iptables与firewalld防火墙的使用

最新推荐文章于 2024-03-01 20:50:30 发布
最新推荐文章于 2024-03-01 20:50:30 发布
阅读量422 收藏
点赞数
分类专栏: Linux基础 网络管理 服务类 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42403893/article/details/118874266
版权

本小节来给大家演示使用iptables firewall-cmd等防火墙策略配置服务,在这里采用了几个真实工作需求中可能会用到的策略配置,希望各位老哥学习完,能加深自己的印象,更好的维护系统

Iptables

早期环境中,默认是采用iptables来管理配置防火墙,虽然新的防火墙已经使用,但是大部分学者还是习惯使用于iptables。所有先来给大家介绍介绍iptables的玩法

五链

  • 在进行路由选择前处理数据包——PREOUTING
  • 处理流入的数据包——INPUT
  • 处理流出的数据包——OUTPUT
  • 处理转发的数据包——FORWARD
  • 在进行路由选择后处理数据包——POSTEROUTING

四表

  • 允许流量通过——ACCEPT
  • 拒绝流量通过并回应——REJECT
  • 记录日志信息——LOG
  • 拒绝流量通过丢弃不回应——DROP

常用设置参数

参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在末尾新加规则链需要加-A
-I在规则链头部加入规则,或者创建第一天规则需要写入
-D删除某一条规则链
-s匹配来源地址IP/MASK +!表示排除这个IP
-d匹配目标地址
-i匹配网卡流入的数据
-o匹配网卡流出的数据
-p匹配协议
-dport匹配端口号
-sport匹配来源端口号
将流入流量的策略设置为拒绝
[10:54 4.2root@ahei ~]# iptables -P  INPUT DROP
拒绝所有流量,包括imcp,ssh等
如果想进行操作,则需要设置额外策略来放行
允许ping命令
[10:54 4.2root@ahei ~]# iptables -I INPUT -p imcp -j ACCEPT
可以允许其他机器ping该主机
-I 选项是因为是第一条策略,所有要加
允许主机访问本机的3306端口
[10:54 4.2root@ahei ~]# iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
-p tcp  代表协议是tcp
--dport 3306   允许访问tcp 3306端口
需要加访问主机 在协议前加 -s 主机范围/地址
删除某一条规则链
[10:54 4.2root@ahei ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:52113

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

默认可以看到前十条记录
例如我们将icmp 设置为拒绝,在DORP表下删除该策略就直接拒绝了

[11:11 4.2root@ahei ~]# iptables -D INPUT 1
因为该记录在第一位,所有编号就默认是1
将默认策略设置为允许
[11:11 4.2root@ahei ~]#iptables -P  INPUT ACCETP
拒绝访问110端口
[11:11 4.2root@ahei ~]# iptables -A INPUT -p tcp --dport 110 -j DROP
[11:11 4.2root@ahei ~]# iptables -A INPUT
-p udp --dport 110 -j DROP
拒绝访问包含tcp及udp协议,所有都要写入
连续端口可以写成 1:100
设置永久生效需要保存设置
[11:11 4.2root@ahei ~]# iptables-save

Firewalld

firewalld可以实现防火墙策略之间的快速切换,不同的场景切换不同的策略即可

区域默认策略规则
trusted允许所有的数据包
home拒绝流入的流量,除非与流出的流量相关;如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal等同于home区域
work拒绝流入的流量,除非与流出的流量树相关;如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public拒绝流入的流量,除非与流出的流量相关;如果流量与ssh、ipp-client服务相关,则允许流量
external拒绝流入的流量,除非与流出的流量相关;如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关;如果流量与ssh服务相关,则允许流量
block拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关

一些默认参数

参数作用
–get-default-zone查看默认的区域名称
–set-default-zone设置默认区域名称
–get-zones显示可以用的区域
–get-service显示预定的服务
–get-active-zones显示当前使用的区域与网卡名称
–add-source=将源自此IP或子网的流量导入指定的区域
–remove-souce=不在将此IP或子网的流量导入指定区域
–add-interface=将该网卡的流量都导入某个区域
–change-interface=将某个网卡与区域进行关联
–list-all将显示当前区域的网卡配置,资源,端口,服务等信息
–list-all-zones将显示所有区域的网卡,资源,端口,服务等信息
–add-service=设置默认区域允许该服务的流量
–add-port=设置默认区域允许该端口流量
–reload设置永久生效
–panic-on开启应急状况,阻断一切流量

TIPS
配置永久模式 需要加入–Permanent ,设置的策略只有重启以后才能生效,所有还需要手动配置–reload命令

查看默认使用的区域
[11:35 4.2root@ahei ~]#firewall-cmd --get-default-zone
public
查看指定网卡绑定的区域
[11:35 4.2root@ahei ~]#firewall-cmd --get-zone-of-interface=eth0
public
修改网卡的默认区域
[11:35 4.2root@ahei ~]#firewall-cmd --permanent --zone=dmz --change-interface=eth0
success
查看该区域
[11:35 4.2root@ahei ~]#firewall-cmd --permanent --get-zone-of-interface=eth0
dmz
修改默认区域为public
[11:35 4.2root@ahei ~]#firewall-cmd --set-default-zone=dmz
success
[11:35 4.2root@ahei ~]#firewall-cmd --get-default-zone
dmz
[11:35 4.2root@ahei ~]#firewall-cmd --get-zone-of-interface=eth0
dmz
应急模式
[11:35 4.2root@ahei ~]#firewall-cmd --panic-on
success
[11:35 4.2root@ahei ~]#firewall-cmd --panic-off
success
查询某个流量或服务是否放行
[11:35 4.2root@ahei ~]#firewall-cmd --zone=dmz --query-service=服务名(ssh,ftp.https....)
yes/no
设置ssh流量放行,并生效
[11:35 4.2root@ahei ~]#firewall-cmd --permanent --zone=public --add-service=ssh
success
[11:35 4.2root@ahei ~]#firewall-cmd --reload
success
这样重新加载服务就生效了
拒绝ssh流量,立即生效
[11:35 4.2root@ahei ~]#firewall-cmd --permanent --zone=dmz --remove-service=ssh
success
[11:35 4.2root@ahei ~]#firewall-cmd --reload
success
访问8080 8081端口允许,当前生效
[11:35 4.2root@ahei ~]#firewall-cmd --zone=dmz --add-port=8080-8081/tcp
success
[11:35 4.2root@ahei ~]#firewall-cmd --zone=dmz --list-ports
8080-8081/tcp
端口转发,将3305转发到3306
[11:35 4.2root@ahei ~]#firewall-cmd --permanent --zone=dmz --add-forward-port=port=3305:proto=tcp:toport=22:toaddr=192.168.10.1
success
[11:35 4.2root@ahei ~]#firewall-cmd --reload
success
伈莣
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法 iptablesfirewalldLinux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍...
IptablesFirewalld防火墙(MD格式)
最新发布
07-09
IptablesFirewalld防火墙(MD格式)
firewalld使用iptables使用
tangbin0505的博客
12-21 280
1安装firewalld yum install firewalld firewall-config systemctl start firewalld # 启动 systemctl status firewalld # 或者 firewall-cmd --state 查看状态 systemctl disable firewalld # 停止 systemctl stop firewa...
iptablesfirewalld使用
linuxvfast的博客
01-19 116
2019独角兽企业重金招聘Python工程师标准>>> ...
细说firewalldiptables
weixin_34220834的博客
03-03 567
在RHEL7里有几种防火墙共存:firewalldiptables、ebtables,默认使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalldiptables比起来至少有两大好处:1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;2、firewalld使用上要比...
linux就该这么学第8章IptablesFirewalld防火墙
荆盼的博客
10-28 517
本章讲解了如下内容: ➢ 防火墙管理工具; ➢ iptables; ➢ firewalld; ➢ 服务的访问控制列表。 保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。考虑到大家还不了解RHEL 7中新增的firewalld防火墙与先前版本中iptables防火墙之间的区别,老师决定先带领读者从理论层面和实...
iptables+firewalld
小杜的博客
04-16 427
防火墙讲解 centos7默认使用防火墙firewalld,但是同样也是支持iptables,在当今许多的企业中 使用的最多的是还是centos6的系统,所以为了能更好的服务于这些使用centos6的公司 我们首先学习的是iptables。最后学习firewalldiptables netfilter/iptables:IP信息包过滤系统,由2个组件构成,分别是:netfilter和ip...
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
firewalld防火墙实操
09-19
与传统的`iptables`相比,`firewalld`提供了更为灵活的服务和端口管理方式,并支持运行时配置更改而无需重启服务。 #### 二、基本概念 在使用`firewalld`之前,我们需要了解几个基本的概念: - **区域(Zone)**:...
iptablesfirewalld的区别
qq_37387363的博客
12-01 1138
在RHEL7里有几种防火墙共存:firewalldiptables、ebtables,默认使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalldiptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、firewalld使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分
防火墙 firewalldiptables 使用
weixin_39904272的博客
09-13 380
iptablesfirewalld防火墙启动 systemctl status firewalld.service # 查看firewalld 防火墙状态 systemctl start firewalld.service # 启动 firewalld 防火墙 systemctl stop firewalld.service # 关闭 firewalld 防火墙 systemctl unmask firewalld.service # 启用 firewalld 防火墙 sys
iptablesfirewalld使用
m0_59138290的博客
08-02 156
iptablesfirewalld使用
iptables查看、添加、删除规则
ddd123789999的博客
11-05 402
1、查看 iptables -nvL –line-number -L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数 -n 不对ip地址进行反查,加上这个参数显示速度会快很多 -v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口 –line-number 显示规则的序列号,这个参数在删除或修改规则时会用到 2、添加 添加规则有两个...
iptablesfirewall-cmd
xiaofu9910的博客
05-26 697
linux学习第9天 网卡设置方法: (1),修改配置文件: vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 二,,防火墙修改规则 1, Iptables; 1.1,规则链: 路由选择前处理数据包【FREROUTING】 路由选择后处理数据包【POSTROUTING】 处理流入的数据包【INPUT】 处理流出的数据包【OUTPUT】 处...
firewall-cmdiptables 的基本使用
qq_34980668的博客
08-11 1835
ConterOS7.0以上默认使用的是firewalld,ConterOS7.0默认以下使用的是iptables。然而很多人习惯了使用iptables,所以本文也一并总结了iptables。不过需要注意:ConterOS7.0以上系统如果还想使用iptables的话,一般需要先安装,再使用。 一、firewalld 命令格式: firewall-cmd [选项 ... ] 查看帮助: firewall-cmd --help 基本使用: 查看防火墙状态:firewall-cmd --state
linux防火墙命令firewall、iptable以及端口号等详解诠释(全)
热门推荐
码农研究僧的博客
09-09 1万+
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
Linux防火墙FirewallIptables使用
weixin_42907150的博客
03-01 386
Linux中有两种防火墙软件,ConterOS7.0以上使用的是firewall,ConterOS7.0以下使用的是iptables,本文将分别介绍两种防火墙软件的使用
linux虚拟机中仅主机模式下桥接网络的四种方法及iptables使用细节!
SYH885的博客
10-26 2612
虚拟机桥接网络 vmware为我们提供了三种网络工作模式,它们分别是:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)。 打开vmware虚拟机,我们可以在选项栏的“编辑”下的“虚拟网络编辑器”中看到VMnet0(桥接模式)、VMnet1(仅主机模式)、VMnet8(NAT模式),那么这些都是有什么作用呢?其实,我们现在看到的VMnet0表示的是用于桥接模式下的虚拟交换机;VMnet1表示的是用于仅主机模式下的虚拟交换机;VMnet8表示的是用于NAT模式下的虚拟交换
linuxiptablesfirewalld 的关系
05-31
iptablesfirewalld都是Linux系统中的防火墙工具,用于管理网络数据包的过滤和转发。iptablesLinux内核中的防火墙工具,其通过一系列规则过滤和转发网络数据包。firewalld是一个用户空间的动态防火墙管理工具,它使用iptables作为其底层的过滤引擎。 在CentOS 7及以上版本中,firewalld已经取代了iptables成为了默认的网络防火墙工具。firewalld提供了更加灵活和容易管理的防火墙配置方式,可以动态地管理网络端口和服务。同时,firewalld也支持使用iptables规则,因此,可以在firewalld的基础上使用iptables的规则,以满足不同的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值