Linux---防火墙

最新推荐文章于 2023-05-19 02:04:49 发布
最新推荐文章于 2023-05-19 02:04:49 发布
阅读量287 收藏
点赞数
文章标签: iptables firewalld 防火墙 路由伪装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43697701/article/details/87896707
版权

1、概述
动态防火墙后台程序 firewalld提供了一个动态管理的防火墙,用以支持网络 “zones”,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对ipv4和ipv6防火墙设置的支持。支持以太网桥,并有分离运行时间和永久性配置选择。还具备一个通向服务或者应用程序以直接增强防火墙规则的接口。
防火墙
三表五链,即三张表,五条链

五条链:input, output, prerouting, postouting, forward
三张表:filter ,nat, mangle
filter中包括input, output,forward  								##要进入内核处理
nat中包括input, output, prerouting, postouting					##只是经过,不需要内核处理,postouting是源地址解析,即先看到ip地址然后对ip地址进行转换,路由之后。prerouting是目的地址解析,即对看到的ip先转换,然后在进入,在路由之前。
mangle中包括input, output, prerouting, postouting, forward	##附加的权限

有两种对防火墙的配置方式:firewalld和iptables,二者之间的本质不同在于iptables在/etc/sysconfig/iptables中存储配置,firewalld将配置存储在/usr/lib/firewalld/和/etc/firewalld/中的各种xml文件里。
在这里插入图片描述

2、管理SELinux端口标签

semanage port -a -t http_port_t -p tcp 6666			##添加6666端口
semanage port -d -t http_port_t -p tcp 6666			##删除6666端口
semanage port -l |grep http										##列出apache端口列表
semanage port -l														##列出所有端口

实验:
服务机上

getenforce 
		Enforcing

在这里插入图片描述

	yum install httpd -y

在这里插入图片描述

	semanage port -l |grep http						##查看端口列表
	vim /etc/httpd/conf/httpd.conf

在这里插入图片描述
在这里插入图片描述

		42 Listen  6666								##修改apache端口为6666

在这里插入图片描述

	systemctl restart httpd				
				Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.											##服务不能正常启动

在这里插入图片描述

semanage port -a -t http_port_t -p tcp 6666		##添加6666端口,-a表示添加
semanage port -l |grep http						##查看端口
systemctl restart httpd							##重启apache服务,正常启动

在这里插入图片描述

vim /etc/httpd/conf/httpd.conf
	42 Listen  80								##修改为默认80端口
systemctl restart httpd
semanage port -d -t http_port_t -p tcp 6666		##删除6666端口,-d表示删除
semanage port -l |grep http

在这里插入图片描述在这里插入图片描述在这里插入图片描述
3、firewalld
配置防火墙的命令
搭建环境
147主机两块网卡 172.25.254.147 和1.1.1.147
另一台主机 1.1.1.247
启用firewalld

systemctl start firewalld
systemctl enable firewalld
systemctl disable firewalld
systemctl stop firewalld			##关闭

  1. firewalld的配置命令

     firewall-cmd --state						##查看防火墙状态
 firewall-cmd --get-active-zones				##查看当前活跃的域
 firewall-cmd --get-default-zone				##查看默认域

在这里插入图片描述

firewall-cmd --get-zones					##查看所有域
firewall-cmd --zone=public --list-all		##查看public域运行的列表

在这里插入图片描述

firewall-cmd --list-all						##查看默认域允许的列表

在这里插入图片描述

firewall-cmd --get-services					####查看所有可设置的服务

在这里插入图片描述

firewall-cmd --list-all-zones				##查看所有域的管理范围信息

在这里插入图片描述

firewall-cmd --set-default-zone=work		##修改火墙的域

在这里插入图片描述
firewalld的域
在这里插入图片描述

firewall-cmd --zone=trusted --add-source=172.25.254.47 	##47使用trusted域,其他使用默认
firewall-cmd --get-active-zones

在这里插入图片描述
在这里插入图片描述

firewall-cmd --zone=public --remove-interface=eth1		##eth1从public上去掉
firewall-cmd --zone=trusted --add-interface=eth1		##eth1使用trusted域
firewall-cmd --list-all --zone=trusted					##看trusted域的列表
firewall-cmd --list-all --zone=public

在这里插入图片描述

firewall-cmd --add-service=dns					##临时添加dns	
firewall-cmd --remove-service=dns				##临时删除dns

在这里插入图片描述

firewall-cmd --remove-service=dns --permanent	##永久删除
firewall-cmd --reload 							##重启服务	
firewall-cmd --complete-reload 					##重启服务,当前连接断开

  1. Direct Rules
    通过firewall-cmd 工具,可是使用 --direct选项在运行时间里增加或者移除链。直接端口模式是用于服务或者程序,以便在运行时间内增加特定的防火墙规则

     firewall-cmd --list-all					##查看

在这里插入图片描述

firewall-cmd --remove-service=ssh		##临时删除使用ssh服务
firewall-cmd --list-all

在这里插入图片描述

firewall-cmd --direct --get-all-rules	##显示添加的规则
iptables -t filter -nL					##查看防火墙的表链中的现有设定

在这里插入图片描述
实验,先临时删除ssh,47测试,进行配置,47测试,实验结束重启服务,恢复临时删除的ssh服务

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.47 -j ACCEPT			##只有47主机可以使用ssh,-s表示数据来源,1表示优先级第一位,ACCEPT表示允许,--dport指端口,22即ssh的端口
firewall-cmd --direct --get-all-rules

在这里插入图片描述在47上测试:
在这里插入图片描述

firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.47 -j ACCEPT		##删除47主机使用ssh

在这里插入图片描述
在47上测试:
在这里插入图片描述

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 ! -s 172.25.254.47 -j ACCEPT			##除了47其他的都能使用

在这里插入图片描述在47上测试:
在这里插入图片描述在247上测试:
在这里插入图片描述

firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 ! -s 172.25.254.47 -j ACCEPT		##删除除了47其他的都能使用

在这里插入图片描述
3)Rich Rules
通过“rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是iptables工具的抽象表示。这种语言可以用来配置分区,也仍然支持现行的配置方式
在这里插入图片描述
4、iptables

启用iptables

systemctl start iptables		##启用
systemctl stop iptables		##关闭
systemctl mask iptables		##上锁

在这里插入图片描述
1)基本配置 可扩展工作语言xml语言,系统中做数据封装

-t				##指定表名称
-n				##不做解析
-L				##列出制定表中的策略
-A				##增加策略
-p				##网络协议
--dport			##端口
-s				##数据来源
-j				##动作
ACCEPT			##允许
REJECT			##拒绝
DROP			##丢弃
-N				##增加链
-E				##修改链名称
-X				##删除链
-D				##删除指定策略
-I				##插入
-R				##修改策略
-P				##修改默认策略

iptables -nL				##查看

在这里插入图片描述

iptables -F 				##把策略刷新掉,刷掉之前的
service iptables save		##保存当前策略

在这里插入图片描述

iptables -P INPUT DROP		##修改默认,只有ACCEPT和	DROP两种

在这里插入图片描述

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT			##设置所有都可以使用22端口
iptables -A INPUT -p tcp --dport 22  -s 172.25.254.47 -j ACCEPT	##设置47可以使用22端口,此处没有加-t filter是因为默认在filter表中

在这里插入图片描述

iptables -D INPUT 2			##删除第二条策略

在这里插入图片描述

iptables -I INPUT 1 -s 172.25.254.47 -p tcp --dport 22 -j ACCEPT	##第一条插入策略

在这里插入图片描述

iptables -R INPUT 1 -s 172.25.254.250 -p tcp --dport 22 -j ACCEPT	##替换掉第一条策略

在这里插入图片描述

iptables -N redhat			##增加链

在这里插入图片描述

iptables -E redhat WESTOS	##修改链名称

在这里插入图片描述

iptables -X WESTOS			##删除链

在这里插入图片描述2)伪装与转发
<1>伪装
实验

双网卡147主机
	iptables -t nat -nL
	iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.147	##设置从eth0出时,地址伪装为172.25.254.147, POSTROUTING路由后伪装,即先看到路由然后伪装
	iptables -t nat -nL
sysctl -a |grep forward				##查看内核路由功能是否开启
	net.ipv4.ip_forward = 1			##1表示开启
如果不是1,修改为1
vim /etc/sysctl.conf
	net.ipv4.ip_forward=1
sysctl -p

在这里插入图片描述在这里插入图片描述在这里插入图片描述
在这里插入图片描述在这里插入图片描述

在247主机
	修改网关为1.1.1.147
	ssh 172.25.254.47		##连接47主机

在这里插入图片描述
在这里插入图片描述在这里插入图片描述在这里插入图片描述
在47主机 w -i
看到147主机连接,但是实际是1.1.1.247主机连接的
ssh 172.25.254.147
连接到147主机而不是1.1.1.247主机
在这里插入图片描述在这里插入图片描述

<2>转发
双网卡主机

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.247	##PREROUTING表示设置从eth0进的地址先伪装成1.1.1.247,再进入。此处即端口转发

在这里插入图片描述

iptables -t nat -nL

在这里插入图片描述
在47主机再次连接172.25.254.147
连接到的实际是1.1.1.247主机
在这里插入图片描述
3)

	iptables -F				##刷新掉之前配置
	iptables -nL			##查看
	service iptables save	##保存

在这里插入图片描述

	iptables -A INPUT -i lo -m state --state NEW -j ACCEPT					##允许本机回环访问
	iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT		##允许正在访问和之前访问过的
	cat /etc/services |grep iscsi											##查看服务的端口
	iptables -A INPUT -m state --state NEW -p tcp --dport 445 -j ACCEPT	##允许samba
	iptables -A INPUT -m state --state NEW -p tcp --dport 139 -j ACCEPT
	iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT	##允许iscsi
	iptables -A INPUT -m state --state NEW -j REJECT			##其余的拒绝

在这里插入图片描述
在这里插入图片描述

	iptables -t nat -F	
	iptables -t nat -nL

在这里插入图片描述测试:
在这里插入图片描述

咖啡F
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ubuntu中Apache安装及防火墙操作
别下完这场雪
03-31 994
既然已经安装了mysql,那么appche一定必不可少 下面介绍如何安装apache和apache的操作 安装命令: sudo apt-get install apache2 查看版本信息: apache2ctl -v 安装apache2-dev: sudo apt-get install apache2-dev 相关操作: /etc/init.d/apache2 start /etc/i...
linux常用-防火墙
backer1113的博客
03-30 109
linux常用-防火墙篇修改用户名 修改用户名 Linux中可以使用usermod命令更改用户名,具体的操作方法如下: 1、首先打开linux的终端,输入指令修改用户名,简单的用户名修改是usermod加参数l,后面跟新用户名 ...
Linux基本操作 (删除文件、查看防火墙、启动jar包、查看系统时间、yum安装JDK)
qihangVIP4的博客
11-23 928
十一:删除文件 rm -rf filename 文件太多确定要删除 rm -rf xxx201*(代表删除以xxx201开头的所有文件) 十二:iptables防火墙 1:查看状态 service iptables status 2:停止防火墙 service iptables stop 3:启动防火墙 service iptables start 4:重启防火墙 service iptables restart 操作 开启xxxx端口 vim /etc/sysconfig/iptables 加入如下代码
linux中查看防火墙状态的命令,linux查看防火墙状态及开启关闭命令(转)
weixin_39815456的博客
04-30 419
存在以下两种方式:一、service方式查看防火墙状态:[[emailprotected] ~]# service iptables statusiptables:未运行防火墙。开启防火墙:[[emailprotected] ~]# service iptables start关闭防火墙:[[emailprotected] ~]# service iptables stop二、iptable...
linux中Apache的安装
砌墙的保安
07-14 236
文章目录Apache安装步骤虚拟主机配置准备单机配置多机配置用户访问控制ip限制用户身份限制 Apache 环境:VMware Workstation 操作系统:CentOS7 操作用户:root 安装步骤 安装wget工具 yum install -y wget 仓库查询 ls /etc/yum.repos.d/ epel仓库安装 链接: [https://developer.aliyun.com/mirror/epel?spm=a2c6h.13651102.0.0.13081b11ne
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
iptables教程-linux-iptable防火墙-基本认识.docx
11-29
iptables教程-linux-iptable防火墙-基本认识.docx
linux-kernel-good.rar_linux_linux kernel_linux 防火墙_防火墙_防火墙 linux
09-19
再来一篇防火墙规则检测的技术和研究。对于不知道怎么设置防火墙规则的设计者很有效。也是基于LINUX
Linux运维-53-Linux云计算-安全防御 - 防火墙顺序.mp4
06-01
Linux运维-53-Linux云计算-安全防御 - 防火墙顺序.mp4
Linux下的防火墙
大新软件老杨
05-19 830
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.10.20 -p tcp --dport 80 -j REJECT //拒绝IP为192.168.10.20的访问tcp的80端口 --direct 规则 --add-rule 添加规则 ipv4 filter 指定为ipv4的filter表 INPUT 链 -s 数据来源 -p采用的协议 --dport 目的地端口 -j 行为动作。版权声明:本文为CSDN博主「不想上课。
CentOS7Jenkins安装
sms
05-07 2万+
前言   最近学习Jenkins,第一步就是安装Jenkins了
MySQL 出现Job for mysqld.service failed. See 'systemctl status mysqld.service' and ... for detail错误
花若盛开,蝴蝶自来;你若精彩,天自安排
04-24 2万+
centos7 下启动MySQL出现以下错误提示: Job for mysqld.service failed. See 'systemctl status mysqld.service' and 'journalctl -xn' for details. 找到错误日志的路径 [root@bogon usr]# find / -name mysqld.log /var/log/mysql...
centos7 无法启动网络(service network restart)错误解决办法
热门推荐
zkja595470467的博客
11-02 20万+
centos7 无法启动网络(service network restart)错误解决办法: (以下方法均为网上COPY,同时感谢原博主分享) systemctl status network.service 出现以下错误 “rtnetlink answers file exists” 的解决方法 第一种: 和 NetworkManager 服务有冲突,这个好解决,直接关闭
配置nginx的SSL;解决nginx重启报错“See "systemctl status nginx.service" and "journalctl -xe" for details.”
|汾西公子
08-21 4630
【ubuntu18.04操作系统】 顶级域名www.xxx.com 绑定的公司的网站,公司做了一个微信小程序,需要用到https 443这个端口,经过讨论后,申请了一个二级域名,在nginx的配置文件里添加以下这一段: server { listen 443; server_name image.xxx.com; ssl on; index index.html index.htm;...
Linux下 sshd服务不能启动
happy19870612's blog
12-25 6万+
今天遇到CentOS 7 下远程连不上,怀疑服务没有启动,先检查了端口和服务是否启动: ps -A| grep sshd 发现没有 netstat -nultp|grep 22 也没有发现22端口 检查防火墙是不是会影响,关闭了防火墙,重启sshd服务  systemctl stop firewalld.service systemctl start sshd.servi
linux防火墙ifirewalld详解
zhangxm_qz的博客
08-05 1532
文章目录centos7防火墙介绍 centos7防火墙介绍 在CentOS 7里有几种防火墙共存:firewalldiptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 启用 firewalld 防火墙服务后通过 iptables -nvL 命令仍然可以看到系统中的各种配置,如下 --启用firewall 防火墙服务 systemctl start firewalld systemctl enable firewa
运维进阶——firewall详解
zhaoliang_Guo的博客
06-06 7336
两台虚拟机,desktop双网卡,配置ip分别为172.25.254.113和1.1.1.113 打开另一台虚拟机server,配置ip为1.1.1.213 在双网卡的desktop下载httpd,在默认发布目录编写默认发布文件 systemctl start httpd 1.用真机通过http访问172.25.254.113 firewall-cmd --list-all 查...
linux配置网络出现job for network.service failed because control process exists异常问题
ybc1414064040的博客
01-03 4729
今天在配置linux虚拟机的时候,希望可以连接网络,配置完ifcfg-eth0 后,执行service network restart命令失败了。异常信息:job for network.service failed because control process exists;后来删除了ifcfg-eth0中的device参数就可以了
rocky-linux关闭防火墙
最新发布
05-24
要关闭Rocky Linux上的防火墙,您可以使用以下命令: ``` systemctl stop firewalld systemctl disable firewalld ``` 第一个命令停止防火墙服务,第二个命令禁用防火墙服务,这样它就不会在系统启动时自动启动了。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值