linux下防火墙的设置(firewalld和iptables两种方式)

最新推荐文章于 2024-08-01 17:51:50 发布
最新推荐文章于 2024-08-01 17:51:50 发布
阅读量627 收藏 2
点赞数 1
分类专栏: Linux 文章标签: linux 网络 运维
原文链接:https://blog.csdn.net/weixin_44246619/article/details/88544185
版权

一 、防火墙的介绍

防火墙是整个数据包进入主机前的第一道关卡,是一种位于内部网络和外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要是通过Netfilter与TCPwarppers两个机制来管理的
firewalld编写火墙策略的工具,开启火墙自动管理火墙数据
同名管理iptable 更专业

二、firewalld管理火墙

firewalld是动态防火墙后台程序,它提供了一个动态管理的防火墙,用以支持网络“zones”,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对ipv4和ipv6防火墙的设置支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口

  • 可以有三种方式来设置firewalld
  • 使用命令行工具firewall-cmd
  • 使用图形管理工具firewall-config
  • 使用/etc/firewalld中的配置文件来设置
  • 防火墙的基础开启命令

systemctl start firewalld 开启防火墙
systemctl stop firewalld 关闭防火墙
systemctl enbale firewalld 设置防火墙开机自启动
systectl disable firewalld 设置防火墙开机禁用
systemctl status firewalld 查看防火墙状态

  • firewalld所有的域
    在这里插入图片描述
  • firewall-cmd的常用命令
--state	火墙开启状态
--get-active-zones	列出当前正在使用的所有区域(具有关联的接口或源)及接口和源信息
--get-default-zone	查询当前默认区域
--get-zones		列出所有可用区域
--zone=public --list-all列出public域的所有配置(接口、源、服务和端口)
--get-services		列出所有域定义服务
--list-all-zones	列出所有区域的所有配置(接口、源、服务和端口)
--set-default-zone=dmz	设置默认域为dmz,此命令会同时更改运行时配置和永久的配置
--add-scoure=	将来自IP地址或网络/掩码的所有流量路由到指定区域
--remove-scoure=	从指定区域中删除用于路由来自IP地址或网络/掩码的所有流量规则
--add-interface=	将来自该接口的所有流量到指定区域
--change-intergace=	将接口已有绑定区域而与其他区域关联
--list-all		列出默认区域的所有配置(接口、源、服务和端口)
--add-service=		允许区域某服务的流量
--add-port=		允许区域某端口的流量
--remove-service=	从区域删除某服务的规则
--remove-port=		从区域删除某端口的归则
--reload	丢弃Runtime配置并用Permanet配置

1.列出默认区域的所有配置
在这里插入图片描述
2.查询当前默认区域
在这里插入图片描述
3.从区域删除某服务的规则

[root@localhost ~]# firewall-cmd --permanent --remove-service=
注意使用table键补齐

在这里插入图片描述

4.防火墙状态的查看

[root@localhost ~]# firewall-cmd --state 
running

在这里插入图片描述
 5.查看防火墙所有域
 在这里插入图片描述
 6.查看某个域的具体信息(示例work域)
 在这里插入图片描述
 7.列出可以使用的服务
 

[root@localhost ~]# firewall-cmd --get-services 

8.防火墙允许http服务(添加http服务)
 在这里插入图片描述
9.删除http服务
 在这里插入图片描述10.将指定的ip加入到trusted域
 在这里插入图片描述11.删除刚才添加的ip
 在这里插入图片描述12.拒绝指定主机ip的所有网络连接
 

  
  
  • (加入到block域中,该指令时有回应的)
     在这里插入图片描述在这里插入图片描述
  • 加入到drop域,没有回应
     在这里插入图片描述在这里插入图片描述
 

13.将eth0接口从public域中移除
 在这里插入图片描述
 14.将eth0接口添加到trusted域
 在这里插入图片描述
 15.将eth0接口从之前的域转移到public域
 在这里插入图片描述16.添加8080端口到public域
 在这里插入图片描述17.查看firewalld相关配置文件
 在这里插入图片描述18.添加http8080服务(查看服务时要可以列出)
 

  
  
  • 添加配置文件http8080.xml文件
     在这里插入图片描述
  • 编辑配置文件
     在这里插入图片描述
  • 重启火墙服务
  • 之后查看可以列出的服务
     在这里插入图片描述
     19.查看firewalld的区域相关的配置文件
     在这里插入图片描述
  • 查看默认public域的信息
     默认public域的服务中是有ssh服务的
     在这里插入图片描述
  • 编辑public域配置文件
     删除默认配置文件中的ssh服务
 

[root@localhost zones]# vim public.xml

   
   

   
   
  • 1

在这里插入图片描述在这里插入图片描述

  • 再次查看默认public域的信息
    在这里插入图片描述
    20.firewalld对服务的控制,永久移除域临时刷新和永久刷新区别
firewall-cmd --permanent --remove-service=ssh       永久移除ssh服务,不加--permanent是暂时移除
firewall-cmd --list-all
firewall-cmd --reload      临时刷新:刷新防火墙的状态,不会改变当前正在的连接
firewall-cmd --list-all
firewall-cmd --complete-reload          永久刷新:完全刷新防火墙的状态,会断开当前正在的连接
  • 防火墙允许的服务中有ssh服务可以正常连接
    在这里插入图片描述
  • 防火墙服务中永久移除ssh服务,之后临时刷新,之前ssh连接的ssh还是可以使用的
    在这里插入图片描述
  • 执行永久刷新之后就不可以继续使用了
    在这里插入图片描述
    21.Direct Rules/端口模式增加特定的防火墙规则

通过firewall-cmd工具,可以使用 --direct选项在运行时间里增加或者移除链。如果不熟悉iptables,使用直接接口非常危险,因为你可能无意间导致防火墙被入侵,直接端口模式适用于服务或者程序,以便于在运行时间内增加特定的防护规则,端口模式添加的规则优先应用.

firewall-cmd --list-all
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.65 -p tcp --dport 22 -j ACCEPT       22端口,只允许172.25.254.65来连接,-s  +来源,-p   协议,-dport    +目的端口,-j + 动作
firewall-cmd --remove-service=ssh --permanent   永久移除ssh服务
firewall-cmd --reload                           重新加载
firewall-cmd --list-all
firewall-cmd --direct --get-all-rules   查看增加的防火墙策略规则

在这里插入图片描述

-j ACCEPT 允许
-j drop 拒绝 无响应 继续访问,会加大负荷
-j reject 拒绝 响应 下一次不会访问

查看防火墙的策略
在这里插入图片描述之后在火墙允许开启的服务中移除ssh服务,主机ip172.25.254.65主机还是会ssh连接到本机,除此之外的其他主机被拒绝,因为在火墙策略允许了

  • 删除防火墙策略
    在这里插入图片描述
    三、防火墙的地址伪装以及端口转发
  • 原地址转换(SNAT)
    1.给充当路由器的主机添加到两块网卡
    在这里插入图片描述
firewall-cmd --add-masquerade  (地址伪装)
firewall-cmd --list-all

在这里插入图片描述

  • 开启地址伪装功能
    在这里插入图片描述

  • 在另一台1.1网段的虚拟机里设置网关,看是否能ping通真机(172网段)
    在这里插入图片描述

  • 端口转发

  • 在双网卡的主机上设置

firewall-cmd --list-all
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.165      (端口转发)
firewall-cmd --list-all
  • 设置端口转发
    在这里插入图片描述
  • 测试机ssh连接25主机,之后查看ip是165
    在这里插入图片描述
    四、iptables管理火墙
  • iptables对应有三张表五条链

三表的解释:

  • Fliter表:INPUT链,OUTPUT链,FORWARD链
  • NAT表:INPUT链,PREOUTING链,OUTPUT链,POSTROUTING链
  • Mangle表:PREOUTING链,OUTPUT链,POSTROUTING链,INPUT链,FORWARD链
  • Filter表:负责过滤数据包,经过内核(访问本机的)input和output。
  • NAT表:用于网络地址转换(ip,端口),(不访问本机的数据包),做地址转化的时候要用到filter表的forward链。
  • Mangle表:修改数据包的服务类型,TTL,并且可以配置路由时先QOS(限制或开放不够用的时候用Mangle),mangle(转做附加说明,前两张表不够用)

五链的解释:

  • INPUT链:进来的数据包应用此规则链中的规则,input匹配目的IP是本机的数据包;

  • OUTPUT链:外出的数据包应用此规则链中的规则

  • FORWARD链:转发数据包时应用此规则链中的规则,forward匹配流经本机的数据包;

  • PREROUTING链:对数据包做路由选择前应用此规则链中的规则,prerouting用来修改目的地址用来做DNAT;

  • POSTROUTING链:对数据包做路由选择后应用此规则链中的规则,postrouting用来修改源地址用来做SNAT

mangle(前两张表不够用,用mangle表,有五个链:PREOUTING链,OUTPUT链,POSTROUTING链,INPUT链,FORWARD链)

  • 实验配置
  • 实验环境:关闭firewalld火墙管理工具,开启iptables管理工具
    关闭firewalld
    在这里插入图片描述开启iptables
    在这里插入图片描述 iptables的基础语法:
  • -A 向规则链中添加一条规则,默认被添加到末尾
  • -t 指定要操作的表,默认是filter
  • -n 不做解析
  • -L 列出指定表中的策略
  • -D 从规则链中删除规则,可以指定序号或者匹配的规则来删除
  • -R 进行规则替换
  • -I 插入一条规则,默认被插入到首部
  • -F 清空所选的链,重启后恢复
  • -N 新建用户自定义的规则链
  • -X 删除用户自定义的规则链
  • -p 用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号,
  • -s 指定源地址
  • -d 指定目的地址
  • -i 进入接口
  • -o 流出接口
  • -j 采取的动作,accept,drop,snat,dnat,masquerade
  • –sport 源端口
  • –dport 目的端口,端口必须和协议一起来配合使用
  • ACCEPT 允许
  • REJECT 拒绝
  • DROP 丢弃
iptables -nL	默认查看的是filter
iptables -t filter -nL
iptables -t mangle -nL
iptables -t nat -nL
iptables -L
iptables -F
iptables -nL
service iptables save
vim /etc/sysconfig/iptables

在这里插入图片描述指定某个表查看
 在这里插入图片描述
 

 
 
  • 清空所选的链
     在这里插入图片描述
     iptables的默认策略信息文件:
     /etc/sysconfig/iptables默认iptables火墙的策略文件
     在这里插入图片描述
  •  编写filter表规则
 

iptables -nL  
iptables -t filter -A INPUT -i lo  -j ACCEPT       回环接口的输入在fiter被允许
iptables -nL
iptables -t filter -A INPUT -s 172.25.254.25  -j ACCEPT      允许172.25.254.25来访问本机
iptables -nL
iptables -t filter -A INPUT -s 172.25.254.25  -j REJECT      拒绝172.25.254.25来访问本机
iptables -nL
iptables -D INPUT 3                       删除filter表INPUT链里的第三个策略
iptables -nL
iptables -R  INPUT 2 -s 172.25.254.25  -j REJECT  (修改规则,拒绝172.25.254.25访问所有端口)
iptables  -I  INPUT 2 -s 172.25.254.25 -p tcp --dport 22 -j ACCEPT(-I插入,允许172.25.254.25来连接22端口。)

注意:防火墙的读取规则是从上到下,遇到自己匹配的就执行。
在这里插入图片描述测试使用172.25.254.65主机来ssh来连接
在这里插入图片描述

  • 配置策略拒绝172.25.254.65主机连接,在之前允许的基础之上再拒绝连接
    在这里插入图片描述
    再次使用172.25.254.65主机连接测试
    在这里插入图片描述
    连接成功,证明火墙的策略的读取规则是从上往下的,遇到可以匹配的就直接执行,因为允许策略在拒绝策略之前,所以就直接执行了
[root@localhost ~]# iptables -D INPUT 3 删除第三条策略
[root@localhost ~]# iptables -nL
[root@localhost ~]# iptables -R INPUT 2 -s 172.25.65.250 -j REJECT 修改第二条策略为拒绝策略

在这里插入图片描述
修改第二条策略
修改之后,ssh连接就已经断掉了(因为之前的命令就是使用172.25.65.250主机ssh连接来写的)
在这里插入图片描述
再次使用172.25.65.250主机测试连接连接不上了
在这里插入图片描述
虚拟机输入:
允许172.25.65.250主机访问22端口策略,并且添加的这个策略为第二条
在这里插入图片描述此时之前断掉的ssh连接就已经恢复了,但只是恢复了22端口,其他端口的服务还是因为第三条拒绝策略的影响是拒绝的

  • 修改预设规则(Policy)
iptables -nL
iptables -P INPUT DROP       修改预设规则为DROP
iptables -nL
iptables -P INPUT ACCEPT

在这里插入图片描述修改回来
在这里插入图片描述

  • 添加、修改、删除链

  • 添加链
    在这里插入图片描述

  • 修改链名
    在这里插入图片描述

  • 删除链
    在这里插入图片描述

  • NAT表的端口转发和地址伪装

  • 端口转发

iptables -t nat -nL
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j  DNAT --to-dest 1.1.1.165:22       将本机的22端口转化为目的地1.1.1.165的端口22,这个动作是在路由前
iptables -t nat -nL

在这里插入图片描述测试机ssh连接测试
在这里插入图片描述

  • 地址伪装
    未做地址伪装之前,使用172网段的测试机区ping1.1.1.网段时一直未响应
    在这里插入图片描述
    做地址伪装
    在这里插入图片描述
    测试可以ping通
    在这里插入图片描述
weixin_44256848
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables&firewalld防火墙
python_bobo的博客
08-19 1593
防火墙的三张表五条链 三张表: fileter ##不经过内核的链组成 nat ##经过内核的链组成 mangle ##附加表 五条链: INPUT ##输入 OUTPUT ##输出 FORWARD ##通过 PREROUTING ##目的地地址伪装 POSTROUTING ##源地址伪装首先介绍iptables 开始前需要下载并打开iptables
运维iptablesfirewalld详解
专注于输出具有实用价值的软件运维经验及教程
06-21 1854
关于iptablesfirewalld 的关键概念、常用操作、各自优势特点的详细记录。
防火墙Firewalldiptables
最新发布
2201_75444658的博客
08-01 474
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
iptablesfirewalld防火墙
qq_45870087的博客
01-17 2708
iptables 在早期的Linux系统中默认使用的是iptables防火墙管理服务来配置防火墙,虽然新型的firewalld防火墙管理服务已经被投入使用多年,但iptables仍有企业在使用,而且各个防火墙管理工具的配置思路是一致的,所以我们了解一下iptables也有一定的意义。 1、策略与规则链 防火墙会按从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。 ...
iptablesfirewalld
weixin_46362974的博客
06-19 1040
iptablesfirewalld防火墙策略设置 SNAT与DNAT策略的配置
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalldLinux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍 CentOS 7 中的防火墙配置。 iptables ...
linux两堵墙之一:iptables
01-09
防火墙的作用 众所周知,相较于企业内网,外部的公网环境更加...我们要知道,iptablesfirewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。iptables服务会
iptablesfirewall的区别
04-29
主要配置文件存储于`/usr/lib/firewalld`和`/etc/firewalld`两个目录下,这些配置通常以XML格式保存。`/usr/lib/firewalld`下的文件主要是firewalld的规则模板,而`/etc/firewalld`则用于存放自定义的配置文件。 ##...
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
iptables 防火墙Linux 系统中的一种防火墙管理工具,用于控制网络流量。iptables 防火墙具有 4 个表,分别是 filter 表、nat 表、raw 表、mangle 表,每个表都有其特定的链,例如 INPUT 链、OUTPUT 链、FORWARD ...
linux下64位ftp.rar
12-03
本文将详细介绍如何在64位Linux环境下安装FTP服务,并重点解析提供的两个RPM安装包:ftp-0.17-54.el6.x86_64.rpm和ftp-0.17-67.el7.x86_64.rpm。 首先,让我们理解RPM(Red Hat Package Manager)是什么。RPM是基于...
iptablesfirewalld.pdf
11-30
很详细的iptablesfirewalld
iptables防火墙Firewalld
yunxi115的博客
04-24 778
IP信息包过滤系统,它实际上由两个组件 netfilter_和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则。iptables采用了表和链的分层结构,所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1725
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
防火墙--iptablesfirewalld
qq_43710889的博客
09-25 210
防火墙iptables (记录记录) 参考https://www.yuque.com/xiaoyaozone/tldaxg/efw2v9 前言 iptables是fedora系列上一代防火墙,是centos/rhel 6以及6之前发行版中默认使用的防火墙服务,在rhel/centos7时代,默认的防火墙服务已经换成了firewalldfirewalld底层是使用的iptables的库,此次升级防火墙是因为iptables的使用过于复杂,命令语法不够人性化。 iptables四表五链 四表 filt
Linux防火墙 —— Iptables & Firewalld
weixin_55985097的博客
06-22 341
Linux防火墙 —— Iptables & Firewalld 防火墙-iptables 一:防火墙iptables 1.分类 逻辑分类:主机防火墙(个人)和网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对于网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于通用硬件平台之上,性能低,成本低 2.简介 ipta
Linux中的iptablesfirewalld
weixin_53496421的博客
03-23 197
文章目录Firewalld概述firewalldiptables 的区别firewalld 区域的概念区域管理服务管理端口管理 Firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络
iptablesfirewalld 防火墙
weixin_55731208的博客
03-31 1262
四种防火墙策略: ACCEPT(允许流量通过) 流量发送方会看到响应超时的提醒,但是流量发送方无法判断流量是被拒绝,还是接收方主机当前不在线 REJECT(拒绝流量通过) 流量发送方会看到端口不可达的响应 LOG(记录日志信息) DROP(拒绝流量通过)
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3745
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值