linux下的防火墙

最新推荐文章于 2024-09-05 11:30:11 发布
最新推荐文章于 2024-09-05 11:30:11 发布
阅读量98 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/BlackSwanYucatan/p/10146527.html
版权
linux下的防火墙

centos6防火墙iptables

配置文件

centos6下配置文件为/etc/sysconfig/iptables

# Generated by iptables-save v1.4.7 on Mon Dec 25 11:46:40 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2:208]
-A INPUT -p udp -m state --state NEW -m udp --dport 8989 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8989 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Mon Dec 25 11:46:40 2017

添加端口号

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

net转发

cat m-net-forward.sh
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -D POSTROUTING 1
iptables -t nat -D POSTROUTING 1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j SNAT --to $1
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

查看

iptables -L -t nat  --line-number

Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    SNAT       all  --  192.168.1.0/24       anywhere             to:100.102.180.11
2    MASQUERADE  all  --  anywhere             anywhere

删除

iptables -D INPUT 2
iptables -t nat -D POSTROUTING 1

修改

iptables -R INPUT 3 -j ACCEPT

iptables服务启动与关闭

sudo service iptables status
sudo service iptables start
sudo service iptables stop

重定向

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

iptables端口转发

首先程序绑定1024以上的端口,然后root权限下做转发注意有些系统需要手动开启IP FORWARD功能。但是转发功能是否需要开启呢,有遇到过不需要这一步的情况。

vi /etc/sysctl.conf

修改

net.ipv4.ip_forward = 1

重新加载

sysctl -p /etc/sysctl.conf

centos7防火墙firewalld

firewalld的基本使用

启动systemctl start firewalld
查看状态systemctl status firewalld
停止systemctl disable firewalld
禁用systemctl stop firewalld

systemctl

systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。

启动一个服务systemctl start firewalld.service 
关闭一个服务systemctl stop firewalld.service 
重启一个服务systemctl restart firewalld.service 
显示一个服务的状态systemctl status firewalld.service 
在开机时启用一个服务systemctl enable firewalld.service 
在开机时禁用一个服务systemctl disable firewalld.service 
查看服务是否开机启动systemctl is-enabled firewalld.service 
查看已启动的服务列表systemctl list-unit-filesgrep enabled
查看启动失败的服务列表systemctl –failed 

配置firewalld-cmd

查看版本firewall-cmd –version
查看帮助firewall-cmd –help
显示状态firewall-cmd –state
查看所有打开的端口firewall-cmd –zone=public –list-ports
更新防火墙规则firewall-cmd –reload
查看区域信息firewall-cmd –get-active-zones
查看指定接口所属区域firewall-cmd –get-zone-of-interface=eth0
拒绝所有包firewall-cmd –panic-on
取消拒绝状态firewall-cmd –panic-off
查看是否拒绝firewall-cmd –query-panic

端口管理

  • 添加

    firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效)

  • 添加一个地址段

    firewall-cmd --zone=public --add-port=5060-5061/udp --permanent

  • 重新载入,热加载

    firewall-cmd --reload

  • 冷加载

    firewall-cmd --complete-reload

  • 查看

    firewall-cmd --zone= public --query-port=80/tcp

  • 看到新端口已经添加

    firewall-cmd --zone=public --list-all

  • 删除

    firewall-cmd --zone= public --remove-port=80/tcp --permanent

使用案例

共享pppoe

cat my-net-forward.sh

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -D POSTROUTING 1
iptables -t nat -D POSTROUTING 1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j SNAT --to $1
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

查看结果

iptables -L -t nat  --line-number

img

80,443端口重定向

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 8443

firewalld 与 iptables的比较

  • firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效;
  • firewalld使用区域和服务而不是链式规则;
  • firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制;
  • firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现。也就是说,firewalld和iptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样!

netfilter工作流程相关图片

img
img
img
img

相关链接

firewalld 与 iptables
linux的防火墙firewalld和iptables区别和用法
通过iptables实现端口转发和内网共享上网

posted on 2018-12-19 22:17 BlackSwanYucatan 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/BlackSwanYucatan/p/10146527.html

weixin_30553777
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS 6.4 中iptables 配置详解
chtdsl
05-03 2万+
整理之后,再更新。 可以参看:http://blog.51cto.com/tag-iptables.html iptables 指令详解 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则
netfilter/iptables 简介--使用 netfilter/iptables 为 Linux(内核 2.4.x)配置防火墙
xiaofei0859的专栏
08-05 940
<br />netfilter/iptables 是与最新的 2.4.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器,则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。Mugdha Vairagade 将介绍 netfilter/iptables 系统、它是如何工作的、它的优点、安装和配置以及如何使用它来配置 Linux 系统上的防火墙以过滤 IP 信息包。<br />注:至少具备
linux防火墙配置信息,Linux防火墙配置
weixin_39690097的博客
05-10 299
无聊又玩了下linux系统,这里记录一下linux防火墙配置首先确保你开启了iptables服务,如果没有的话,通过以下命令开启:# systemctl start iptables清除现在的配置,使之回复到默认状态:# iptables -F# iptables -X# iptables -t nat -F# iptables -t nat -X# iptables -t raw -F# ip...
linux使用ipvsadm实现web负载均衡
weixin_34055787的博客
05-08 115
linux使用ipvsadm实现web负载均衡 一,操作系统,坏境 从外网访问WEB服务器时先访问到192.168.0.44这台机器,通过192.168.0.44的机器搭建ipvsadm服务,当访问192.168.0.44这台机器的80端口时,将循环将访问者转发到内网的其他俩台机器上。其中0.44的服务器被当做路由器使,安装有俩块网卡。 ...
Linux常用命令
心若无尘
02-04 156
Linux常用命令,SSH是一种网络协议,用于计算机之间的加密登录。如果本地的用户名和远程用户名一致,可以省略用户名SSH的默认端口号是22,登录请求会到远程机器的22端口。如果要改端口号,可以使用-p。
Linux防火墙配置实例
01-09
 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况  iptables -L -n  删除已有规则  iptables -F  屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们...
嵌入式Linux防火墙系统的实现.pdf
09-06
嵌入式Linux防火墙系统的实现.pdf
Linux防火墙的简单配置与插入规则介绍
01-10
查看当前的防火墙设置 iptables -L INPUT -n --line-numbers 删除一条策略,例如第4行策略 iptables -D INPUT 4 -A:在尾部插入 -I (insert)在指定链中插入一条新...以上所述是小编给大家介绍的Linux防火墙的简
Linux防火墙防御功能的设计与实现 (1).pdf
09-06
Linux防火墙防御功能的设计与实现 (1).pdf
linux防火墙开启某个端口号及防火墙常用命令使用(详解)
09-15
下面小编就为大家带来一篇linux防火墙开启某个端口号及防火墙常用命令使用(详解)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ubuntu下通过ufw配置nat
weixin_33804990的博客
09-20 186
ufw是ubuntu下默认自带的一个超级好用的防火墙.有了它以后,你可以轻松配置出来很强悍的防火墙,而不用再记复杂的iptables语法(当然了它只是个简化命令,底层依然是调用的iptables.).它的语法虽然简单易用,但是笔者在用它配置nat映射的时候,却发现没有相关的语法.网上搜索竟也没有相关的中文资料.对比官方文档,几经摸索终于弄明白了ufw怎么配置nat...
iptables学习笔记:端口转发之“内网访问外网”
李迟的专栏
09-25 8861
我们一般使用路由上网,本机IP是内网私有IP,如192.168.1.100/24,而不是公网IP。至于能上网,是因为路由器已经做了转发。本文以实例介绍地址转换,实现内网设备与外部网络通信。有了前文的介绍,就无须介绍太多原理方面的东西了。 先给出网络拓扑图如下: 服务器左边为“内网”,右边为“外网”。中间为服务器(工作站或网关,如无特别说明,下文提到的“服务器”都指这个服务器),服务器的et...
linux防火墙一键安装,linux防火墙配置【突破办法】
weixin_33692177的博客
05-12 192
虽然电脑已经很普遍了,但是一些年长的人对电脑的操作不是很熟悉,比如在使用win7系统时一旦遇到linux防火墙配置时就懵了,对于linux防火墙配置处理起来相对来说较简单,按照我们的步骤处理linux防火墙配置很容易上手,linux防火墙配置具体处理方法如下:如何配置linux下的防火墙?问:请说明具体详细一点!答:1、首先需要在Linux系统中查找并打开文件以编辑和配置防火墙,执行命令: vi ...
liunx contens7 下多站点配置
u014333650的专栏
06-07 586
这样一种场景;我们有一台服务器;但是想挂多个网站; 那么Apache下配置虚拟主机可以满足这个需求; 比较简单的是基于主机名的配置步骤如下: 示例环境 ip:115.28.17.191 域名: baijunyao.com thinkbjy.com 目录: /var/www/html/baijunyao /var/www/html/thinkbjy 想要达到的效果是
Linux系统中最实用的十大开源防火墙
weixin_34090562的博客
11-27 4640
如今,开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙 1. Iptables Iptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。其作用是过滤内核中网络堆栈中的数据包,特性包括:列出数据包过滤规则集的内容;执行速度快,因为它仅检查数据包的头...
Linux-ContentOs关闭防火墙
ZHENGshaui1234的博客
03-19 297
Centos 永久关闭防火墙 2021/3/19 22:22:43 1. 打开虚拟机,然后输入命令“systemctl status firewalld.service”并按下回车键。 2. 出现上图中的active(running),此时说明防火墙已经打开了 3. 在命令行中输入systemctl stop firewalld.service命令,进行关闭防火墙 4. 然后再使用命令systemctl status firewalld.service,在下方出现inactive(dead),
RK3588开发板利用udp发送和接收数据
cumtchw
09-01 698
RK3588开发板利用udp发送和接收数据
网络第五章:多路转接
最新发布
qincjun的博客
09-05 414
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。
TCP/IP网络编程:第18章聊天室
weixin_57112913的博客
09-02 479
其他两个客户端也是类似的,分别发送Hi Yoon反正就是基本上实现了一个群聊的功能。客户端:发送信息给服务端,接收服务端传来的其他客户的信息。服务端:负责连接客户端,转发客户端的信息给其他客户。
linux开通防火墙
08-23
要在Linux上开启防火墙,可以按照以下步骤进行操作: 1. 使用命令`systemctl start firewalld`来启动防火墙服务。 2. 使用命令`firewall-cmd --zone=public --add-port=1935/tcp --permanent`来开放指定的端口。其中,`--zone`参数指定作用域,`--add-port`参数后面跟着端口号和通信协议,`--permanent`参数表示永久生效。 3. 使用命令`firewall-cmd --reload`来重新加载防火墙配置,使新的端口设置生效。 另外,你也可以使用命令`netstat -ntlp`来查看当前系统上所有已经打开的TCP端口。如果你只想查看特定端口(比如1935端口)的使用情况,可以使用命令`netstat -ntulp | grep 1935`。 这样,你就成功地在Linux上开通了防火墙。请注意,以上操作需要以root用户或具有sudo权限的用户身份执行。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [linux 开启防火墙](https://blog.csdn.net/qq_40711092/article/details/127098853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [LINUX防火墙的研究与实现(详细配置)](https://download.csdn.net/download/yuanshiyin/2974899)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值