Linux防火墙

已于 2024-05-28 15:11:31 修改
阅读量2.8k 收藏 5
点赞数 2
分类专栏: 运维工作笔记 文章标签: 运维
于 2019-02-12 10:21:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43258559/article/details/87071690
版权

Linux防火墙

iptables

在这里插入图片描述

四表:主要用filter表和nat表

  • filter:过滤数据包,防火墙
  • nat:network address translathion 网络地址转换
  • mangle:拆解报文,做出修改,封装报文
  • raw:关闭nat 表上启用的链路追踪机制,决定数据包是否被状态跟踪机制处理
    在这里插入图片描述

五链:

  • prerouting :在对数据包作路由选择之前,应用此链中的规则。
  • input:当接收到访问本机地址的数据包(入站)时,应用此链中的规则。
  • forward:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则。
  • output:当防火墙本机向外发送数据包(出站)时,应用此链中的规则。
  • postrouting:在对数据包作路由选择之后,应用此链中的规则。

规则优化原则:

  • 规则不要写太多,否则匹配缓慢
  • 把匹配范围大的规则写在下面

规则表之间的优先顺序:raw>mangle>nat>filter

iptables规则

  • 添加、插入、删除、清空规则和查看规则是最常用的管理选项
  • 最基本的两种策略为ACCEPT(允许)、DROP(丢弃)
  • 在iptables命令中使用-s 源地址和-d 目标地址的形式,分别对应于源(–source)地址和目标(–destination)地址。
  • -A参数 是添加规则到结尾
  • -I参数 是添加规则到最前面

filter表:

iptables -L  #查看filter过滤规则表

设置filter表的INPUT链 插入一条允许出入站,一般只配置入站

iptables -t filter -A INPUT -p tcp --dport 10050 -j ACCEPT    #表末尾添加允许入站10050端口.
iptables -I  INPUT -p tcp --dport 10050 -j ACCEPT   #表最上面添加允许入站10050端口.默认使用filter表不用-t参数
iptables -t filter -I  INPUT 5  -p tcp --dport 10050 -j ACCEPT #插入规则到第五条
iptables -I INPUT -s 58.246.139.82 -p tcp -m tcp --dport 40022 -j ACCEPT #允许58.246.139.82访问40022端口
iptables-I INPUT -s 58.246.139.82 -j ACCEPT #允许58.246.139.82 访问本机所有端口
service iptables save  #保存修改

添加规则禁止出入站

iptables -I INPUT -s 0.0.0.0 -p tcp --dport 25 -j DROP  #禁用任意IP入站25端口
iptables -I OUTPUT -s 0.0.0.0 -p tcp --dport 25 -j DROP  #禁用任意IP出站25端口
service iptables save  #保存修改

删除规则,清空规则 慎用

iptables -L -n --line-number  #查询规则所在行号
iptables -F #清空filter表、nat表、mangle表各链中的所有规则 
iptables -t filter -D INPUT 2  #删除filter表INPUT链中的第2条规则。
iptables -t nat -D PREROUTING  17 删除nat表PREROUTING链的行号17的规则

设置规则链的默认策略

iptables -t filter -P FORWARD DROP #将filter表中FORWARD规则链的默认策略设为DROP

设置filter表的forward链转发策略

iptables -A FORWARD -s 192.168.1.11 -j REJECT   #拒绝转发来自192.168.1.11主机的数据
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT  #允许转发来自192.168.0.0/24网段的数据

NAT表

DNAT 目的地址转换,通常被叫做目的映射 (外网想访问内网端口)

web服务器放在内网,配置内网ip,前端有个防火墙,配置公网ip,互联网上的访问者使用公网ip来访问这个网站。当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip。防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了,即DNAT,基于目标的网络地址转换 。

SNAT 源地址转换,通常被叫做源映射 (内网想访问外网)

PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip。当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip。这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了。所以叫做SNAT,基于源地址的地址转换。

查看NAT表的规则

iptables -t nat -L -n --line-number

NAT 地址转发

如本机有公网IP,其他服务器在同一个子网,在本机做NAT地址转发,可以实现公网访问本机33389端口转发到内网的其他服务器的3389端口,实现公网的远程访问

设置NAT表的PREROUTING链 (公网远程访问内网)

iptables -t nat -A PREROUTING -d 0.0.0.0/0  -p tcp -m tcp --dport 33389 -j DNAT --to-destination 10.73.0.4:3389   
#访问本机的33389端口转发到10.73.0.4服务器的3389端口

防火墙规则还原

#查看启动配置
which iptables

/etc/init.d/iptables
#查看iptables文件位置
/etc/sysconfig/iptables

#备份
cp iptables  iptables.202402181531
#还原
iptables-restore < iptables.202402181531
#保存
iptables-save > /etc/sysconfig/iptables

firewalld 规则配置

概念

启动新规则时,不会像ipatbles一样,先清空规则,再启动所有规则,如此会对现在程序有影响,哪怕只是一条规则。而firewalld 规则变更不需要对整个防火墙规则重载,可直接添加新规则

iptables与firewalld的关系:

  • firewalld底层使用iptables作为防火墙规则管理入口。
  • firewalld内核模块还是netfilter,只是firewalld修改了daemon和service。
  • 添加规则还是通过iptables管理的,可以通过iptables查看规则。
  • firewalld没有链的概念
  • redhat6用iptables,redhat7用firewalld/iptables用的少

相关配置文件位置

firewalld 配置:储存在/usr/lib/fierwalld//etc/firewalld/目录中的XML文件中
/usr/lib/fierwalld/services/  #模块目录,里面有每个服务对应的模板,配置默认端口
/etc/firewalld/ #配置目录

firewalld zone

firewalld将网卡对应到不同的区域(zone)
zone默认共有9个:block,dmz,drop,external,home,internal,public,trusted,work.
区域相当于iptables的表 
drop区域:配置的规则为丢弃的规则
public区域:公共规则

规则配置

列出所支持的zone和查看当前的默认zone

firewall-cmd --get-zones

默认使用区域

firewall-cmd --get-default-zone

查看防火墙规则

firewall-cmd --list-all

查看规则状态

firewall-cmd --state

加载规则

firewall-cmd --reload

开放3306端口

firewall-cmd --add-port=3306/tcp --permanent

开放网段

firewall-cmd --permanent --add-source=192.168.0.0/22

移除规则

firewall-cmd --permanent --remove-source=192.168.0.0/22

开放服务

firewall-cmd --permanent --add-service=http

移除服务

firewall-cmd --permanent --remove-service=http

允许192.168.0.10访问80端口(富规则)

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.10" port protocol="tcp" port="80" accept"
#family  对哪个协议
#source address	源地址
#accept	允许
#drop	拒绝

拒绝192.168.0.10访问80端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.10" port protocol="tcp" port="80" drop"
firewall-cmd --reload

配置完规则一定要重新加载防火墙:firewall-cmd --reload

同一规则允许及拒绝时,效果为拒绝,不会跟iptables一样,没有先后顺序优先匹配,为全文匹配,拒绝大于允许

端口转发

开启转发功能

vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1
#sysctl -p
#或者
#echo 1 >/proc/sys/net/ipv4/ip_forward

将访问192.168.1.10(本机)主机8080端口的请求转发至80端口

firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10

将访问192.168.1.10(本机)主机8080端口的请求转发至192.168.1.111的80端口

firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toaddr=192.168.1.111:toport=80

将本机的80端口转发至192.168.1.109 8080端口

firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.109

转发时,要开启伪装,伪装就是SNAT

firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --reload
firewall-cmd --query-masquerade
风车带走过往
关注
专栏目录
linux防火墙查看状态firewall
qq_44534541的博客
02-15 9025
1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 开启 service firewalld start 重启 service firewalld restart 关闭 service firewalld stop 4、查看防火墙规则 firewall-cm
Linux运维--Firewall防火墙命令以及规则等详解(全)
lza20001103的博客
09-02 2766
Linux运维--Firewall防火墙命令以及规则等详解(全)
Linux系统使用iptables配置入端口
最新发布
weixin_51803498的博客
09-28 528
Linux系统中,使用iptables配置入端口(即允许外部流量通过特定端口进入服务器)是一个常见的安全和网络配置任务。以下是一个基本的步骤指南,用于通过iptables配置入端口。
Linux防火墙规则查看、添加、删除和修改
weixin_34357887的博客
01-26 400
这里只列出比较常用的参数,详细的请查看man iptables   1、查看   iptables -nvL –line-number -L查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数。 -n不对ip地址进行反查,加上这个参数显示速度会快很多。 -v输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口。 –line-n...
Linux】—管理、设置防火墙规则(firewalld详解)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-18 9640
Linux】—管理、设置防火墙规则(firewalld详解)
linux查看防火墙
热门推荐
qq_45644898的博客
02-04 2万+
CentOS7 的防火墙配置跟以前版本有很大区别,CentOS7这个版本的防火墙默认使用的是firewall,与之前的版本Centos 6.x使用iptables不一样 一、iptables防火墙 1、基本操作 查看防火墙状态 service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off
Linux系统防火墙怎么看
weixin_42576410的博客
02-12 928
Linux 系统中,您可以使用 iptables 命令查看防火墙规则。可以使用以下命令查看当前的防火墙规则: sudo iptables -L 这将列出防火墙中的所有规则。您还可以使用以下命令查看具体的链: sudo iptables -LINPUT sudo iptables -L OUTPUT sudo iptables -L FORWARD 您可以根据需要选择以上命令中的一个,以查看...
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
LINUX防火墙(原书第3版).pdf
09-22
LINUX防火墙(原书第3版).pdf
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
Linux防火墙iptables规则设置(转)
angou6476的博客
05-13 220
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。 一、语法 iptables(选项)(参数) 二、选项 -t<表>:指定要操纵的表; -A:向规则链中添加条目; -D:从规则链中删除条目; -i:向规则链中插入条目; -R:替换规则链中的条目; -L:...
linux firewalld 查看防火墙规则
weixin_43951230的博客
12-11 1万+
firewall-cmd --list-all #查看防火墙规则(只显示/etc/firewalld/zones/public.xml中防火墙策略) firewall-cmd --list-all-zones #查看所有的防火墙策略(即显示/etc/firewalld/zones/下的所有策略) firewall-cmd --reload #重新加载配置文件 ...
linux一些常用iptables防火墙规则整理收集
奔跑的路
04-20 2096
这里是一个朋友在使用linux系统时的一些常用到的iptables防火墙规则整理了一篇文章,下面我转过来作记录的同时也给各位同学参考参考。 安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 清除已有iptable
linux防火墙查看方法有,linux防火墙状态查看的方法实例
weixin_32546235的博客
05-13 5748
linux防火墙状态查看的方法1、基本操作# 查看防火墙状态service iptables status# 停止防火墙service iptables stop# 启动防火墙service iptables start# 重启防火墙service iptables restart# 永久关闭防火墙chkconfig iptables off# 永久关闭后重启chkconfig iptables ...
linux查看服务器防火墙策略,linux防火墙的策略规则
weixin_29932857的博客
05-05 5735
介绍:防火墙默认有四表五链四表:(表的优先级:raw > mangle > nat > filter )1.Raw表——两个链:PREROUTING、OUTPUT作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw2.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD作用:修改数据包的服务类型、T...
linux防火墙(firewalld和iptables)
肥猫警长的博客
11-01 5524
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值