iptables和firewall

最新推荐文章于 2023-05-15 17:29:25 发布
最新推荐文章于 2023-05-15 17:29:25 发布
阅读量305 收藏 1
点赞数
分类专栏: 个人笔记 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42637022/article/details/124292393
版权
本文详细介绍了iptables的规则添加(Access Control)、默认策略和黑白名单概念,以及firewalld的zone管理和richrule规则的应用,重点讲解了如何设置白名单以提高系统安全性。
摘要由CSDN通过智能技术生成

iptables

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT

-A表示添加,INPUT表示添加的位置
-D表示删除
-s表示源,192.168.1.0/24表示数据包中源ip是192.168.1.0/24网段将会被匹配
-p表示协议,tcp就表示匹配的协议是tcp将会被匹配
--dport表示目的端口 22就表示目的端口是22将会被匹配
-j表示动作 ACCEPT就表示接受(允许),REJECT表示拒绝

iptables默认规则
iptables -P INPUT DROP/ACCEPT #默认的不让进/让进
iptables -P FORWARD DROP/ACCEPT  #默认的不允许转发/允许
iptables -P OUTPUT DROP/ACCEPT #默认的不可以出去/可以

黑名单和白名单的概念

黑名单就是默认放行所有,把想拒绝的规则写进去
白名单就是默认拒绝所有,把想放行的规则写进去

白名单的安全远高于黑名单

一般iptables是不会针对output和forward流量进行控制的,因为一般服务器操作系统不会开启流量转发,第二就是output的流量没有必要限制

firewalld

firewalld提供了zone的概念,zone是区域的意思,firewalld将我们的系统划分成一个个的zone
zone的边界取决于网卡。
firewalld提供了zone,一个网卡只能属于一个zone,那zone的边界就是始于该zone的网卡。

firewalld的zone里面有网卡,有规则(rule)。如果一个网卡属于firewalld的某个zone,那么这个zone里面的所有规则都会应用到该zone的规则

service规则
[root@server-1 ~]# firewall-cmd --add-service=tftp
success
[root@server-1 ~]# firewall-cmd --remove-service=tftp
success

port规则

rich rule(富规则)
[root@server-1 ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source address=1.1.1.0/24 port port=8080 protocol=tcp reject"
[root@server-1 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 3000/tcp 9100/tcp 9090/tcp
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="1.1.1.0/24" port port="8080" protocol="tcp" reject
  
  以上规则都是临时的
  在规则后面加上--permanent,就能永久生效	
  [root@server-1 ~]# firewall-cmd --runtime-to-permanent ##是临时规则全部变为永久规则
success  
[root@server-1 ~]# firewall-cmd --reload #不中断服务的重新加载,同时也会清除临时规则
success #

为了避免防火墙规则reload,建议敲两次,一次带--permenent,一次不带
平凡的小金人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统中Firewalld防火墙
chaos_oper的博客
12-10 545
一.Firewalld防火墙概述 动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络"zones",以分配对一个网络及其相关链接和界面一定程度的信任。它具备对IPv4和IPv6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewall-config,sy...
运维iptablesfirewalld详解
最新发布
专注于输出具有实用价值的软件运维经验及教程
06-21 1876
关于iptablesfirewalld 的关键概念、常用操作、各自优势特点的详细记录。
防火墙----firewalld
w_____y2的博客
05-15 172
安装防火墙插件,四表五链,防火墙使用,匹配 协议和端口,TCP 传输控制协议 UDP 用户数据包 协议,标志位,TCP三次握手 双方 建立 传输通道,匹配 数据包状态,,表示 网络通信状态,匹配 ICMP扩展,状态扩展,IP地址扩展,端口扩展,并发链接扩展,,流量控制扩展,recent扩展,自定义链
iptables防火墙屏蔽指定ip的端口
shy_snow的专栏
02-14 4684
#尾部插入一条记录,拒绝ip访问除了22端口以外的所有端口 iptables -A INPUT -s 192.1.217.54 -p tcp -m tcp ! --dport 22 -j REJECT # 第一行插入规则允许通过的端口号 iptables -I INPUT 1 -s 192.1.217.54 -p tcp -m tcp --dport 8020 -j ACCEPT
Iptables防火墙规则使用梳理
weixin_33843947的博客
01-09 629
  iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全。以下对iptables的规则使用做了总结性梳理: iptables首先需要了解的:1)规则概念规则(rules...
Linux 防火墙
L先生
06-16 235
文章目录一、Firewalld概述二、iptables1、规则表2、规则链3、数据包过滤的匹配流程三、firewalld和iptables的区别四、iptables的基本语法1、语法构成注意事项2、数据包的常见控制类型3、管理选项添加新的规则默认规则策略删除、清空规则查看规则匹配规则条件隐含匹配条件多个端口匹配条件五、示例1、显示规则编号2、禁止这些ip范围ping主机3、清空所有表 一、Firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables
iptables&firewalld
携手凡生的博客
08-18 330
一、iptables1) iptables实验的环境配置:为了避免防火墙之间互相影响,在作iptables的实验之前,先做一点准备工作: systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl unmask iptables.service systemctl strt iptab
iptablesfirewall的区别
04-29
1. **iptables的规则组织**:iptables将规则组织成表和链。表是规则集合的基础单位,每个表可以包含多个链;链则是规则的集合,如INPUT、FORWARD和OUTPUT等,分别代表进入系统、转发数据包和离开系统的规则。 2. **...
iptables-firewall:iptables 规则生成和管理脚本
07-10
iptables 防火墙高机能iptables设定スクリプト。 ======================= PACKET FLOW EXAMPLE========================= config == ROLES=(SSH) SSH=(BLOCK_COUNTRY "file{1,2}|TRACK_PROWLER|DROP" LOCAL_COUNTRY...
centos7 关闭firewall安装iptables并配置
10-13
centos7默认安装了firewall.如果不需要这个,可以把这个关闭,并且把iptables给装上去,并且把相关平常使用比较多的端口进行配置
iptables firewall configurator-开源
05-06
该项目旨在成为iptables配置器。 主机平台是Win32。 编程语言是Borland C ++ Builder。 选择这种混合方式是为了使非Linux网络管理员能够管理Linux防火墙/ NAT代理。
Simple Iptables Firewall-开源
05-03
简单的Iptables防火墙
Firewalld的常见操作总结
beeworkshop的博客
09-22 1476
1. 防火墙的基本概念 传统防火墙的基本理念构建于区域之上。区域是网络接口的集合,归入区域的网络接口上承载的流量具有相同的安全级别。我们说把相同安全级别的设备划入一个区域,就是把连接这些设备的接口归入一个区域。不同区域之间构成了网路边界。我们称这个网络边界为“域间”。防火墙主要就是通过区域间的规则——域间规则,来进行访问控制。所以防火墙实际本质上是根据区域的划分和域间规则的构建来进行流量的访问控制...
Centos7(firewalld)
高手兄
01-16 592
简介 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 策略 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束...
11.Linux下火墙管理方式之firewalld
我要变蘑菇了_o的博客
08-18 330
############ firewall 火墙 ################ firewall 火墙:内核的一种插件 管理方式: (1)iptables:更接近数据的原始操作,精度更高 (2)firewalld:更易操作 【实验5-环境配置】 实验前reset虚拟机,desktop虚拟机做服务,server虚拟机做测试, desktop虚拟机:两块网卡(eth0,eth1),eth0—172...
理论+实操 :linux中firewalld防火墙基础————理论讲解
Lfwthotpt的博客
12-09 1160
文章目录iptables一 : 什么是iptables二 : 四表五链2.1 具体的四表2.2 具体的五链2.3 四表五链之间的关系三 : iptables语法格式一 : firewalld 概述1.1 firewalld 简介1.2 linux 6 跟 linux 7 之间的区别二 : firewalld 和 iptales 的关系2.1 netfilter2.2 firewalld/iptab...
iptables规则用法
qq_57207718的博客
03-23 673
postrouting链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)prerouting链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)-dport目的端口 例:iptables -A INPUT -p tcp --dport 22。-sport源端口 例:iptables -A INPUT -p tcp --sport 22。-d目的地址 例:iptables -A INPUT -d 192.168.12.1。
Linux防火墙-iptablesfirewalld
喜欢打篮球的普通人
12-07 297
文章目录1.步骤2.iptables命令解释 1.步骤 iptables有一个全局策略:要么全局DROP,要么全局ACCEPT,所以如果你设定了你需要的防火墙规则,首先先要将所有iptables先accept,接着安装你设定的防火墙规则,最后全局DROP掉即可 若服务器本身就有防火墙策略 iptables -P INPUT ACCEPT iptables -F iptables -A INPUT -s XXXX -j ACCEPT ##目的是为了能够登录到该服务器,后面会做全局DROP 安装你的防火墙
在Linux中iptablesfirewall的区别
07-14
iptablesfirewall 是两个与网络安全相关的概念。 iptables 是 Linux 系统中一个非常强大的防火墙工具,它基于内核的 Netfilter 模块,可以用来配置、管理和过滤网络数据包。iptables 可以根据各种规则和条件对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值