防火墙规则学习

最新推荐文章于 2024-06-14 23:31:49 发布
最新推荐文章于 2024-06-14 23:31:49 发布
阅读量107 收藏
点赞数
分类专栏: linux运维 方法使用 文章标签: 网络 tcp/ip 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45453098/article/details/131111649
版权

1.查看firewalld.service服务状态

#查看firewalld.service服务状态
systemctl status firewalld
 
#查看firewall运行状态
firewall-cmd --state

2.手动启动/重启/停止 firewalld.service服务

#启动
systemctl start firewalld
#重启
systemctl restart firewalld
#停止
systemctl stop firewalld

3.展示当前配置的firewall规则

#查看当前所有规则
firewall-cmd --list-all

#单独查看端口白名单列表
firewall-cmd --zone=public --list-ports

4.开放端口(端口段)

查询端口是否开放

firewall-cmd --query-port=8080/tcp

新建永久规则,开放8080端口(TCP协议),任何ip都可以访问

firewall-cmd --permanent --add-port=8080/tcp

移除上述规则

firewall-cmd --permanent --remove-port=8080/tcp

新建永久规则,批量开放一段端口(TCP协议)

firewall-cmd --permanent --add-port=9001-9100/tcp

#添加或者移除规则后重新加载firewall后配置才会生效
firewall-cmd --reload

5.IP(IP段)的开放

新建永久规则,开放192.168.1.1单个源IP的访问

firewall-cmd --permanent --add-source=192.168.1.1

新建永久规则,开放192.168.1.0/24整个源IP段的访问

firewall-cmd --permanent --add-source=192.168.1.0/24

移除上述规则

firewall-cmd --permanent --remove-source=192.168.1.1

6.系统服务的开放

#开放http服务

firewall-cmd --permanent --add-service=http

移除上述规则

firewall-cmd --permanent --remove-service=http

7.自定义复杂规则与移除(注意是否与已有规则冲突)

#允许指定IP访问本机8080端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'

#允许指定IP段访问本机8080-8090端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080-8090" accept'

#禁止指定IP访问本机8080端口

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'

#移除第一条规则(所有的移除规则基本都是add改成remove)
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'

8.任何修改操作,配置完成后,需要重新装载firewall。可重新启动firewalld服务。

#重新加载firewall
firewall-cmd --reload
#重启firewalld
systemctl restart firewalld

另附其他centos7 firewalld防火墙操作与说明
加粗样式

#禁用防火墙服务
systemctl mask firewalld
 
#恢复禁用防火墙服务
systemctl unmask firewalld

查看白名单端口列表

firewall-cmd --zone=public --list-ports

作用域

--zone

#永久生效,没有此参数重启后失效

--permanent

#获取本机服务器的公网出口ip
curl http://myip.fireflysoft.net/
关于ssh端口爆破
学习使用FirewallD使用,是因为最近vultr的机器不停的被人尝试链接(爆破),每次登录都会提示之前有上万次失败登录,换了SSH端口还是会被扫到,执行命令卡的不行,巨难受。
解决办法:
1.设置防火墙白名单/黑名单
2.关闭网段访问
修改配置文件/etc/hosts.allow
使用如下的格式添加ssh访问权限,用于拒绝靶机进行远程ssh登录,提高ssh登录安全性。:

sshd:192.168.0.158:allow    #允许IP地址为192.168.0.158的主机使用ssh连接
sshd:192.168.0.*:allow      #允许IP地址段为:192.168.0.0/24的主机使用ssh连接
sshd:all:deny               #拒绝除允许地址之外的所有主机使用ssh连接
世俗人。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙基础知识
m0_46270507的博客
07-19 2589
防火墙基础知识
防火墙学习笔记
qq_45141842的博客
08-21 839
一、定义 位于网络中不同区域之间,由安全策略建立起来的一个安全硬件系统。 二、作用 流量控制,防止黑客对内网的攻击,保护内网资源。 三、工作模式 防火墙有三种工作模式,分别为路由模式,透明模式,混合模式。 1.路由模式 定义:如果防火墙以第三层对外连接(接口具有IP 地址),则认为防火墙工作在路由模式下,此时防火墙具有三层功能,可以做NAT。 场景:当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时
网络通信安全:防火墙规则配置与优化.pdf
06-23
防火墙规则配置与优化 一、 实验目的 理解等级保护中对访问控制的要求,学习如何配置防火墙访问控制规则,并优化访问控制 规则。 二、 实验软硬件要求 华为ensp 仿真模拟软件。 三、 等级保护2.0 相关要求 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外 受控接口拒绝所有通信。 应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。 四、 实现功能 1、 打开实验拓扑ENSP,调整网络使得可以访问防火墙。 2、 制定防火墙规则,并应用到防火墙。 假定公司内部 IP 为 /24,外网地址是/24 网段,配置防火墙访问 控制规则,满足如下要求: a) 只允许-100 能够访问访问外网; b) 禁止/24 访问外网telnet 服务; c) 禁止外网的私有地址 ~/16,/16,/8 访问内网; d) 允许所有ICMP 报文通过; e) 允许02/32访问外网FTP 服务; f) 禁止其他所有访问。 3、 剔除多余的规则,调整防火墙规则顺序,使规则没有重叠且数目最少,并说明为什么 这么调整的原因。 五、 实验原理 防火墙概念 防火墙
如何配置防火墙?看这篇就够了
wuli1024的博客
11-27 6411
例如,一个企业按图 1-3 划分防火墙的安全区域,内网接口加入 trust 安全区域,外网接口加入 untrust 安全区域,服务器区接口加入 dmz 安全区域,另外为访客区自定义名称为 guest 的安全区域。反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置 local 到其他安全区域的安全策略。另外除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel 接口等,这些逻辑接口在使用时也需要加入安全区域。
计算机网络 - iptables 防火墙
qq_48391148的博客
04-06 2309
目录 1. iptables 的四表五链 1.1 规则链 1.1.1 默认的5种规则链 1.1.2 规则链间的匹配顺序 1.1.3 规则链内的匹配顺序 1.2 规则表 1.2.1 默认的4个规则表 1.2.2 规则表之间的优先顺序 1.3 数据包过滤匹配流程 2. iptables命令的语法格式 2.1 设置规则内容: 2.2 列表查看规则 2.3 清除规则 2.4 策略: 2.5 定时清除iptables规则 2.6 自定义规则链 2....
Linux iptables 防火墙配置
weixin_51559599的博客
10-12 156
要求以“-m 扩展模块” 的形式明确指出类型,包括多端口、MAC 地址、IP 范围、数据包状态等等条件。独立使用,可以直接使用,不依赖与其他条件或扩展,包括网络协议、IP 地址、网络接口等条件。要求以特定的协议匹配作为前提,包括端口、TCP 标记、ICMP 类型的条件。规则表之间的顺序:raw-> mangle-> nat-> filter。iptables 操作哪个张表,哪个链,符合什么流量,执行什么动作。建立规则后,server 无法 ping 通网关。server ping GW 可以 ping。
添加防火墙例外
08-21
正好写个简单demo,先查询防火墙,如果白名单中没有目标程序则将其名称和路径添加到例外规则中,如果目标程序已经存在于防火墙例外规则中则直接返回防止重复添加。C++编写了一个简单控制台小程序,供交流学习。
华为防火墙特性描述
02-09
华为防火墙特性描述,学习华为防火墙非常好的指导文档
基于Netfilter的防火墙:可根据规则拦截记录流量包,具有NAT功能
05-17
【作品名称】:基于Netfilter的防火墙:可根据规则拦截记录流量包,具有NAT功能 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 ...
防火墙包过滤规则正确性的研究 (2003年)
05-20
防火墙的包过滤规则是根据实际需要的安全策略来制定的,对规则集应该考虑整体是否有效、规范,而不应该是规则集中的每条规则是否有效、规范。研究了包过滤规则在应用之前能够进行规则的冲突检测,避免规则之间出现...
创建Docker容器与外部机通信(端口映射的方式)
m0_52980547的博客
06-14 569
首先,创建一个自定义的Docker网络,这样可以更好地控制容器间的通信以及容器与外部网络的交互。自定义网络允许你为容器分配固定的IP地址。这个命令创建了一个名为mynetwork的网络,使用了172.18.0.0/16作为子网。
工业网关在智能制造中的具体应用和效果-天拓四方
2401_84969963的博客
06-14 599
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
cs61C | lecture4
DaphneOdera17的博客
06-10 671
## Stack在最顶部,向下增长。包含局部变量和 function frame information。栈指针(SP, Stack Pointer) 告诉我们最低(当前)stack frame 在哪里。当进程结束时,SP 会移动回之前的位置,但是数据会保留(现在变成 garbage)。```ca(0);return 1;b(1);c(2);d(4);```!!以下错误代码:```cint y;y = 3;return &y;/* 3 *//*?*/
智能驾驶时代:车联网需要怎样的智能网络底座?
syscloud123的博客
06-11 947
2024年,智能驾驶市场火热,无论是造车新势力还是老牌车企纷纷发力智能驾驶,他们深知,新能源汽车的下半场已到,再不发力智能驾驶,可能真的有些来不及了。车企不断加码单车智能的同时,政府也在稳步的推进车路协同。智能驾驶领域一直处在新技术广泛应用和验证的前沿,让我们一起探索智能驾驶的发展将给我们带来哪些启示。2024年年初,工业和信息化部、公安部等5部门印发,提出智能网联汽车“车路云一体化”协同发展的系列政策举措。
DNS域名解析
m0_70627741的博客
06-13 741
1D:一天 @ IN SOA @ rname.invalid. ( # 第二个@符号,调整为配置文件中定义的区域名 # SOA:起始授权机构,代表主域名服务器 # rname.invalid:该设备管理员的邮箱账号 由于@符号与该文件规则冲突所以用.代替 0;当前主机接收到DNS解析的请求后,会把请求发给指定的服务器服务器的地址就在 file 指定的 "named.ca" 文件中保存。在named.ca文件中,可以看到a ~ m服务器的两种地址,a ~ m也可以看出服务器的数量,有13个。
TCP/IP网络编程》(第十五章)套接字和标准I/O
最新发布
立志成为炼丹师?
06-14 961
之前数据通信时,使用的是read&write函数以及其他各种I/O函数,本章将使用,例如C语言的fopen、fgetc、fputs等等;C++语言的cout、cin等等。
LWIP移植
嵌入式分享
06-12 690
本文主要对LWIP简单介绍,并对LWIP进行基于UCOS操作系统的移植,以及对LWIP相关编程接口作简单介绍
【杂记-浅谈VRRP虚拟路由冗余协议】
叫我小虎就行了的博客
06-13 1146
【杂记-浅谈VRRP虚拟路由冗余协议】
Http协议JSON格式
weixin_55702682的博客
06-14 903
超文本传输协议(Hyper Text Transfer Protocol,HTTP)规定客户端如何从服务器端获取文档和向服务器端提交表单内容,以及服务器端如何响应这些请求和提交。HTTP是一个基于TCP/IP通信协议来传递数据的协议,传输的数据类型为HTML 文件,、图片文件, 查询结果等。HTTP协议一般用于B/S架构(浏览器和服务器架构模式)。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。为了解决上述HTTP存在的问题,就用到了HTTPS。
学习防火墙技术对个人开展工作的重要性
07-12
1. 提高网络安全性:防火墙是保护网络安全的重要工具,学习防火墙技术可以帮助个人了解和配置防火墙规则,有效阻止未经授权的访问和恶意攻击,提高网络的安全性。 2. 防范网络攻击:防火墙可以检测和阻断恶意入侵、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值