iptables与firewalld

最新推荐文章于 2022-05-25 21:48:15 发布
最新推荐文章于 2022-05-25 21:48:15 发布
阅读量81 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44307721/article/details/95959276
版权

iptable

常用参数
-P     #设置默认策略
-F     #清空规则链
-L     #查看规则链
-I <num>     #在规则链头部插入新规则
-A     #在规则链尾部加入新规则
-D <num>     #删除某一条规则
-s     #匹配来源地址 IP/MASK , 加叹号 “!”表示排除这个ip
-d     #匹配目标地址
-i <网卡名称>     #匹配从这块网卡流入的流量
-o <网卡名称>     #匹配从这块网卡流出的流量
-p     #匹配协议,如TCP,UDP,ICMP
--dport <num>    #匹配目标端口号
--sport <num>    #匹配来源端口号
  • 查看已有规则链
iptables -L
iptable --list
  • 设置默认规则链
iptables -P INPUT DROP #把INPUT规则链默认策略设置为拒绝(其他参数有ACCEPT,REJECT,LOG)
#REJECT和DROP不同的是,REJECT会在拒绝流量后回复拒绝信息,DROP是直接丢弃流量
  • 自定义规则
#向INPUT规则链添加允许icmp流量进入的策略规则
iptables -I INPUT -p icmp -j ACCEPT


#只允许指定网段的主机访问本机22端口,拒绝其他主机的访问
iptables -I INPUT -p tcp -s 10.0.0.1/24 --dport 22 -j ACCEPT #允许指定主机访问
iptables -A INPUT -p tcp --dport 22 -j REJECT #拒绝其他主机访问
#!!!需要注意的是iptables是根据配置的规则从下到上匹配,在头部的规则优先级更高。


#向INPUT链添加拒绝所有主机访问本机1000——2000端口的策略规则
iptables -A INPUT -p tcp --dport 1000:2000 -j REJECT

firewalld

区域默认策略规则
trusted允许所有的数据包
home拒绝流出的数据包,除非与流入的流量相关;而如果流量与ssh,mdns,ipp-client,amba-client与dhcpv6-client服务相关,则允许流量
internal等同于home区域
work拒绝流入的流量,除非与流出的流量有关;而如果流量与ssh,ipp-client,amba-client与dhcpv6-client服务相关,则允许流量
public拒绝流入的流量除非与流出的流量有关;而如果流量与ssh,dhcpv6-client服务相关,则允许流量
external拒绝流入的流量。除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关

常用参数

参数作用
–get-default-zone查询默认的区域名称
–set-default-zone=<区域名称>设置默认的区域,使其永久生效
–get-zones显示可用的区域
–get-services显示预先定义的服务
–get-actice-zones显示当前正在使用的区域与网卡名称
–add-source=将源自此IP或子网流量导向指定的区域
–remove-source=移除将源此IP或子网流量导入指定区域的设置
–add-interface=<网卡名称>将源自该网卡的所有流量到向指定的区域
–change-interface=<网卡名称>将指定网卡与指定区域进行关联
–list-all显示当前区域的网卡配置参数,资源,端口以及服务等信息
–list-all-zones显示所有区域的网卡配置参数,资源,端口以及服务等信息
–add-service=<服务名>设置默认区域允许该服务的流量
–add-port=<端口号/协议>设置默认区域允许该端口的流量
–remove-service=<服务名>设置默认区域不在允许该服务的流量
–remove-port=<端口号/协议>设置默认区域不在允许该端口的流量
–reload让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
–panic-on开启应急状况模式
–panic-off关闭应急状况模式
  • 查看当前服务所使用的区域
firewall-cmd --get-default-zone
  • 查看指定网卡的区域
firewall-cmd --get-zone-of-interface=ens33 #查看ens33网卡的区域
  • 修改默认区域
firewall-cmd --set-default-zone=public #设置默认区域为public
  • 允许服务通过
firewall-cmd --zone=public --add-service=http #允许http协议的流量
firewall-cmd --zone=public --query-service=http #查询http是否被允许

所有配置不加–permanent参数的话,都是临时生效,重启后恢复。

  • 永久生效并立即生效
firewall-cmd --permanent --zone=public --remove-service=http #永久模式拒绝http流量
firewall-cmd --reloacd #重新加载配置文件
  • 允许端口通过
firewall-cmd --zone=public --add-port=1000-2000/tcp #允许1000到2000的端口通过
firewall-cmd --zone=public --list-ports #查询允许通过的端口
  • 端口转发
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=172.0.0.5 #将本机888端口转发到172.0.0.5的22端口
柠檬茶oline
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【企业级iptalbes防火墙】【四表五链】【iptables操作参数详解】
mingqing的博客
10-03 1476
文章目录企业级iptalbes防火墙我们在公司使用 netfilter 做的事情iptables工作原理分类iptables工作流程iptables概念iptables 表和链四个表:**2、五个链**四表五链iptables操作参数详解参数使用**iptables语法**##### 查看添加删除规则** 企业级iptalbes防火墙 Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具,它的功能十分强大,使用非常灵活
iptablesfirewalld防火墙
sj199728的博客
04-24 701
iptables由四个表table和五个链chain以及一些规则组成(SELinux也是一个表,但它是独立的,不在我们讨论的范围内)四表五链规则表的作用:容纳各种规则链规则链的作用:容纳各种防火墙规则总结:表里有链,链里有规则。
死磕Linux防火墙(iptablesfirewalld)
程序员的世界
01-02 423
对于Linux防火墙无论是使用方式上还是实现机制上理解的都不是很深刻。例如,在windows做端口映射很方便,但是到了linux下面却很头疼,今天打算彻底搞懂它。 一、Linux防火墙概述 1.1、背景 1) iptablesfirewalld并不是真正的防火墙,他们两个只是管理工具。通过他们两个自身的服务(配置),去配置内核中Netfilter和TCPwrappers。对于日常工作,这两...
Firewalld防火墙基础
zzn0109的博客
05-25 4108
一、Firewalld 概述 1.1 Firewalld的简述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在 网络层,属于包过滤防火墙。 firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结 构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。 1.2 Firewalldiptables的区别 ①iptables 主要从接口来设置规则去维护网
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法,具体的区别,过滤不合法的流,centos7中配置
iptablesfirewalld加固服务器安全思维导图
05-05
iptablesfirewalld加固服务器安全思维导图
iptablesfirewalld.pdf
11-30
很详细的iptablesfirewalld
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
Centos7下firewall 配置
背着键盘游四方的博客
06-08 333
1、firewall-cmd:是Linux提供的操作firewall的一个工具; 2、--permanent:表示设置为持久; 3、--add-port:标识添加的端口;查看firewall的状态firewall-cmd --state查看防火墙规则firewall-cmd --list-all 加载防火墙才能生效firewall-cmd --reload重启、关闭、开启firewalld.ser...
linux防火墙富规则,firewalld的富规则
weixin_36202273的博客
05-12 3822
firewalld的富规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中富规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3399
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1673
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
linux firewalldiptables的区别
06-13 1409
firewalldiptables的比较: 1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效; 2,firewalld使用区域和服务而不是链式规则; 3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; 4,firewalld自身...
Centos7——防火墙(Firewall)开启常见端口命令
午夜阳光
05-22 4万+
Centos7默认安装了firewalld,如果没有安装的话,则需要YUM命令安装;firewalld真的用不习惯,与之前的iptable防火墙区别太大。安装Firewall命令:yum install firewalld firewalld-configFirewall开启常见端口命令:firewall-cmd --zone=public--add-port=80/tcp --permanent...
CentOS7使用firewall-cmd打开关闭防火墙与端口 以开放8080端口为例
克豪的博客
03-26 1万+
centos7版本对防火墙进行加强,不再使用原来的iptables,启用firewalld 简单上手(以配置8080端口为例) 输入命令查看防火墙的状态 firewall-cmd --state; 如果没有开启,输入命令 systemctl start firewalld.service; 开启8080端口,输入: firewall-cmd --zone=public --add-port=8080/tcp --permanent; zone=public:表示作用域为公共的; add-
防火墙(firewalldiptables
热门推荐
一涵的博客
12-04 5万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: 1 2 iptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制
CentOS 7之FirewallDiptables的区别
weixin_33935777的博客
06-05 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
linux中 iptablesfirewalld 的关系
最新发布
05-31
iptablesfirewalld都是Linux系统中的防火墙工具,用于管理网络数据包的过滤和转发。iptables是Linux内核中的防火墙工具,其通过一系列规则过滤和转发网络数据包。firewalld是一个用户空间的动态防火墙管理工具,它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值