iptables 规则更改(filter)、firewalld centos7 更改配置

最新推荐文章于 2024-09-07 22:31:22 发布
最新推荐文章于 2024-09-07 22:31:22 发布
阅读量250 收藏
点赞数
文章标签: 网络 运维
原文链接:http://www.cnblogs.com/heitaoq/p/9343523.html
版权
本文详细介绍了iptables中默认策略(policy)的设置方法及如何使用iptables进行规则(filter)定义,包括不同协议的规则对比及端口设置。此外,还介绍了CentOS 7中firewalld的基本使用及配置方法。
摘要由CSDN通过智能技术生成
iptables中定义默认策略(policy)

当数据包不在我们设置的规则之内时,则该数据包的通过与否,是以Policy的设置为准。在安全性比较高的主机中,Filter内的INPUT链定义的比较严格,INPUT的Policy定义为DROP

ptables定义规则:

格式:iptables [-t table] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP ]

-p : 定义策略(Policy)。注意:P为大写 
ACCEPT:数据包可接受 
DROP:数据包被丢弃,client不知道为何被丢弃。

iptables  -P INPUT DROP  //INPUT默认设置为DROP
iptables  -P OUTPUT DROP  //OUTPUT默认设置为ACCEPT
iptables  -P FORWARD DROP // FORWARD默认设置为ACCEPT

  

iptables定义规则(filter)的格式: 
iptables [-AI 链名] [-io 网络接口 ] [ -p 协议 ] [ -s 来源IP/网络 ] [ -d 目标IP/网络 ] -j [ACCEPT | DROP|REJECT|LOG]

参数说明: 
-A:新增一条规则,该规则在原规则的最后面。 
-I:插入一条规则,默认该规则在原第一条规则的前面。即该新规则变为第一条规则。

-io 网络接口:设置数据包进出的接口规范。 
-i:表示输入。即数据包进入的网络接口。与INPUT链配合 
-o : 表示输出。数据包传出的网络接口。与OUTPUT链配合

-p 协定: 此规则适应于哪种数据包。如tcp,udp,icmp及all.

-s 来源 IP/网络:设置次规则之前数据包的来源地,可指定单纯的IP或网络,例如: 
IP : 192.168.0.100 
网络 : 192.168.0.0/24或者192.168.0.0/255.255.255.0 
如果规则为不允许,则在IP/网络前加 “!” 即可。 
-s ! x.x.x.x

-d 目标 IP/网络。与-s类似,只是是目标IP或者网络而已。

-j:后面接操作。如ACCEPT,DROP ,REJECT或者LOG(记录)

比如:开放lo这个本机的接口以及某个IP来源

//设置io成为受信任的设备,亦即进出lo的数据包都接受
iptables -t filter -A INPUT -i eth0  -j ACCEPT

 

我们可能会有疑惑,为什么没有-s -d等规则,表示不论数据包来自何处或去到哪里,只要是来自lo这个接口全部接受。

设置来自192.168.100.10的就接受,192.168.100.11的就丢弃。

iptables -A INPUT -i eth0 -s 192.168.100.10 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.100.11 -j DROP
iptables -I INPUT -i eth0 -s 192.168.100.0/24 -j ACCEPT

 此时我们执行iptables-save 

[root@localhost ~]# iptables-save
# Generated by iptables-save v1.4.7 on Wed Jun  6 10:41:44 2018
*nat
:PREROUTING ACCEPT [9:1155]
:POSTROUTING ACCEPT [4:1312]
:OUTPUT ACCEPT [4:1312]
COMMIT
# Completed on Wed Jun  6 10:41:44 2018
# Generated by iptables-save v1.4.7 on Wed Jun  6 10:41:44 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [65:5416]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Jun  6 10:41:44 2018

  

TCP,UDP协议的规则对比:针对端口设置
  • 在 -s 参数后面可以增加一个参数 -sport 端口范围(限制来源端口),如:1024:65535
  • 在-d 参数后面可以增加一个参数 -dport 端口范围(限制目标端口)

需要特别注意,这两个参数重点在port上面,并且仅有TCP和UDP数据包具有端口,因此要想使用–dport,–sport时需要加上-p tcp或者 -p udp才会成功。

下面做几个小测试:

//丢弃所有想要链接本机21端口的数据包
iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
//想要链接到本机的网上邻居(UDP port 137,138 tcp 139,445)就放行
iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT
//只要来自192.168.1.0/24的1024:65535端口的数据包,且想要连接的本机的ssh port就阻挡
iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 --sport 1024:65535 --dport ssh -j DROP

iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP

  除了制订端口号之外,TCP数据包还有特殊的标识,比如主动链接的SYN标志。iptables支持使用–syn来处理。

iptables -A INPUT -i eth0 -p tcp --sport 1:1023 -dport 1:1023 --syn -j DROP

  

启动: systemctl start firewalld
关闭: systemctl stop firewalld
查看状态: systemctl status firewalld 
开机禁用  : systemctl disable firewalld
开机启用  : systemctl enable firewalld
 
 
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。

启动一个服务:systemctl start firewalld.service
关闭一个服务:systemctl stop firewalld.service
重启一个服务:systemctl restart firewalld.service
显示一个服务的状态:systemctl status firewalld.service
在开机时启用一个服务:systemctl enable firewalld.service
在开机时禁用一个服务:systemctl disable firewalld.service
查看服务是否开机启动:systemctl is-enabled firewalld.service
查看已启动的服务列表:systemctl list-unit-files|grep enabled
查看启动失败的服务列表:systemctl --failed

3.配置firewalld-cmd

查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
查看区域信息:  firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
 
那怎么开启一个端口呢
添加
firewall-cmd  --zone=public --add-port=80/tcp --permanent    (--permanent永久生效,没有此参数重启后失效)
重新载入
firewall-cmd --reload
查看
firewall-cmd --zone= public --query-port=80/tcp
删除
firewall-cmd  --zone= public --remove-port=80/tcp --permanent
 

 

转载于:https://www.cnblogs.com/heitaoq/p/9343523.html

weixin_34102807
关注
firewalld&iptables
sky__man的博客
12-03 413
一. Firewalld 动态防火墙后台程序-firewalld,提供了一个动态管理的防火墙,用以支持网络“zones”,以分配对一个网络及其相关链接和界面一定程序的信任。它具备对ipv4和ipv6防火墙设置的支持,它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 1. firewall-sysconfig        #图像化配
Nine iptablesFirewalld防火墙
weixin_50848408的博客
11-09 139
Copyright © 1999-2020, CSDN.NET, All Rights Reserved 搜索博文/帖子/用户 木子~忘忧关注Linux就该这么学—Nine IptablesFirewalld防火墙 原创2019-07-27 11:22:53 5点赞木子~忘忧 码龄8年关注防火墙管理工具防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的
防火墙(firewalldiptables
weixin_34362991的博客
02-18 274
防火墙: 保证数据的安全性是继数据可用性之后的最为重要的一项工作 防火墙作为公网和内网之间的保护屏障 防火墙种类: 硬件防火墙:网关服务器 软件防火墙:装在操作系统中的软件 防火墙管理工具 主要功能:依据策略对穿越防火墙的自身流量进行过滤。 在centos和RHEL系统中: firewalld:7版本以上(centos7.x,RHEL7.x) iptables:6版本(centos6.x,...
linux防火墙(firewalldiptables)_firewalld
最新发布
2401_86358891的博客
09-07 1164
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包firewalldCentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)firewalld配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供。
firewalld filter
weixin_30299539的博客
05-12 192
实现 firewalldfilter 功能 1. 关闭 INPUT ,关闭OUTPUT (设置黑名单) 任何主机 都 ping 不通 本主机 1>命令iptables -P INPUT DROP 2>. 3>查看 2. 设置白名单 @1> 例如 实现宿主机通过ssh 与本主机进行 连接(xshell ,crt)连接 命令 :...
浅析FirewalldIptables
热门推荐
lilygg的博客
06-08 1万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter...
探究 CentOS 7 下 iptablesfirewalld 切换过程中,谁主沉浮
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
01-20 2385
最近需要开发一个 iptables 的可视化管理平台,研究了一下 iptablesfirewalld 这两个防火墙。CentOS 6 上 iptables 作为默认防火墙,这个比较好控制。对于 CentOS7 中,这两个防火墙之间切换时,到底谁起主要作用呢?又怎么控制规则呢?
linux防火墙简单介绍(iptablesiptables.service、firewalld
紫薯的博客
10-02 898
对于第一次学习linux防火墙的同学来说,各种名词可能会把自己脑袋搞晕,不清楚各个名词之前的关系,我就是如此。网上的资料有很多但是很杂很乱,新出来的ChatGPT比百度好用多了,我在这里进行归纳整理,帮助初学者更好的理解,以下演示环境为centos7。 防火墙主要分为硬件防火墙和软件防火墙,硬件防护墙是专门设计的一台主机,其中的操作系统主要以提供数据包数据的过滤机制为主,将其他不必要的功能拿掉,因此数据包过滤的效率最佳。本文讲解软件防火墙,硬件防护墙这里不讨论。
CentOS 7 防火墙修改iptables(防火墙相关命令配置
中关村村委的博客
07-25 2096
目录 CentOS7默认的防火墙不是iptables,而是firewalle. Centos 7 使用firewall : Centos 7 使用iptablesiptables常用命令 CentOS7默认的防火墙不是iptables,而是firewalle. Centos 7 firewall 命令: 查看已经开放的端口: firewall-cmd --list-ports...
iptablesfirewalld防火墙
m0_62948770的博客
08-14 5288
认识安全的重要性,学习iptablesfirewalld
linux-运维进阶-13 iptablesfirewalld防火墙
weixin_42560249的博客
03-26 1505
linux-运维进阶-13 iptablesfirewalld防火墙 iptables iptablescentos6以及之前版本的默认防火墙工具,在centos7默认防火墙工具已经替换为firewalld。 区别: iptables防火墙的底层是netfiter firewalld防火墙的底层是iptables 注意:iptablesfirewalld是冲突的,同时只能使用一个防火墙 在...
firewalldiptables
Yy_qingmofeige的博客
06-01 376
#################### ##### iptables###### #################### 重置虚拟机 配置yum源 添加网卡,使两个网卡不在同一网段 防火墙开启 iptables开启 1. iptables -t #指定表名称 -n #不做解析 -L #列出指定表中的策略 -A #添加策略 -P #网络协议 --d
防火墙Firewalldiptables
2201_75444658的博客
08-01 669
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
firewalldiptables
sdd220的博客
07-28 236
(1)firewalld默认是拒绝所有,因此需要设置提供服务;动态配置,立即生效,zone配置文件保存在“/usr/lib /firewalld/zones/”目录下 (2)iptables默认是对每个服务都允许,需要拒绝的时候才去限制,相关配置重启才会生效 firewalld配置firewalld-cmd命令行工具) 使用systemd的systemctl命令完成 启动:systemct
firewalldiptables
记事本
12-07 985
firewalldiptables
iptablesfirewalld
weixin_46362974的博客
06-19 1106
iptablesfirewalld防火墙策略设置 SNAT与DNAT策略配置
firewalld防火墙规则设置!
weixin_54609255的博客
09-01 493
#指定ip端口规则 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="宿主机IP地址" port protocol="tcp" port="端口" accept" #reload配置生效 firewall-cmd --reload 更多防火墙详情请点击!
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1769
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
centos7.9 iptables 怎么配置开机自动加载
06-02
CentOS 7.9 中,iptables 已经被替换成了 firewalld,但是如果你仍然想使用 iptables,可以按照以下步骤...但是需要注意的是,在 CentOS 7.9 中使用 iptables 有一些局限性,推荐使用 firewalld 来管理防火墙规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值