本文深入解析了Iptables和Firewalld两种防火墙的工作原理及配置方法,包括三表五链、区域策略、动态更新技术等核心概念。同时,详细介绍了SELinux的运行状态、优先级和配置方式,帮助读者全面理解Linux系统的安全防护机制。
----------
**三表五链:**
三表:
filter过滤表
nat转换表
mangle表
五链:
PREROUTING--->在进行路由选择前处理数据包
INPUT--->处理流入的数据包
FORWADR--->处理转发的数据包
OUTPUT--->处理流出的数据包
POSTROUTING--->在进行路由选择后处理数据包
filter:默认使用INPUT FORWARD OUTPUT链
NAT:默认PREROUTING OUTPUT POSTROUTING链
Mangle:五个链
一般:从内网---->外网 可控的
INPUT链使用最多
匹配动作:
允许(ACCEPT)
拒绝(REJECT)--->看到你的信息 拒绝扔掉 --->告诉你
登记(LOG)
不理睬(DROP)--->看到信息不理你(把你的消息扔掉)
**基本的命令参数:**
**iptables命令一般根据源地址 目的地址 协议 服务类型等**
例如设置INPUT默认为DROP拒绝,
iptables -P INPUT DROP
此时远程ssh连接会断开,并且无法Ping通该服务器IP
允许ICMP流量放行和SSH 22
执行:iptables -I INPUT --p icmp -j ACCEPT 则可以Ping通该服务器IP
执行:iptables -I INPUT -p tcp --dport 22 -j ACCEPT 则可以远程SSH连接
三表:
filter过滤表
nat转换表
mangle表
五链:
PREROUTING--->在进行路由选择前处理数据包
INPUT--->处理流入的数据包
FORWADR--->处理转发的数据包
OUTPUT--->处理流出的数据包
POSTROUTING--->在进行路由选择后处理数据包
filter:默认使用INPUT FORWARD OUTPUT链
NAT:默认PREROUTING OUTPUT POSTROUTING链
Mangle:五个链
一般:从内网---->外网 可控的
INPUT链使用最多
匹配动作:
允许(ACCEPT)
拒绝(REJECT)--->看到你的信息 拒绝扔掉 --->告诉你
登记(LOG)
不理睬(DROP)--->看到信息不理你(把你的消息扔掉)
**基本的命令参数:**
**iptables命令一般根据源地址 目的地址 协议 服务类型等**
例如设置INPUT默认为DROP拒绝,
iptables -P INPUT DROP
此时远程ssh连接会断开,并且无法Ping通该服务器IP
允许ICMP流量放行和SSH 22
执行:iptables -I INPUT --p icmp -j ACCEPT 则可以Ping通该服务器IP
执行:iptables -I INPUT -p tcp --dport 22 -j ACCEPT 则可以远程SSH连接
二、firewalld
-----------
-----------
RHEL7默认的防火墙管理工具
基于CLI 也可以基于GUI
支持动态更新技术 加入区域zone概念
区域---->策略
规则
1.在家中允许所有服务
2.办公室允许文件共享服
3.咖啡厅只能浏览网页规则:常见区域:默认区域public
区域 默认规则策略
**firewalld命令**
Firewalld-cmd 参数都是以长格式
RHEL7中 对参数可以补齐tab
RHEL6中 对命令补齐 对参数无效
**使用firewalld配置的防火墙策略--->默认运行模式 Runtime模式,当前生效模式--系统重启会失效**
**永久模式 Permanent--->需要参数 --permanent**
**设置的策略必须经过重启才生效**
**立刻生效 --reload**
事例:把原本访问本机的888端口的流量转发到 22端口 要求当前和长期都有效
基于CLI 也可以基于GUI
支持动态更新技术 加入区域zone概念
区域---->策略
规则
1.在家中允许所有服务
2.办公室允许文件共享服
3.咖啡厅只能浏览网页规则:常见区域:默认区域public
区域 默认规则策略
**firewalld命令**
Firewalld-cmd 参数都是以长格式
RHEL7中 对参数可以补齐tab
RHEL6中 对命令补齐 对参数无效
**使用firewalld配置的防火墙策略--->默认运行模式 Runtime模式,当前生效模式--系统重启会失效**
**永久模式 Permanent--->需要参数 --permanent**
**设置的策略必须经过重启才生效**
**立刻生效 --reload**
事例:把原本访问本机的888端口的流量转发到 22端口 要求当前和长期都有效
Firewall优先级最高!!!
--------
--------
**SNT--为了解决ip地址缺乏**
服务的访问控制列表
TCP Wrappers 是THEL7 默认启用的流量监控系统
根据主机地址 和本机的目标服务
两个原则
1.编写拒绝规则时 填写的是服务名称 不是协议名称
2.建议先写拒绝
服务的访问控制列表
TCP Wrappers 是THEL7 默认启用的流量监控系统
根据主机地址 和本机的目标服务
两个原则
1.编写拒绝规则时 填写的是服务名称 不是协议名称
2.建议先写拒绝
Iptables--firewall--->软件层次 数据层次
-------------------------------
-------------------------------
Selinux--->Linux内核
------------------
------------------
**Selinux--->Linux内核保护**
**Setenforce 改变运行状态**
**Getenforce 获取selinux状态**
**状态:**
**Enforcing--记录警告 并且阻止**
**Permissive--允许 记录警告但是不阻止**
**Disabled--禁用**
**RHEL、CentOS 、Fedora 默认是Enforcing**
**其余是Permissive**
**Setenforce 改变运行状态**
**Getenforce 获取selinux状态**
**状态:**
**Enforcing--记录警告 并且阻止**
**Permissive--允许 记录警告但是不阻止**
**Disabled--禁用**
**RHEL、CentOS 、Fedora 默认是Enforcing**
**其余是Permissive**
扫一扫
369
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
