[linux学习](linuxprobe课程)八 Iptables与Firewalld防火墙。

最新推荐文章于 2024-03-31 14:36:45 发布
最新推荐文章于 2024-03-31 14:36:45 发布
阅读量93 收藏
点赞数
分类专栏: Linux 文章标签: linux学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29394623/article/details/102415679
版权

网卡配置

配置文件

/etc/sysconfig/network-script/ifcfg-xxxxxxx
配置文件内容如下(核心内容)

TYPE=Ethernet
IPADDR=10.109.11.22
NETMASK=255.255.255.0
ONBOOT=yes

nmtui(尼玛tui)

简单好用

防火墙

  1. 目前iptables与firewalld并存于RHEL7,两者采用的内核服务不同,但是实现的功能相同。

iptables

iptables通过对五个不同处理位置的配置,每个位置的不同策略构成了规则链(之所以称为规则链,在我看来是因为链的线性结构,需要从头遍历到尾)不同的位置的规则链构成了规则表,也就是为什么命令叫iptables,tables就是表,又因为五个位置互不干涉,所以当请求到位置一则遍历一的规则链,到了三则遍历三的规则链,在每个规则链上,如果有符合的策略则根据策略的要求对数据进行处理,如果没有匹配上,则执行默认规则,允许,拒绝等。

规则的分类

  1. ACCEPT 允许
  2. REJECT 拒绝(告诉来请求的客户机,不允许访问)、
  3. LOG 登记(允许通过,但是会记录下来)
  4. DROP 丢弃(不处理请求,也不回应)

iptables配置的五个位置

  1. 在进行路由选择前处理数据包(PREROUTING);
  2. 处理流入的数据包(INPUT);
  3. 处理流出的数据包(OUTPUT);
  4. 处理转发的数据包(FORWARD);
  5. 在进行路由选择后处理数据包(POSTROUTING)。
    常用的就是INPUT

iptables命令用法

参数作用
-P(public 公共的策略)设置默认策略,默认拒绝只能是DROP
-F(flush)清空规则链
-L(list)查看规则链
-A(add增加一般都在后面)在规则链的末尾加入新规则
-I num(insert 插入一般都在前面)在规则链的头部加入新规则
-D num(delete)删除某一条规则
-s(source)匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d(deriction)匹配目标地址
-i(in interface)网卡名称 匹配从这块网卡流入的数据
-o(out interface)网卡名称 匹配从这块网卡流出的数据
-p(protocol)匹配协议,如TCP、UDP、ICMP
–dport num(derection port)匹配目标端口号
–sport num(source port)匹配来源端口号
-j哪个位置

service iptables save 路由永久生效

  1. 一台新的服务器,可以先清空策略设置默认拒绝
iptables -F -- 清空路由表
iptables -P DROP -- 默认拒绝
  1. 增加新的策略,根据重要性添加,越重要的越靠前
    例如只允许某台内网服务器访问本地的1521和88,其他的都不允许访问
iptables -I INPUT -s 192.168.10.2 -p tcp --dport 1521 -j ACCEPT
iptables -I INPUT -s 192.168.10.2 -p tcp --dport 88 -j ACCEPT
  1. 保存策略
service iptables save

书上写着iptables -A INPUT -p tcp --dport 1521(88)-j ACCEPT,是基于默认是DROP

Firewalld

可以维护多个区域,所谓区域就是多套策略,每套策略有默认的一些规则,用户可以基于该规则进行规则调整或更详细的配置,配置内容类似于iptables,同时多套策略可根据情况随时切换,切换的意思就是把网卡绑定到不同的策略上,更改后后需要重新加载。
以上涉及到几个知识点

  1. 多套策略(区域)及默认的规则
区域默认规则策略
trusted允许所有的数据包
home拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal等同于home区域
work拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关
  1. 规则调整
    firewalld-cmd --zone=public --add-service=https
    firewalld-cmd --zone=public --remove-service=https
  2. 更详细的配置
    firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
  3. 切换
    firewall-cmd --permanent --zone=external --change-interface=eno16777728
    firewall-cmd --zone=external --change-interface=eno16777728
  4. 重新加载
    firewall-cmd --reload
参数作用
–get-default-zone查询默认的区域名称
–set-default-zone=<区域名称>设置默认的区域,使其永久生效
–get-zones显示可用的区域
–get-services显示预先定义的服务
–get-active-zones显示当前正在使用的区域与网卡名称
–add-source=将源自此IP或子网的流量导向指定的区域
–remove-source=不再将源自此IP或子网的流量导向某个指定区域
–add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>将某个网卡与区域进行关联
–list-all显示当前区域的网卡配置参数、资源、端口以及服务等信息
–list-all-zones显示所有区域的网卡配置参数、资源、端口以及服务等信息
–add-service=<服务名>设置默认区域允许该服务的流量
–add-port=<端口号/协议>设置默认区域允许该端口的流量
–remove-service=<服务名>设置默认区域不再允许该服务的流量
–remove-port=<端口号/协议>设置默认区域不再允许该端口的流量
–reload让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
–panic-on开启应急状况模式
–panic-off关闭应急状况模式

firewalld-config

和firewalld-cmd差不多,图形界面版本

iptables 与 firewalld对比

  1. iptables没有多套策略可以选择
  2. iptables的规则表类似于firewalld的一套策略
  3. 两者拥有四种规则,允许,拒绝,登记,抛弃,iptables置于命令最后
    iptables -I INPUT -s 192.168.10.2 -p tcp --dport 1521 -j ACCEPT
    firewalld配置在富规则里
  4. iptables有策略的作用位置之分,firewalld没有
  5. firewalld是先配置一个大致范围,再配置明细(富规则),iptables直接配置明细,iptables的配置更像是富规则的设置
  6. firewalld可以实现端口转发,iptables不能
  7. firewalld更容易实现SNAT,iptables不好实现
  8. firewalld有两种配置状态,permanent及running,配置时,最好都配置上,一个即时生效,一个重启生效,然后reload才能生效,iptables配置了再save就当时和重启都生效。
  9. firewalld可以通过firewall-cmd --panic-on 与 firewall-cmd --panic-off实现紧急的关闭网卡,与systemctl network stop效果不同

关闭网卡服务

  1. 命令上的异同
作用iptables命令firewalld命令
新增-I(-A)–add-rich-rule
删除-D–remove-rich-rule
目的端口号-dport–add-port=<端口号/协议>
源IP-s–add-source=
查看当前策略iptables -L–list-all
服务-p–add-service
保存service iptables savefirewall-cmd --reload
默认-P–set-default-zone=<区域名称>
  1. firewalld的富规则优先级最高,其他的不清楚
weixin_29394623
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IptablesFirewalld防火墙
Less_jie的博客
10-22 241
防火墙管理工具 防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。 在RHEL 7系统中,firewalld防火墙取代了iptables防火墙iptablesfirewalld都不是真正的防火墙,它们都只...
linux——IptablesFirewalld防火墙
差一分先生的博客
03-15 369
8.1 防火墙管理工具 在RHEL 7系统中,firewalld防火墙取代了iptables防火墙iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 8.2 Iptables 8.2.1 策略与规则链 防火墙会从上至下的顺序来读取配置的策略规则,在找到...
iptablesfirewalld 防火墙
weixin_55731208的博客
03-31 1246
四种防火墙策略: ACCEPT(允许流量通过) 流量发送方会看到响应超时的提醒,但是流量发送方无法判断流量是被拒绝,还是接收方主机当前不在线 REJECT(拒绝流量通过) 流量发送方会看到端口不可达的响应 LOG(记录日志信息) DROP(拒绝流量通过)
Linux学习之八【iptablesfirewalld 防火墙
weixin_44761910的博客
04-16 228
整理自刘遄老师的《Linux就该这么学》,网站链接 文章目录整理自刘遄老师的《Linux就该这么学》,[网站链接](https://www.linuxprobe.com/)8、iptablesfirewalld 防火墙8.1 防火墙管理工具8.2 iptables1、策略与规则链2、iptables 中基本的命令参数8.3 firewalld1、终端管理工具2、图形管理工具8.4 服务的访问控...
Linux学习(7):iptablesfirewalld防火墙
cy6661的博客
05-24 384
firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且随着系统的重启会生效,想让策略一直存在,就要使用永久(Permanent)模式。iptables服务的术语有:ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、FROP(拒绝流量通过)将INPUT规则链设置为只允许指定网段的主机访问本机的22端口(ssh),拒绝来自其他所有主机的流量。向INPUT规则链中添加一条允许ICMP流量进入的策略规则。使防火墙策略永久生效(重启则失效)
iptablesfirewalld防火墙
chao199512的博客
09-17 386
​保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。​防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。考虑到大家还不了解RHEL 7中新增的firewalld防火墙与先前版本中iptables防火墙之间的区别,本节将分别使用iptables,firewall-cmd,firewall-config和TCP Wrappers等防火墙策略配置服务来完成数...
IptablesFirewalld防火墙(最详细说明)
xuetengbo111的博客
11-22 651
章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall-cmd与图形化工具firewall-config。 本章节基于数十个防火墙需求,使用规则策略完整演示对数据包的过滤、SNAT/SDAT技术、端口转发以及负载均衡等实验。 不光光学习iptables命令与firewalld服务,还新增了Tcp_wrappers防火墙服务小节,简单配置即可保证系统与服务的安全。 一、了解防火墙管理工具 防火墙虽有软件或硬件之分但主要功能还是依据策略对外部请求
iptablesFirewalld防火墙
Y1309SIR的博客
06-17 301
之前也没街粗过  防火墙方面可以说是一窍不通iptablesiptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:在进行路由选择前处理数据包(PREROUTING);处理流入的数据包(INPUT);处理流出的数据包(OUTPUT);处理转发的数据包(FORWARD);在进行路由选择后处理数据包(POSTROU...
Linux系列教程(12)- iptablesfirewalld 防火墙
一片冰心
03-09 238
iptablesfirewalld 防火墙 保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。防火墙作为公网 与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。 防火墙管理工具 防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。 在 RHEL 7 系统中,firewalld 防火墙取代了 i
LinuxProbe_linux_
10-01
LinuxProbe】是针对Linux操作系统进行深入探究的文档,它主要涵盖了Linux系统的核心概念、工作原理以及相关的诊断和排查技术。对于任何想要深入了解Linux内核、优化系统性能或解决系统问题的IT专业人员来说,这是...
LinuxProbe(20180610)_WithBookmark_linux_Linux/Unix编程_
10-03
LinuxProbe(20180610)_WithBookmark》是一本专注于Linux/Unix编程领域的书籍,其高质量的内容和清晰的布局深受读者喜爱。这本书不仅涵盖了基础的Linux操作系统原理,还深入探讨了Unix系统编程的各个方面,为读者...
linux服务器入门学习
03-29
LinuxProbe学习 LinuxProbe学习 LinuxProbe学习 LinuxProbe学习 LinuxProbe学习
LinuxProbe word版.rar
06-14
RHCE备考参考书籍,word版易于学习,也可作为入门linux学习书籍。
putty_V0.63.LinuxProbe
11-26
此软件用于压缩文件、解压压缩包,常见的压缩包格式有:rar/zip
8个Python小程序代码示例 新手小白也能实现-python小程序源代码
最新发布
07-20
python小程序代码: 8个Python小程序代码示例。新手小白也能实现_python小程序源代码
程序设计实习大作业基于C++面向对象实现的百练魔兽世界源代码
07-20
程序设计实习大作业基于C++面向对象实现的百练魔兽世界源代码
[课设项目]Java-SSM框架开发保险业务管理系统设计与实现+jsp+MySQL+前后端分离毕业论文和源码.zip
07-20
本项目是一个基于Java-SSM框架开发的保险业务管理系统,旨在帮助保险公司实现业务管理的自动化和信息化。系统采用前后端分离的设计模式,前端使用JSP技术进行页面展示和用户交互,后端则采用SSM框架进行业务逻辑处理和数据访问。数据库方面,项目使用MySQL作为存储和管理数据的工具。 项目实现了以下功能: 1. 用户登录与权限管理:系统提供用户登录功能,并根据用户角色分配不同的操作权限。 2. 保险业务管理:系统支持保险产品的增删改查操作,同时提供业务办理、理赔申请等功能。 3. 数据统计与分析:系统能够对保险业务数据进行统计和分析,为保险公司提供决策支持。 4. 报表生成与导出:系统可生成各类保险业务报表,并支持导出为Excel、PDF等格式。 本项目的源码、数据库脚本和开发说明等资源已经过精心整理,适合计算机相关专业的学生进行毕业设计或课程设计使用,同时也可作为Java学习者的实战练习项目。
wx496家政服务预约系统-php+vue+uniapp.zip(可运行源码+sql文件+文档)
07-20
基于微信小程序的家政服务预约系统采用PHP语言和微信小程序技术,数据库采用Mysql,运行软件为微信开发者工具。本系统实现了管理员和客户、员工三个角色的功能。管理员的功能为客户管理、员工管理、家政服务管理、服务预约管理、员工风采管理、客户需求管理、接单管理等。客户的功能为查看家政服务进行预约和发布自己的需求以及管理预约信息和接单信息等。员工可以查看预约信息和进行接单。本系统实现了网上预约家政服务的流程化管理,可以帮助工作人员的管理工作和帮助客户查询家政服务的相关信息,改变了客户找家政服务的方式,提高了预约家政服务的效率。 本系统是针对网上预约家政服务开发的工作管理系统,包括到所有的工作内容。可以使网上预约家政服务的工作合理化和流程化。本系统包括手机端设计和电脑端设计,有界面和数据库。本系统的使用角色分为管理员和客户、员工三个身份。管理员可以管理系统里的所有信息。员工可以发布服务信息和查询客户的需求进行接单。客户可以发布需求和预约家政服务以及管理预约信息、接单信息。 本功能可以实现家政服务信息的查询和删除,管理员添加家政服务信息功能填写正确的信息就可以实现家政服务信息的添加,点击家政服务信息管理功能可以看到基于微信小程序的家政服务预约系统里所有家政服务的信息,在添加家政服务信息的界面里需要填写标题信息,当信息填写不正确就会造成家政服务信息添加失败。员工风采信息可以使客户更好的了解员工。员工风采信息管理的流程为,管理员点击员工风采信息管理功能,查看员工风采信息,点击员工风采信息添加功能,输入员工风采信息然后点击提交按钮就可以完成员工风采信息的添加。客户需求信息关系着客户的家政服务预约,管理员可以查询和修改客户需求信息,还可以查看客户需求的添加时间。接单信息属于本系统里的核心数据,管理员可以对接单的信息进行查询。本功能设计的目的可以使家政服务进行及时的安排。管理员可以查询员工信息,可以进行修改删除。 客户可以查看自己的预约和修改自己的资料并发布需求以及管理接单信息等。 在首页里可以看到管理员添加和管理的信息,客户可以在首页里进行家政服务的预约和公司介绍信息的了解。 员工可以查询客户需求进行接单以及管理家政服务信息和留言信息、收藏信息等。
企业数字化转型IT信息化战略规划建设方案.pptx
07-20
企业数字化转型IT信息化战略规划建设方案.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值