Linux中的防火墙策略优化

最新推荐文章于 2024-03-18 01:44:42 发布
最新推荐文章于 2024-03-18 01:44:42 发布
阅读量306 收藏 1
点赞数 1
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632711/article/details/114149185
版权

实验环境:
三台主机
1.双网卡主机 添加网卡
添加网址 192.168.4.212
172.25.254.212
在这里插入图片描述

2.单网卡主机
添加网址 192.168.4.112
在这里插入图片描述
在这里插入图片描述

1.火墙介绍

1.netfilter
2.iptables
3.iptables|firewalld

2.火墙的工具切换

在rhel8中默认使用的是firewalld
iptables ##用来管理内核是那个的插件,只可开启一个
iptables ##可以用iptables和firewalld来管理

  • firewalld----->iptables ##切换
    systemctl disable --now firewalld ##关闭firewalld
    systemctl mask firewalld ##锁定firewalld
    dnf install iptables-services -y ##安装iptables软件
    systemctl enable --now iptables ##开启iptables管理
    iptables -nL ##查看iptables策略
    在这里插入图片描述
    在这里插入图片描述

  • iptables----->firewalld ##iptables切换至firewalld
    systemctl stop iptables ##关闭iptables服务
    systemctl disable iptables
    systemctl mask iptables
    systemctl unmask firewalld ##解锁firewalld服务
    systemctl enable --now firewalld ##开启firewalld服务
    firewall-cmd --list-all ##查看firewalld策略
    在这里插入图片描述

3.iptables的使用

火墙策略的永久保存
/etc/syscofig/iptables ##iptables 策略记录文件

firewalld

1.firewalld的开启

systemctl stop iptables
systemctl disable iptables
sysytemctl mask iptables

systemctl unmask firewalld
systemctl enable --now firewalld

在这里插入图片描述

2.关于firewalld的域

trusted ##接受所有的网络连接
home ##用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
work ##工作网络 ssh ipp-client dhcp-client
public ##公共网络 ssh dhcp-client
dmz ##军级网络 ssh
block ##拒绝所有
drop ##丢弃 所有数据全部丢弃无任何恢复
internal ##内部网络 ssh mdns ipp-clientssamba-client dhcp-client
external ##ipv4网络地址伪装转发 sshd
–permanent ##永久设定
在这里插入图片描述

  • test:
    firewall-cmd --get-default-zone ##查看默认域
    firewall-cmd --list-all-zones ##查看所有域
    firewall-cmd --get-active-zone ##查看可用域
    在这里插入图片描述
    firewall-cmd --set-default-zone=trusted ##修改域为trusted
    firewall-cmd --list-all ##查看可使用服务
    在这里插入图片描述

  • dnf install httpd -y ##安装dhcp
    systemctl enable --now httpd ##开启httpd
    firefox 172.25.254.212 ##访问httpd
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

3.关于firewalld的设定原理及存储数据

/etc/firewalld ##火墙配置目录
/lib/firewalld ##火墙模块目录

4.firewalld的管理命令

  • firewall-cmd --state ##查看火墙状态
    在这里插入图片描述
    firewall-cmd --list-all ##查看当前火墙状态
    firewall-cmd --list-all --zone=trusted ##查看指定域trusted的状态
    在这里插入图片描述
    ##查看默认域
    firewall-cmd --get-services ##查看系统当中可允许的所有服务名称
    firewall-cmd --get-services | grep http ##查看http服务
    在这里插入图片描述
    修改服务文件名,服务不变
    可通过名字设定端口
    firewall-cmd --add-service=http ##(临时添加,刷新无)添加服务即改即生效
    在这里插入图片描述
    firewall-cmd --permanent --add-service=http
    firewall-cmd --reload ##永久添加服务,非即改即生效,需更新,更改配置文件
    在这里插入图片描述
    在这里插入图片描述
    firewall-cmd --permanent --remove-services=http ##删除服务永久删除,删除完需更新
    /etc/httpd/conf/httpd.conf ##服务端口设定
    在这里插入图片描述
    firewall-cmd --permanent --add-port=8080/tcp ##添加服务与端口设定
    firewall-cmd --permanent --remove-port=8080/tcp ##取消端口设定
    在这里插入图片描述
    在这里插入图片描述

  • ip设定
    ##设置ip与网络接口
    firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block
    firewall-cmd --reload
    firewall-cmd --list-all --zone=block ##将172网段加入黑名单
    在这里插入图片描述
    在这里插入图片描述
    firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block
    firewall-cmd --reload
    firewall-cmd --list-all --zone=block ##删除172网段黑名单
    在这里插入图片描述

  • 网络端口
    firewall-cmd --permanent --remove-service=http ##关闭http
    firewall-cmd --reload
    firewall-cmd --list-all ##查看服务状态
    在这里插入图片描述
    内部网路全部开放
    firewall-cmd --permanent --remove-interface=ens160 --zone=public
    firewall-cmd --reload ##删去域public
    firewall-cmd --permanent --add-interface=ens160 --zone=trusted ##添加域ens160trusted
    在这里插入图片描述
    firewall-cmd --list-all --zone=trusted
    firewall-cmd --permanent --change-interface=ens160 --zone=public ##修改ens3域为public
    firewall-cmd --list-all --zone=public
    在这里插入图片描述
    在这里插入图片描述

  • 火墙的内部结构
    nat表中都不经过内核
    filter 经过内核
    mangle 当nat与filter不够用时
    在这里插入图片描述

firewall 高级规则

  • ##指定一个用户不可访问(设定input)

    ##查看高级规则
    firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 192.168.1.212 -j REJECT ##添加规则 input 指定操作 -p 协议 -s ip -dport ##端口-j拒绝
    firewall-cmd --reload ##加载
    firewall-cmd --direct --get-all-rules ##查看高级规则
    在这里插入图片描述
    访问服务器
    在这里插入图片描述
    firewall-cmd --permanent --add-masquerade ##打开地址隐藏功能
    在这里插入图片描述
    vim /etc/sysctl.conf
    net.ipv4.ip_forward = 1 ##打开内核路由功能(两者才可通信)
    在这里插入图片描述
    如果未开启
    ##编写内核参数文件(使之成为路由器)
    在这里插入图片描述

  • 客户端1:
    添加网关
    临时添加
    ip route add default via 192.168.1.100
    在这里插入图片描述

  • 登录客户端2:172网段登录192网段
    w -i ##查看链接
    在这里插入图片描述

目的地址转接
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.1.212
在这里插入图片描述
在这里插入图片描述

iptables管理方式

  • 火墙策略的永久保存
    /etc/sysconfig/iptables ##iptables策略记录文件
    永久保存策略
    iptables-save > /etc/sysconfig/iptables
    sevice iptables save

  • 切换至iptales
    systemctl disable --now firewalld
    systemctl mask firewalld
    dnf install iptables-services
    systemctl enable --now iptables
    在这里插入图片描述
    在这里插入图片描述
    iptables -nL
    ##查看服务 n 不做解析 L 列举
    iptables -F
    iptables-save > /etc/sysconfig/iptables
    service iptables save
    systemctl restart iptables.service ##永久保存策略规则
    在这里插入图片描述
    iptables -t nat -nL ##nat列表查看 - t 指定表
    iptables -t filter -nL
    iptables -t mangle -nL ##指定列表
    在这里插入图片描述
    在这里插入图片描述
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j REJECT
    ##添加协议 -j 动作 -p 协议 -dport 目的地端口
    ##协议向后写(施行匹配规则)
    在这里插入图片描述
    在这里插入图片描述
    iptables -I INPUT 2 -s 172.25.254.112 -p tcp --dport 22 -j REJECT ##不允许250访问,此策略不读 -I 插入 INPUT 1写在第一条
    在这里插入图片描述

  • DROP ##丢弃
    REJECT ##拒绝
    ACCEPT ##允许
    SNAT ##源地址转换
    DNAT ##目的地址转换

  • iptables -N WESTO ##新建链
    iptables -E WESTO WESTOS ##修改链
    iptables -X WESTOS ##删除链
    iptables -D INPUT 3 ##删除第三行
    iptables -R INPUT 1 -s 172.25.254.100 -p tcp --dport 22 -j REJECT ##修改规则
    iptables -P INPUT DROP
    iptables -P INPUT ACCEPT ##修改默认规则
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

  • 只允许smb,iscsi,sshd服务通过
    对应端口
    3260 ##iscsi
    139,445 ##smb
    22 ##sshd

test:

  • iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    ##允许已经连接的正在连接的通过
    iptables -A INPUT -m state --state NEW -i lo -j ACCEPT ##允许新的回环接口输入通过
    iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT ##允许tcp协议端口22sshd发出的策略通过
    iptables -A INPUT -m state --state NEW -p tcp --dport 139 -j ACCEPT
    iptables -A INPUT -m state --state NEW -p tcp --dport 445 -j ACCEPT ##允许 tcp协议139 445端口smb发出的信息通过
    iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT ##允许3260iscsi服务通过
    iptables -A INPUT -m state --state NEW -j REJECT ##其余都拒绝
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

  • PREROUTING ##路由前
    POSTROUTING ##路由后
    INPUT ##输入
    OUTPUT ##输出
    FORWARD ##转发

  • iptables -t nat -A POSTROUTING -o ens160 -j SNAT --to-source
    172.25.254.100 ##把由172发出的信息地址都伪装做172.25.254.100
    在这里插入图片描述

    ##连接,由172.25.254.100连接
    在这里插入图片描述
    iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 192.168.1.100 ##将进来的信息都转至192网段
    iptables -t nat -D POSTROUTING 1 ##删除链规则
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

可可茜里的传说
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Netspoc:网络安全策略编译器。 Netspoc针对具有大量防火墙和管理员的大型环境。 防火墙规则源自单个规则集。 支持的是Cisco IOS,NX-OS,ASA和IPTables
02-05
Netspoc 网络安全策略编译器。 Netspoc已从Perl迁移到Go(golang)。 发行的CPAN软件包将包含针对Linux-x86_64体系结构的编译二进制文件。 这些将与Perl脚本一起安装,通常在/ usr / local / bin。 Netspoc是免费软件,用于管理网络拓扑的所有数据包筛选器设备。 使用网络拓扑的描述,从一个央规则集生成每个设备的过滤器规则。 支持思科和Linux设备 iptables的链。 ASA,NX-OS,ACE模块的访问列表 具有和不具有防火墙功能集的IOS的访问列表。 规则在全球范围内进行了优化 相邻的IP范围和端口范围已合并。
redhat linux教材20课程学习文档
04-24
第一部分 Linux简介和原理介绍 第一章 概述 1.1 Linux 的历史及背景 1.1.1 什么是 Linux? 1.1.2 Linux 该怎么念? 1.1.3 Linux 的历史 1.1.4 Linux的优点 1.2 Linux与开源软件 1.3 Linux 与 Windows 的比较 1.3.1 开发模式和系统架构的区别 1.3.2 局部的区别 1.4 Linux 与 Unix的比较 1.5 Linux 的发行版本和内核版本 1.6 Linux 的适用场合 1.7 Linux 的未来 第二章 Linux系统基本原理 2.1 Linux的体系结构以图来表现 2.2 基本特点 2.2.1 单核心 2.2.2 多用户的操作系统 2.2.3 分时机制 2.2.4 多任务运行 2.3 核心与模块(模块分类、进程,核心结构图) 2.4 文件系统的基本概念 2.4.1 概述 2.4.2 Linux目录结构 2.4.3 mount 2.4.4 主要文件系统类型 2.4.5 日志文件系统 2.4.6 i结点 2.5 线程与进程的基本概念 2.5.1 基本概念 2.5.2 僵尸进程 2.5.3 进程和多任务的实现 2.6 Linux设备与网络 2.7 Shell控制台 第二部分 基础知识 第三章 Shell命令使用 3.1 控制台相关命令 clear 命令 echo 命令 yes 命令 3.2 目录操作命令 cd 命令 pwd 命令 mkdir 命令 rmdir 命令 3.3 文件操作命令 ls 命令 touch 命令 cat 命令 more 和 less 命令 head 和 tail 命令 rm 命令 cp 命令 mv 命令 ln 命令 find 命令 file 命令 grep 命令 wc 命令 sort 命令 3.4 属性与权限命令 chown 命令 chgrp 命令 chmod命令 3.5 系统相关命令 date 命令 nice 命令 ps 命令 who 命令 vmstat命令 top 命令 kill 命令 df和du 命令 reboot 命令 shutdown 命令 logout 命令 3.6 Shell的高级使用 3.6.1 管道和重定向(“|、>、>>、<”) 3.6.2 进程管理(fg/bg、ctrl-Z、 &、nohup) 3.6.3 模式匹配 3.6.4 特殊字符 3.7 环境变量 3.7.1 环境变量的概念 3.7.2 相关的命令 第四章 vi使用 4.1 vi 编辑器简介 4.1.1 vi的简介 4.1.2 vim简介 4.2 打开和退出 vi 4.2.1 进入vi 4.2.2 vi的退出 4.2.3 打开文件、保存文件和退出 vi 编辑器 4.3 vi 的三种模式 4.3.1 vi 的输入模式(Insert mode) 4.3.2 vi 的命令模式(Command mode) 4.3.3 vi 的底线模式(Last line mode) 4.3.4 vi 三种模式的切换 4.4 在文件快速移动光标 4.4.1 基本的移动方式 4.4.2 在同一行移动光标 4.4.3 在页面间移动光标 4.4.4 在底线模式下移动光标 4.4.5 查找字符或者文字 4.5 在文件替换和删除文本 4.5.1 命令模式的替换命令 4.5.2 在底线模式的替换命令 4.5.3 底线模式的删除方式 4.6 撤销和重复编辑命令 4.7 移动和复制文本 4.7.1 文本行的移动 4.7.2 在底线模式的整行移动 4.7.3 粘贴和复制 4.8 在 vi 编辑器与 shell交互 4.9 编辑多个文件 4.10 vi的定制 第五章 shell编程 5.1 变量和运算符 5.1.1 变量替换 5.1.2 位置变量 5.1.3 进程变量 5.1.4 bash 引号规则 5.1.5 运算符 5.1.6 表达式替换 5.1.7 标准shell变量 5.1.8 影响命令的变量 5.2 过程 5.2.1 在过程内部使用变量 5.2.2 shift 命令 5.2.3 建立局部过程变量 5.2.4 过程返回值 5.3 脚本执行命令 5.3.1 exit 命令 5.3.2 trap命令 5.3.3 if 命令 5.3.4 case 命令 5.3.5 for 语句 5.3.6 while命令 5.3.7 until命令 5.3.8 break 命令 5.3.9 continue 命令 5 .4 控制shell 5.4.1 创建命令表 5.4.2 创建复合命令 5.4.3 输入/输出重定向 5.4.4 读取输入 5.4.5 使用“-”文件 5.4.6 使用设备文件 5.4.7 使用exec 5.4.8 使用eval 5.4.9 使用后台进程 5.5 Shell 程序调试 5.6 Shell 脚本的举例 第六章 高级脚本编程 6.1 awk 的介绍 6.1.1 什么是awk? (语法与操作) 6.1.2 使用awk功能 6.2 sed 的介绍 6.2.1 什么是sed? (语法与操作) 6.2.2 使用sed功能 6.3 正则表达式的使用 6.4 使用perl 6.4.1 perl特性 6.4.2 perl 入门 6.4.3 perl 变量 6.4.4 使用静态信息 6.4.5 使用倒引号字符串 6.4.6 使用语句 6.4.7 使用文件 6.4.8 特殊变量 6.4.9 对象 6.4.10 使用模块 6.4.11 perl 脚本举例 第三部分 系统管理 第七章 Linux管理介绍 7.1 系统管理员职责 7.1.1 一般的职责 7.1.2 用户的支持 7.2 超级用户 7.2.1 su命令 7.2.2 日常管理 7.3 文档 7.3.1 Linux相关书籍 7.3.2 Internet 7.3.3 man 7.3.4 info 7.3.5 应用程序自带的文档 7.3.6 how-to和mini-how-to 第八章 用户管理 8.1 用户管理简介 8.2 用户类型 8.2.1 超级用户 8.2.2 普通用户 8.2.3 特殊用户 8.3 账号配置文件 8.3.1 /etc/passwd 文件 8.3.2 /etc/shadow 文件 8.3.3 /etc/group 文件 8.4 用户的创建与维护 8.4.1 添加用户 8.4.2 修改用户属性 8.4.3 禁用用户 8.4.4 删除用户 8.4.5 改变用户属主和所有权 8.4.6 用户身份转换 8.5 组的创建与维护 8.5.1 添加组 8.5.2 删除组 8.5.3 修改组属性 8.5.4 改变用户组和所有权 8.6 用户查询 8.6.1 who和w命令 8.6.2 finger 命令 8.6.3 id 命令 8.7 用户管理与维护 8.7.1 受限root访问 8.7.2 环境文件 8.7.3 环境的定义 8.7.4 umask 8.7.5 day信息 8.7.6 guest帐号 8.7.7 共享的组目录 第九章 进程管理 9.1 创建进程和启动进程 9.2 进程调度: crond与atd 9.3 进程监控与统计 9.4 信号 9.4.1 信号的概念 9.4.2 kill 9.4.3 进程的挂起和恢复 9.5 daemon 9.5.1 概念 9.5.2 创建daemon 9.5.3 daemon用法 9.5.4 识别 第十章 文件系统 10.1 分区管理 10.1.1 分区概念 10.1.2 fdisk与parted命令 10.2 文件系统创建与维护 10.3 磁盘限额 10.4 文件和目录 10.4.1 访问控制 10.4.2 设定用户和组识别码 10.4.3 粘着位 10.4.4 文件权限命令 10.4.5 连接(LINK) 10.5 proc文件系统 10.6 SWAP 10.7 NFS 10.8 RAID 10.9 LVM 第十一章 文件与数据备份 11.1 为什么要备份? 11.2 备份什么? 11.3 备份策略 11.4 备份命令的选择 11.4.1 tar 的使用 11.4.2 gzip和compress 11.4.3 联合使用 11.4.4 cpio 命令 11.4.5 dump 命令 11.5 第三方备份软件 11.6 磁带机的介绍及使用 第十二章 软件包管理 12.1 rpm 基础 12.2 rpm 主要运行方式和常用选项 12.3 查找 rpm 信息 12.4 rpm 包的安装与删除 12.5 rpm 包的升级 12.6 rpm 命令的用法 12.7 使用rpmbuild构建自己的rpm包 12.8 软件的编译安装(./configure、make、make install等过程) 12.9 共享库 第十三章 启动过程和启动脚本 13.1 理解系统启动过程 13.2 GRUB与LILO 13.3 启动配置文件和命令 13.4 rc目录和相关脚本 13.4.1 理解 rc.d 目录 13.4.2 /etc/rc.d/rc.svsinit 脚本 13.4.3 理解 rc 脚本 13.4.4 理解 rc.6 目录下的其他脚本 13.4.5 checkconfig 脚本 第十四章 linux内核及设备管理 14.1 编译内核 14.1.1 准备源码 14.1.2 配置内核 14.1.3 编译 14.1.4 安装 14.2 模块 14.2.1 编译和安装 14.2.2 模块操作命令 14.2.3 配置 14.3 内核的调整 第十五章 日志管理 15.1 基本概述 15.2 日志子系统类别 15.3 日志文件使用 15.3.1 dmesg 15.3.2 messages 15.4 日志文件的后台进程 15.4.1 syslog 15.4.2 klogd 15.4.3 logger 15.5 logrotate 15.6 log文件的分析工具 15.6.1 swatch 15.6.2 其他工具 第十六章 打印管理 16.1 Linux打印体系概述 16.1.1 Linux打印原理 16.1.2 新旧打印方式对比 16.2 打印机的设置 16.2.1 添加打印机 16.2.2 通过命令行管理打印机 16.2.3 通过web界面管理打印机 16.3 使用CUPS打印 16.3.1 打印文件 16.3.2 选择打印机 16.3.3 标准打印选项 第十七章 基本网络配置与管理 17.1 网络环境概述 17.1.1 使用ADSL连接 17.1.2 普通modem拨号 17.1.3 局域网连接 17.2 网卡设置(着重) 17.2.1 网络设置的相关文件 17.2.2 IP、掩码、静态路由 17.2.3 DNS选项的配置 17.3 常用网络管理命令(ifconfig、netstat和route命令) (着重) 17.4 常用服务的管理 17.4.1 xinetd与inetd(重点为xinetd) 17.4.2 DHCP配置及启动 17.4.3 telnet配置及启动 17.4.4 FTP配置及启动 17.4.5 SSH配置及启动 第十八章 系统安全简介 18.1 安全漏洞 18.2 补丁在系统安全的重要作用 18.3 主机安全 18.4 PAM 18.5 用户设置:口令规则、过期等 18.6 文件权限 18.7 setuid和setgid 18.8 缓冲区溢出的安全保护 18.9 网络安全设置 18.9.1 TCP封装 18.9.2 端口限制 18.9.3 防火墙iptables 18.10 简单攻击检测 18.11 使用安全工具 18.11.1 saint 18.11.2 SSH 18.11.3 tcplogd 18.11.4 swatch 18.11.5 tcpdump 18.11.6 whois 第十九章 系统优化和核心参数调整 19.1 系统性能与优化概述 19.2 性能监视与测试 19.3 系统优化的相关命令 19.3.1 uptime 19.3.2 free 19.3.3 top 19.3.4 vmstat 19.3.5 ps 19.4 系统优化措施 第二十章 X Window配置 20.1 X Window有什么特点 20.2 组成X的基本元素 20.3 X系统的运行原理 20.4 X系统的启动与关闭 20.5 X系统的配置与升级 20.6 X Window的远程管理 20.7 X Window的桌面环境 附录 一、 vi命令汇总表 二、 常用命令列表(描述)可以加入DOS参照 三、 Linux 的技术资源(获取途径、以网上链接为主、Linux社区分类介绍) 四、 GNU通用公共许可证(GPL) 五、 Linux发行版 六、 index(关键词索引)
防火墙与入侵防御系统(IPS)策略优化:确保网络边界安全
最新发布
图幻未来的博客
03-18 268
随着互联网的迅速发展以及企业网络的不断扩大, 网络攻击手段日益多样化和复杂化. 其一些常见的威胁包括拒绝服务 (DoS/DDoS)、病毒、蠕虫和网络钓鱼等. 为了防范这些潜在的网络安全风险及保护内部数据和信息资源的安全传输 ,企业有必要采取合适的措施以增强其网络边界的安全防护能力 . 本文将重点讨论如何针对当前常见的一些安全问题制定出有效的防火墙 和入侵检测系统的 (IPS)的策略 以此提高整个网络的安全性。
Iptables 文指南
07-23
序言 1.1. 为什么要写这个指南 1.2. 指南是如何写的 1.3. 文出现的术语 2. 准备阶段 2.1. 哪里能取得iptables 2.2. 内核配置 2.3. 编译与安装 2.3.1. 编译 2.3.2. 在Red Hat 7.1上安装 3. 表和链 3.1. 概述 3.2. mangle 表 3.3. nat 表 3.4. Filter 表 4. 状态机制 4.1. 概述 4.2. conntrack记录 4.3. 数据包在用户空间的状态 4.4. TCP 连接 4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪 5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处 5.3. iptables-save 5.4. iptables-restore 6. 规则是如何练成的 6.1. 基础 6.2. Tables 6.3. Commands 6.4. Matches 6.4.1. 通用匹配 6.4.2. 隐含匹配 6.4.3. 显式匹配 6.4.4. 针对非正常包的匹配 6.5. Targets/Jumps 6.5.1. ACCEPT target 6.5.2. DNAT target 6.5.3. DROP target 6.5.4. LOG target 6.5.5. MARK target 6.5.6. MASQUERADE target 6.5.7. MIRROR target 6.5.8. QUEUE target 6.5.9. REDIRECT target 6.5.10. REJECT target 6.5.11. RETURN target 6.5.12. SNAT target 6.5.13. TOS target 6.5.14. TTL target 6.5.15. ULOG target 7. 防火墙配置实例 rc.firewall 7.1. 关于rc.firewall 7.2. rc.firewall详解 7.2.1. 参数配置 7.2.2. 外部模块的装载 7.2.3. proc的设置 7.2.4. 规则位置的优化 7.2.5. 缺省策略的设置 7.2.6. 自定义链的设置 7.2.7. INPUT链 7.2.8. FORWARD链 7.2.9. OUTPUT链 7.2.10. PREROUTING链 7.2.11. POSTROUTING链 8. 例子简介 8.1. rc.firewall.txt脚本的结构 8.1.1. 脚本结构 8.2. rc.firewall.txt 8.3. rc.DMZ.firewall.txt 8.4. rc.DHCP.firewall.txt 8.5. rc.UTIN.firewall.txt 8.6. rc.test-iptables.txt 8.7. rc.flush-iptables.txt 8.8. Limit-match.txt 8.9. Pid-owner.txt 8.10. Sid-owner.txt 8.11. Ttl-inc.txt 8.12. Iptables-save ruleset A. 常用命令详解 A.1. 查看当前规则集的命令 A.2. 修正和清空iptables的命令 B. 常见问题于与解答 B.1. 模块装载问题 B.2. 未设置SYN的NEW状态包 B.3. NEW状态的SYN/ACK包 B.4. 使用私有IP地址的ISP B.5. 放行DHCP数据 B.6. 关于mIRC DCC的问题 C. ICMP类型 D. 其他资源和链接 E. 鸣谢 F. History G. GNU Free Documentation License 0. PREAMBLE 1. APPLICABILITY AND DEFINITIONS 2. VERBATIM COPYING 3. COPYING IN QUANTITY 4. MODIFICATIONS 5. COMBINING DOCUMENTS 6. COLLECTIONS OF DOCUMENTS 7. AGGREGATION WITH INDEPENDENT WORKS 8. TRANSLATION 9. TERMINATION 10. FUTURE REVISIONS OF THIS LICENSE How to use this License for your documents H. GNU General Public License 0. Preamble 1. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 2. How to Apply These Terms to Your New Programs I. 示例脚本的代码 I.1. rc.firewall脚本代码 I.2. rc.DMZ.firewall脚本代码 I.3. rc.UTIN.firewall脚本代码 I.4. rc.DHCP.firewall脚本代码 I.5. rc.flush-iptables脚本代码 I.6. rc.test-iptables脚本代码 List of Tables 3-1. 以本地为目标(就是我们自己的机子了)的包 3-2. 以本地为源的包 3-3. 被转发的包 4-1. 数据包在用户空间的状态 4-2. 内部状态 6-1. Tables 6-2. Commands 6-3. Options 6-4. Generic matches 6-5. TCP matches 6-6. UDP matches 6-7. ICMP matches 6-8. Limit match options 6-9. MAC match options 6-10. Mark match options 6-11. Multiport match options 6-12. Owner match options 6-13. State matches 6-14. TOS matches 6-15. TTL matches 6-16. DNAT target 6-17. LOG target options 6-18. MARK target options 6-19. MASQUERADE target 6-20. REDIRECT target 6-21. REJECT target 6-22. SNAT target 6-23. TOS target 6-24. TTL target 6-25. ULOG target C-1. ICMP类型
RED HAT LINUX 6大全
10-21
本书全面系统地介绍了Red Hat Linux 6。全书共分为五个部分,包括35章和四个附录。第一部分为Red Hat Linux的介绍和安装;第二部分为服务配置;第三部分为系统管理;第四部分为Linux编程;第五部分为附录。本书内容翔实、涉及领域广泛,并且提供了详细的例子和大量的参考资料(包括书籍、电子文档和Internet站点),是一本学习、使用和管理Linux不可多得的好书。 目 录 译者序 前言 第一部分 Red Hat Linux的介绍与安装 第1章 Red Hat Linux和UNIX简介 1 1.1 Linux的优点 2 1.2 版权和保证 3 1.
linux 修改防火墙的命令,CentOS(Linux) firewall 防火墙的设置与命令
weixin_31100713的博客
04-29 971
一次安装 CentOS 防火墙时发现一个问题,CentOS 7 默认防火墙已经从 iptables 变成了 firewall。但是启动 firewall 后默认会屏蔽所有端口,所以ssh的默认 22 端口也会被屏蔽;这就造成了服务器断开连接并且无法连接的问题了。首先如果系统没有安装防火墙,或者装的是 iptables 防火墙,我们需要先检查是否安装了 iptables:service iptabl...
网络通信安全:防火墙规则配置与优化.pdf
06-23
防火墙规则配置与优化 一、 实验目的 理解等级保护对访问控制的要求,学习如何配置防火墙访问控制规则,并优化访问控制 规则。 二、 实验软硬件要求 华为ensp 仿真模拟软件。 三、 等级保护2.0 相关要求 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外 受控接口拒绝所有通信。 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 四、 实现功能 1、 打开实验拓扑ENSP,调整网络使得可以访问防火墙。 2、 制定防火墙规则,并应用到防火墙。 假定公司内部 IP 为 /24,外网地址是/24 网段,配置防火墙访问 控制规则,满足如下要求: a) 只允许-100 能够访问访问外网; b) 禁止/24 访问外网telnet 服务; c) 禁止外网的私有地址 ~/16,/16,/8 访问内网; d) 允许所有ICMP 报文通过; e) 允许02/32访问外网FTP 服务; f) 禁止其他所有访问。 3、 剔除多余的规则,调整防火墙规则顺序,使规则没有重叠且数目最少,并说明为什么 这么调整的原因。 五、 实验原理 防火墙概念 防火墙
Linux防火墙——Firewalld防火墙基础
不够优秀才会那么依赖其他人,不够成熟才会信任所有耀眼的外衣,不够强大才会浪费时光去迎合他们的玩闹!
03-29 450
目录标题firewalld概述firewalld与iptables的区别三级目录 firewalld概述 firewalld防火墙是CentOS7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,数据包过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态
防火墙设置
c2unix的专栏
08-10 158
###检测频率可以调整计划任务的循环时间,单IP的并发数限制可以在第一行的‘Where-Object({$_.Count -ge 50}’ 50可以自己调整。echo "对不起,规则 $RULE_NAME 已经存在"echo "规则 $RULE_NAME 创建..."#$ip=Read-Host "请输入要禁止的IP"####以上内容另存为一个'自动发现.PS1'文件。####以下内容另存为一个'自动禁止.PS1'文件。echo "不能操作私网IP"echo "数据错误"...
学习笔记(八):FIREWALL配置与使用
徐金宝的博客
10-24 2293
防火墙借助硬件和软件在内部和外部网络之间产生一种保护屏障,防火墙配置好且启用的情况下,将是不同网络或网络安全域之间信息的唯一出入口,能够设置安全策略控制网络的信息流,保障内部网络的安全。 本文对防火墙原理以及防火墙工具做了介绍
firewalld 详解
YFHCSDN的博客
10-09 540
firewalld详解
Linux防火墙的研究与优化
04-10
分析了防火墙体系架构、发展方向等方面的内容,.给出了防火墙规则优化的方法。
火墙优化策略
weixin_45931409的博客
07-01 201
实验环境 : 两台主机 一台可以连外网 一台只能内网连接 火墙切换方式及安装 iptables的安装及切换 iptables -------->firewalld iptables 的永久保存策略 iptables命令 数据包状态 在服务器上: 在客户主机 snat(13.30-14.00) 服务器主机: 客户主机: 在客户机测试: DNAT目的地地址转换 :(14.30-14.50) firewalld firewalld 相较于 iptaples更加
Firewalld防火墙使用详解
Lovelock Chan
09-22 1316
list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息 加上–permanent 查看永久生效的配置参数、资源、端口以及服务等信息。隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
十(5)firewalld的9个zonefirewalld关于zone、service的操作、
weixin_33978044的博客
03-08 268
firewalld才是centos7上的防火墙机器之前的操作我是打开了iptables服务,现在我们先关闭iptables服务,打开firewalld服务。systemctl disable iptablessystemctl stop iptablessystemctl enable firewalldsystemctl start firewalld iptab...
日常运维(5)firewalld的9个zonezone的操作,service的操作
langyue919的博客
05-11 1276
firewalld 是centos7的默认防火墙,比起centos6和5所使用的netfilter,firewalld为模块化设计, 使用服务(service) 和区域(zone)来代替 iptables 的规则(rule)和链(chain)。用的时候只需要将所需的service模板和所需的zone模板,拷贝至/etc/firewalld/下对应的zone和service目录里即...
3.7 Linux的火墙策略优化
m0_48569984的博客
08-07 126
linux防火墙简单来说是内核上数据包过滤的插件,主要工作在网络层,属于典型的包过滤防火墙。常用的有两种火墙工具iptables和firewalld,但软件本身其实并不具备防火墙功能,他们的作用都是在用户空间管理和维护规则,真正利用规则进行过滤是由内核netfilter完成的。netfilter IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。2.iptables。
关于firewall防火墙一些常用方法
kim5659的博客
05-24 477
关于从学习Linux开始,我对防火墙防火墙一直很迷惑我接触的有firewall\iptalbe\selinux,这几者的关系一直没搞清楚,而且在centos里它们还同时存在。上网查了半天只搞清如下关系: SELinux、Netfilter、iptables、firewall和UFW五者关系 1、SELinux是美国国家安全局发布的一个强制访问控制系统 2、Netfilter是Linux 2.4.x引入的一个子系统,作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制 3、iptables是Linu
firewalld的9个zonefirewalld关于zone的操作、firewalld关于service的操作
rain_yunlx的博客
01-26 1636
一、firewalld的9个zone 1. 启动firewalld 1. [root@lx003 ~]# systemctl disable iptables                                                                   停止iptables     Removed symlink /etc/systemd/sys
linux 抗ddos添加防火墙脚本写法
07-12
Linux,可以使用iptables来配置防火墙规则来抵御DDoS攻击。以下是一个简单的示例脚本,用于添加防火墙规则以防御DDoS攻击: ```bash #!/bin/bash # 清空现有的防火墙规则 iptables -F # 设置默认策略:拒绝...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值