Linux下功能强大的应用层防火墙工具。 4、firewall是centos7里面新的防火墙管理命令 5、ufw是Ubuntu下的一个简易的防火墙配置工具。 二、五...
iptablesSELinux解析
weixin_34144450的博客
09-26 239
防火墙,顾名思义,是用于防止一些可能造成的威胁对操作系统造成破坏,为了保护系统而采取的一种防护措施,将威胁挡在防火墙外;iptables防火墙命令,用于编写netfilter规则,将其送入内核空间,当报文从内或外传输时,对内核空间的规则进行匹配,由上到下,匹配到的第一条规则后,就不再匹配下面的规则,防火墙的这种匹配方式称之为首项匹配;防火墙有几种分类方式一种是软硬件防火...
Linux防火墙——iptables(四表五链)
zcien的博客
02-12 1919
Linux防火墙iptables(四表五链)详解
iptables firewalld ufw 防火墙工具
m0_69057918的博客
06-15 1731
iptables firewalld ufw 防火墙工具使用详解
selinuxiptablesfirewalld相关介绍
weixin_47019016的博客
11-09 2612
selinuxiptablesfirewalld详解selinuxiptablesfirewalld firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalldiptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalldiptables的结 构以及使用方法不一样罢了。 selinux iptables firewalld ...
Linux的防火墙: netfilter防火墙框架, iptables , CentOS的firewalld, Ubuntu的ufw
kfepiza的博客
09-29 461
预定义文件夹 :自定义文件夹 :来自官方文档 https://firewalld.org/documentation/zone/predefined-zones.htmlPredefined Zones 预定义区域下面这些是 firewalld 提供的预定义区域,根据其默认的信任级别从不信任到信任排序, 按信任度从低到高排列drop信任度最低任何传入的网络数据包都被丢弃,没有回复。只有传出网络连接是可能的。只能发送,不能接收block任何传入的网络连接都会被拒绝,并使用 IPv4 的。
iptables, firewalld, SElinux的区别
06-07
iptablesfirewalldSELinux都是Linux...综上所述,iptables是一种基于内核的防火墙firewalld是一种基于用户空间的动态防火墙,而SELinux则是一种强制访问控制系统。它们在不同的层面上提供了不同的安全控制机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值