linux中的安全防护firewalld和iptable。

最新推荐文章于 2023-06-19 17:18:09 发布
最新推荐文章于 2023-06-19 17:18:09 发布
阅读量406 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45466471/article/details/99726376
版权

#########################################防火墙##########################
我们的操作与系统内核时有交互的。内核能完成我们的任务。但是如果人们直接和内核交换信息,对于系统来说过于危险,这样就需要了解我们的防火墙,他是内核与人们操作之间的管道和保护者。
firewalld:
trusted 可接受所有的网络连接
home 由于仅接受家庭网络、ssh、mdns、ipp-client、samba-client、或dhcpv6-client
internal 与home差别在只能连接内部网络
work 工作区,只接受ssh,ipp-client、dhcpv6-client
public 在公共区域内使用
external 只接受ssh服务连接
dmz 仅接受ssh连接
block 拒绝网络连接,有回复
drop 没有回复,所有宝被丢弃firewall使用命令行借口查看防火墙所载那个区域。

[root@foundation38 Desktop]# firewall-cmd --state                             ##查看防火墙状态
running
[root@foundation38 Desktop]# firewall-cmd --get-active-zones                  ##查看活动的区域和端口
trusted
  interfaces: enp0s25 br0
[root@foundation38 Desktop]# firewall-cmd --get-default-zone                  ##查看默认区域
trusted
[root@foundation38 Desktop]# firewall-cmd --get-zones                          ##查看所拥有的区域
work drop internal external trusted home dmz public block
[root@foundation38 Desktop]# firewall-cmd --zone=public --list-all            ##查看指定区域的使用情况
[root@foundation38 Desktop]# firewall-cmd --list-all-zones			##查看所有区域使用情况

实验:
###将网络接口转移到其他区域:

[root@desktop ~]# firewall-cmd --remove-interface=eth1 --zone=public            ##把网络接口从public区域移开       
[root@desktop ~]# firewall-cmd --list-all                                      ##已经移动,查看默认区域
public (default, active)
  interfaces: eth0
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
	
[root@desktop ~]# firewall-cmd --add-interface=eth1 --zone=trusted                   ##添加eth1都trust区域
success	
[root@desktop ~]# firewall-cmd --zone=trusted --list-all                             ##查看指定区域   
trusted (active)
  interfaces: eth1
  sources: 172.25.254.38
  services: 
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
	
[root@desktop ~]# firewall-cmd --change-interface=eth1 --zone=public                   ##将eth1更该岛public
[root@desktop ~]# firewall-cmd --zone=public --list-all                                ##查看指定区域情况
public (default, active)
  interfaces: eth0 eth1
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

####现在起两台虚拟机,一台中有两个网卡(desktop),另一台只有一个(server),还有真机。
1…desktop ip 172.25.254.138 与172.25.25.138
2…server ip 172.25.25.238
3.真机ip 172.25.254.38
在这里插入图片描述
#######reload与complete-reload
reload ssh 可以连接
complete reload 不能连接
########

#####手动配置软件在防火墙中放的配置文件

[root@desktop ~]# cd /usr/lib/firewalld       ##进入防火墙放软件配置数据的文件    
[root@desktop firewalld]# cd services/             ###服务配置在防火墙中文件
[root@desktop services]# pwd
/usr/lib/firewalld/services
[root@desktop services]# ls                                    ##已有的文件内有部分
amanda-client.xml      ipp-client.xml   mysql.xml       rpc-bind.xml
[root@desktop services]# cp -p http.xml iscsi.xml     ##复制一份已有的
[root@desktop services]# vim iscsi.xml                ##进行更改   
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>ISCSI</short>
  <description>iscsi srvice</description>
  <port protocol="tcp" port="3260"/>                     ##端口信息更改完毕
</service>
~                                        ~                                       
[root@desktop services]# systemctl restart firewalld
[root@desktop services]# systemctl restart iscsi              ##重起iscsi
[root@desktop services]# systemctl restart firewalld          ##重起防火墙
[root@desktop services]# firewall-cmd --get-service           ##得到所有服务iscsi已经打开
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec iscsi kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root@desktop services]# firewall-cmd --permanent --add-service=iscsi           ##防火墙将iscsi打开
[root@desktop services]# firewall-cmd --reload                                    ##重起后可以看到
success
[root@desktop services]# firewall-cmd --list-all                                 ##查看默认信息
public (default, active)
  interfaces: eth0 eth1
  sources: 
  services: dhcpv6-client iscsi ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

##############我们手动添加软件信息到默认的信息中去相当permanent的手动版本

[root@desktop services]# cd /etc/firewalld/zones      ####在防火墙中添加服务,
[root@desktop zones]# firewall-cmd --get-default-zone          ##防火墙默认的区域
public
[root@desktop zones]# vim public.xml                            ##进入配置文件
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="iscsi"/>                              
  <service name="http"/>                                            ###http加入到防火墙开启状态
</zone>[root@desktop zones]# firewall-cmd --list-all                         ##没有重起之前
public (default, active)
  interfaces: eth0 eth1
  sources: 
  services: dhcpv6-client iscsi ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 
[root@desktop zones]# firewall-cmd --reload                         ##防火墙重起之后
success
[root@desktop zones]# firewall-cmd --list-all                       ##http已经台添加完毕
public (default, active)
  interfaces: eth0 eth1
  sources: 
  services: dhcpv6-client http iscsi ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

#####################用命令添加firewall的端口

[root@desktop zones]# firewall-cmd --list-ports 
[root@desktop zones]# firewall-cmd --add-port=8080/tcp    ####端口的添加
success
[root@desktop zones]# firewall-cmd --list-ports 
8080/tcp
[root@desktop zones]# firewall-cmd --remove-port=8080/tcp  ###端口的remove
success
[root@desktop zones]# firewall-cmd --list-ports 
[root@desktop zones]# 
firewall-cmd --permanent --remove-service=ssh          ##移开ssh
firewall-cmd --reload                                 ##reload后在其他ssh连接的上边可以看没有短掉
firewall-cmd --permanent --add-service=ssh           
firewall-cmd --permanent --remove-service=ssh          ##remove ssh
firewall-cmd --complete-reload                         ##reload 但是ssh 连接的断掉了
```#


[root@desktop ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.57 -p tcp --dport 22 -j REJECT 
success
[root@desktop ~]# firewall-cmd --reload
success
[root@desktop ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -s 172.25.254.55 -p tcp --dport 22 -j REJECT
ipv4 filter INPUT 1 -s 172.25.254.57 -p tcp --dport 22 -j REJECT
[root@desktop ~]# ipv4 filter INPUT 1 -s 172.25.254.38 -p tcp --dport 80 -j REJECT

######################filter表

[root@desktop ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.57 -p tcp --dport 22 -j REJECT          ###    从左至右direct目录,添加规则,ipv4的 fileter表,的输入。第一张表,ip,tcp的端口                    
success
[root@desktop ~]# firewall-cmd --reload                                                       #  ##重启后
success
[root@desktop ~]# firewall-cmd --direct --get-all-rules                                 ##查看所添加的规则
ipv4 filter INPUT 1 -s 172.25.254.55 -p tcp --dport 22 -j REJECT
ipv4 filter INPUT 1 -s 172.25.254.57 -p tcp --dport 22 -j REJECT
[root@desktop ~]# ipv4 filter INPUT 1 -s 172.25.254.38 -p tcp --dport 80 -j REJECT

####添加从端口22进来的直接转到172.25.254.38

[root@desktop ~]# firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.38

###172.25.25.238的网络配置,要改网关到中间的172.25.254.138上面去
在这里插入图片描述
之后可以在server上ping 172.25.254.138看是否会转到172.25.254.38上去

########################iptable另外一种管理安全的方式#############
###############准备阶段

[root@desktop ~]# yum list iptables-service              ##下载程序
[root@desktop ~]# yum install iptables-services          
[root@desktop ~]# systemctl stop firewalld                 ##与防火墙冲突所以停止防火墙[root@desktop ~]# systemctl disable firewalld                   ##防火墙不自启动
[root@desktop ~]# systemctl mask firewalld                       ##锁定防火墙不能启动
ln -s '/dev/null' '/etc/systemd/system/firewalld.service'
[root@desktop ~]# systemctl start iptables.service                ##开启iptable
[root@desktop ~]# systemctl enable iptables.service               ##可以自启动
ln -s '/usr/lib/systemd/system/iptables.service' '/etc/systemd/system/basic.target.wants/iptables.service'

####查看nat表的规则,用iptable

[root@desktop ~]# iptables -nL                      ##查看已经写好的命令
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@desktop ~]# iptables -t filter -nl                        ##指定查看那个表[root@desktop ~]# iptables -t nat -nL                          ##指定查看nat表
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         Chain INPUT (policy ACCEPT)
target     prot opt source               destination         Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         Chain POSTROUTING (policy ACCEPT)

#########通过的已有设置,可以快速的通过检查: 用iptable实现

[root@desktop ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT   ##快速通过的命令
[root@desktop ~]# iptables -A INPUT -m state --state NEW -i lo -j ACCEPT             ##本机的全通过
[root@desktop ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
[root@desktop ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
[root@desktop ~]# iptables -A INPUT -j ACCEPT
[root@desktop ~]# iptables -nl
[root@desktop ~]# netstat -tnlp | grep squid                                    ##查看squid的端口
tcp6       0      0 :::3128                 :::*                    LISTEN      10499/(squid-1)     
[root@desktop ~]# iptables -A INPUT -m state --state NEW -p tcp --dport 3128 -j ACCEPT
[root@desktop services]# iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT ##添加dns的端口
[root@desktop services]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state NEW
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22           ##sshd
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:3128         ##squid
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:53           ##dnsChain FORWARD (policy ACCEPT)

####iptable怎么保存我们设定的规则使开机后不丢失

[root@desktop services]# iptables-save > /etc/sysconfig/iptables             ##以重定向的方式保存规则
[root@desktop services]# iptables -F                          ####清空
[root@desktop services]# systemctl restart iptables           ##重起服务
[root@desktop services]# iptables -S                          ##查看信息

#####################实现ip地址的转换功能,除了firewalld可以实现我们的iptable也可以实现
##另外要注意我们设置实在desktop上,充当中间链接的虚拟机上设置

[root@desktop services]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.138   ##eth0后端的连接,是漏油器的eth0ip
[root@desktop services]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 172.25.25.238:22   ###是虚拟机另一端口的ip

在这里插入图片描述
########用iptable改变端口后,怎么使端口加如到iptable中,iptable上有服务可使用的端口号,怎么吧IP table中服务没有的号加到服务中去

[root@desktop ~]# vim /etc/httpd/conf/httpd.conf                      ###进入httpd的配置文件中更改端口号为8888,Listen 80 那一行。使用“/Listen”搜索
[root@desktop ~]# systemctl start httpd                                    ###重启httpd会发现报错,解决办法
Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.
[root@desktop ~]# semanage port -a -t http_port_t -p tcp 8888             ###发送安全上下文
[root@desktop ~]# semanage port -l | grep http                                     ###通过过滤手段可看出端口上添加了8888端口
http_cache_port_t              tcp      8080, 8118, 8123, 10001-10010
http_cache_port_t              udp      3130
http_port_t                    tcp      8888, 80, 81, 443, 488, 8008, 8009, 8443, 9000
pegasus_http_port_t            tcp      5988
pegasus_https_port_t           tcp      5989
####在这时我哦们重启httpd时是不会报错的
weixin_45466471
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用iptableFirewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptableFirewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Apache重启失败,提示:Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn...
weixin_30517001的博客
02-25 2658
  今天更新完程序,重启apache的时候,第一遍正常重启,1分钟之后第二次重启的时候报错了。   执行service httpd restart之后:   报错:     Job for httpd.service failed. See 'systemctl status httpd.service' and 'journalctl -xn' for details.   此时查...
防火墙
践踏记忆的博客
10-07 736
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
iptables与firewalld
最新发布
weixin_46362974的博客
06-19 759
iptables与firewalld防火墙策略设置 SNAT与DNAT策略的配置
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1550
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
See system logs and 'systemctl status xxx.service' for details.错误的解决方法
whatday的专栏
02-03 2万+
启动apache服务出现Job failed. See system logs and 'systemctl status' for details. 2012-02-23 22:00 [root@love www]# systemctl start httpd.service Job failed. See system logs and 'systemctl status' for deta...
详述LinuxFirewalld高级配置的使用
09-14
主要介绍了详述LinuxFirewalld高级配置的使用,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
centos7 无法启动网络(service network restart)错误解决办法
热门推荐
zkja595470467的博客
11-02 20万+
centos7 无法启动网络(service network restart)错误解决办法: (以下方法均为网上COPY,同时感谢原博主分享) systemctl status network.service 出现以下错误 “rtnetlink answers file exists” 的解决方法 第一种: 和 NetworkManager 服务有冲突,这个好解决,直接关闭
squid无法启动,解决一例。
Robert's Log
03-31 6259
上午接到反应不能上网,连到squid服务器检查。一,检查拨号是否正常#adsl-status显示拨号断掉在adsl-start之后仍不能的情况,重启服务器后,adsl能正常联线,但客户端还是无法上网#ping www.163.com 是通的,主机能上二,检查squid状态#ps -aux|grep squid#netsat -an | grep tcp竟然没有squid进程,可见squid没有启动
Job for nginx.service failed because the control process exited with error code. See "systemctl stat
leedaning的专栏
11-16 7万+
今天刚装的最新版的fedora 23系统,要重新配置下LNMP环境,遂网上找了下教程,按照步骤一步一步操作到nginx启动的时候出现了如下问题:[root@localhost ~]# systemctl start nginx.service Job for nginx.service failed because the control process exited with error code
iptables与firewalld防火墙
m0_62948770的博客
08-14 5187
认识安全的重要性,学习iptables和firewalld
Linux】重启网卡错误:Job for network.service failed. See 'systemctl ……
Cathy
02-26 2万+
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 今天小编要用搁置了好久的虚拟机,发现忽然连不上网了,检查了网络配置没有问题,(service network restart)重启网卡时出现错误:Job for network.service failed. See ‘systemctl status network.service’ and ‘journalctl -xn’ for ...
CentOS7的systemctl命令详解
睿思达DBA
08-07 1890
CentOS7的systemctl命令详解 systemctl 命令是系统服务管理器指令,将 service 和 chkconfig 两个命令组合到一起。systemctl 命令常用的功能如下: 一、启动、重启、停止、重载服务以及检查服务状态 以 firewalld 为例: 1、启动 firewalld 服务 [root@localhost ~]# systemctl start firewalld.service 2、停止 firewalld 服务 [root@localhost ~]# system
实操:Dockerfile镜像实战——sshd、systemctl、nginx、tomcat、mysql演示
Lfwthotpt的博客
04-21 561
文章目录一:创建包含sshd的镜像1.1 以centos:7现有镜像为例,镜像内没有sshd和systemctl功能,需要创建新镜像1.2 查看镜像1.3 启动容器1.4 使用ssh登录1.5 查看sshd状态,发现无法使用systemctl ,这里再以当前sshd镜像部署systemctl二:基于ssh添加systemctl功能2.1 退出,继续创建2.2 查看宿主系统挂载点,这个使核心目录,在...
centos7.2启动polkit服务启动失败
minxihou的博客
10-16 5万+
错误描述在centos7.2系统重启服务的时候报错: Error getting authority:Eroor initializing authority:Error calling StartServiceByName for org.freedesktop.PolicyKit1:Timeout was readhed(g-io-error-quark, 24)Failed to rest
如何在Linux系统关闭firewalld防火墙
05-11
可以通过以下命令关闭firewalld防火墙: 1. 暂时关闭: ``` systemctl stop firewalld ``` 2. 永久关闭: ``` systemctl disable firewalld ``` 注意:在关闭防火墙后,可能会降低系统的安全性,建议在必要时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值