Linux(21)——防火墙

最新推荐文章于 2023-03-28 21:49:28 发布
最新推荐文章于 2023-03-28 21:49:28 发布
阅读量264 收藏
点赞数
分类专栏: Linux 文章标签: linux 运维 redhat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45699877/article/details/117390862
版权
本文对比了Linux系统中iptables与firewalld两种防火墙的安装、切换方法,详细介绍了iptables的配置步骤,包括规则设置和NAT操作,同时涵盖了firewalld的基本配置,如域管理、策略调整和高级规则添加。
摘要由CSDN通过智能技术生成

Linux(21)——防火墙


1. 防火墙安装及切换

  • firewalld
      rhel8中默认使用的是firewalld
    安装:
[root@rhclient Desktop]# dnf install iptables-services -y

从iptables切换至firewalld:

[root@rhclient Desktop]# systemctl stop iptables
[root@rhclient Desktop]# systemctl disable iptables
[root@rhclient Desktop]# systemctl mask iptables
[root@rhclient Desktop]# systemctl enable --now firewalld
  • iptables
    安装:
[root@rhclient Desktop]# dnf install iptables-services -y

从firewalld切换至firewalldiptables:

[root@rhclient Desktop]# systemctl stop firewalld
[root@rhclient Desktop]# systemctl disable firewalld 
[root@rhclient Desktop]# systemctl mask firewalld 
[root@rhclient Desktop]# systemctl enable --now iptables

  • chain

     input				#输入
 output				#输出
 forward			#内核转发
 postrouting		#路由之后
 prerouting			#路由之前

  • tables

     filter		#使用内核转发(input output forward)
 nat		#不经过内核的数据(postrouting,prerouting,input,output) 
 mangle		#当filter和nat表不够用时使用

2. iptables

配置文件储存在 /etc/sysconfig/iptables

  • 保存当前策略
[root@rhclient Desktop]# iptales-save > /etc/sysconfig/iptables
[root@rhclient Desktop]# service iptables save
  • 恢复默认策略
[root@rhclient Desktop]# iptables -F
  • 设置策略
 [root@rhclient Desktop]#  iptables -[options] <-t table> [chain] [condition] [measure]

-t			#指定表名称
-n			#不做解析
-L			#查看
-A			#添加策略	
-N			#新建链
-E			#更改链名称
-X			#删除链
-D			#删除规则
-F			#刷新所有设定
-I			#插入规则
-R			#更改规则
-P			#更改默认规则
-m			#修改

-p			#协议
--dport		#目的地端口
-s			#来源

	RELATED					#建立过连接的(数据包)
	ESTABLISHED				#正在连接的(数据包)
	NEW						#新的(数据包)

-j			#动作
	ACCEPT			#允许
	DROP			#丢弃
	REJECT			#拒绝
SNAT		#源地址转换
DNAT		#目的地地址转换

使用范例:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# filter表INPUT中添加规则: 接受状态为RELATED,ESTABLISHED的数据包

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
# filter表INPUT中添加规则: 接受状态为NEW数据包

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# filter表INPUT中添加规则: 接受状态为NEW并且tcp协议来自80端口的数据包

iptables -A INPUT -m state --state NEW ! -s 192.168.0.10 -p tcp --dport 22 -j ACCEPT	
# filter表INPUT中添加规则: 接受状态为NEW tcp协议端口为22的来源不是的192.168.0.10 的数据包

iptables -A INPUT -m state --state NEW -j REJECT
# filter表INPUT中添加规则: 拒绝状态为new的数据包

iptable -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.0.20
# 添加snat规则,从ens160发出的数据来源更改为 192.168.0.20

iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 192.168.0.20
# 添加dnat规则,ens160 收到的数据目标地址改为192.168.0.20

启用iptables,查看指定表内容,添加删除NAT规则:
在这里插入图片描述
在这里插入图片描述
插入SNAT规则在这里插入图片描述
在这里插入图片描述
开启内核路由功能:

在这里插入图片描述
添加目的地地址转换:在这里插入图片描述
删除规则:
在这里插入图片描述

3. firewalld

  firewalld 配置目录 /etc/firewalld ;模块目录 /lib/firewalld
  firewalld 默认存在数个域,工作在每个域时,防火墙开放接口不同。

说明
trusted开放所有服务
home开放ssh mdns ipp-client samba-client dhcp-client
work开放ssh ipp-client dhcp-client
public开放 ssh dhcp-client
dmz军级网络 ssh
block拒绝所有
drop丢弃 所有数据全部丢弃无任何回复
internal内部网络,开放 ssh mdns ipp-client samba-client dhcp-client
externalipv4网络地址伪装转发 sshd
  • 常规设定
[root@rhclient Desktop]# firewall-cmd [options] 

	firewall-cmd --state			#查看状态
	firewall-cmd --get-active-zones	#查看生效域
	firewall-cmd --get-default-zone	#查看默认域
	
	firewall-cmd --list-all					#查看默认域中的火墙策略
	firewall-cmd --list-all --zone=work		#查看指定域的火墙策略
	
	firewall-cmd --set-default-zone=trusted		#设定默认域
	firewall-cmd --get-services				#查看所有可以设定的服务
	firewall-cmd --permanent --remove-service=dhcp	#移除服务
	
	firewall-cmd --reload 			#刷新防火墙策略
	
	firewall-cmd --permanent --add-source=192.168.158.0/24 --zone=trusted
	#		指定数据来源访问域
	firewall-cmd --reload 
	firewall-cmd --permanent --remove-source=192.168.158.0/24 --zone=trusted
	#		删指定的域中的数据来源
	
	firewall-cmd --permanent --add-interface=ens224 --zone=trusted
	#		添加网络接口至指定域
	firewall-cmd --permanent --remove-interface=ens224 --zone=trusted
	#		删除指定域的网络接口
	firewall-cmd --permanent --change-interface=ens224 --zone=trusted
	#		更改网络接口指定的域
  • 高级设定
[root@rhclient Desktop]# firewall-cmd --direct --get-all-rules	#查看高级规则
[root@rhclient Desktop]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 192.168.158.128 -p tcp --dport 22 -j REJECT
#		添加规则:非来自192.168.158.128 tcp 端口为22的数据包拒绝接受
  • NAT
    SNAT只需开启masquerade功能,DNAT需要进行具体配置
[root@rhclient Desktop]# firewall-cmd --permanent --add-masquerade

[root@rhclient Desktop]# firewall-cmd --permanent --add-forward port=port=22:proto=tcp:toaddr=192.168.158.128

开启firewalld
在这里插入图片描述
查看生效域、默认域,修改默认域:
在这里插入图片描述
添加指定网卡、网段至指定域:
在这里插入图片描述
在这里插入图片描述
删除指定域中的指定资源:
在这里插入图片描述
开启路由、设定DNAT:在这里插入图片描述
在这里插入图片描述

不问青黄
关注
专栏目录
防火墙开放21端口linux,linux防火墙开放80,3306,21,443端口
weixin_30649293的博客
05-01 1950
大家都知道服务器里的一些端口和防火墙之类的,在使用过程中能够起到很重要的作用,这里整理了一些关于配置防火墙,开启80端口、3306端口vi /etc/sysconfig/iptables-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙)-A INPUT -m state –state NEW -m ...
Linux防火墙——firewalld防火墙
橘子的博客
05-13 190
每日分享: 必须从过去的错误学习教训而非依赖过去的成功。 文章目录一、firewalld介绍二、firewalld与iptables的区别三、firewalld区域1、概念2、firewalld防火墙9个区域3、firewalld网络区域3.1、区域介绍3.2、firewalld数据处理流程四、firewalld防火墙的配置方法1、查看现有firewall设置2、常用的firewall-cmd 命令选项五、区域管理1、显示当前系统中的默认区域2、显示默认区域的所有规则3、显示当前正在使用的区域及其对应的网
LINUX下的21个特殊符号
weixin_34258838的博客
04-27 79
LINUX下的21个特殊符号 1 > 重定向输出符号 用法:命令 >文件名 特性:覆盖(当输入文件和输出文件是同一文件,文 件内容被清空;不适合连续重定向) eg: [root@Centos home]# ls -l /home/ > 1.t...
Linux学习(21):共享内存
最新发布
weixin_43870645的博客
03-28 251
共享内存通信
CentOS防火墙配置 80和21
系统运维
07-07 172
#/sbin/iptables -I INPUT -p tcp--dport 80 -j ACCEPT #/sbin/iptables -I INPUT -p tcp --dport 22 -j ACCEPT #/etc/rc.d/init.d/iptables save #/etc/init.d/iptables restart
linux默认防火墙软件,linux防火墙的管理工具firewall-cmd
weixin_36083698的博客
05-04 528
关于firewalld作为内核的管理软件firewall-cmd,通过使用这个软件来间接管理linux内核的开启与关闭等等,而firewall-cmd软件也本身支持firewall-cmd(命令)firewall-config(图形管理工具)两种管理模式来管理kerne lnetfilte。配置文件:/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件里。Fir...
linux实验——企业防火墙的架设与维护.doc
01-09
● 能熟练完成利用Iptables架设企业NAT服务器。 ● 能熟练完成企业Squid代理服务器的架设与维护。
Linux防火墙——了解防火墙以及iptables使用规则
DY_man的博客
06-13 1161
关于防火墙的知识整理,以Linux防火墙工具为主,不定时丰富内容,如有不足,欢迎留言指正
Linux防火墙——iptabels防火墙(一)
橘子的博客
05-02 1335
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np impo.
Linux——防火墙(二)
ML908的博客
12-09 708
文章目录Firewalld防火墙的配置一、Firewalld防火墙的配置方法运行时配置永久配置二、Firewall-config图形工具配置运行时配置/永久配置重新加载防火墙关联网卡到指定区域修改默认区域连接状态“区域”选项卡“服务”选项卡案例三、Firewall-cmd字符界面配置1、Firewalld防火墙维护命令2、Firewalld防火墙重载配置的命令重新加载Firewalld的配置3、查...
RedHat Linux 8 中火墙介绍 iptables服务使用
Howei__的博客
03-21 3305
火墙介绍 火墙策略管理工具切换 iptabkes 服务命令 iptables常用参数和操作
linux 防火墙iptables详解
隔壁老猪
04-16 1712
一、iptables的表和链1.iptables/netfilter netfilter: hooks function :钩子函数,真正执行工作的 iptables:定义规则的,用户空间的命令行接口 钩子函数:内核的功能 netfilter:内核级别已经支持v6 iptables:主要...
配置iptables防火墙
草莓甜甜圈的博客
10-08 405
linuxIPTABLES配置详解 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 24000 -j ACCEPT -A RH-Firewall-1-INPUT -s 121.10.120.24 -p tcp -m tcp --dport 18612 -j ACCEPT 如果你的IPTABLES基...
linux防火墙的设置
zl386119974的专栏
01-24 600
1. linux防火墙的设置(确保红色字体的存在,命令 vi /ext/sysconfig/iptables 设置成功后,重启防火墙 service iptables restart) # Firewall configuration written by system-config-firewall # Manual customization of this file is not 
LINUX防火墙设置
jxzhfei的博客
08-01 300
vi /etc/sysconfig/iptables增加你需要的端口# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPU
RHEL7中防火墙firewalld基础使用配置
热门推荐
Mainux的专栏
03-05 1万+
RHEL7中防火墙firewalld基础使用配置
防火墙iptablesfirewalld的前世今生
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
05-30 408
防火墙iptablesfirewalld安装启动关闭
Red hat Linux内置防火墙软件iptables---子链RH-Firewall-1-INPUT
anonymalias的专栏
01-07 9384
iptablesLinux内置的封装包过滤软件。它定义了进出Linux封包的过滤规则。Iptables由多个表格组成,每个表格由若干链组成,每个链由若干规则组成。 其中最常用也是最重要的是管理本机进出封包的filter(过滤器)表格,filter默认包含以下3个链:  INPUT链:定义了进入Linux主机的封包的过滤规则; OUTPUT链:定义了送出Linux主机的封包的过滤规则;FO
Linux打开21端口
guowenkecom的博客
11-22 6695
目录项目名称:实验环境:实验要求实验实施 项目名称: Linux打开SSH 22端口 实验环境: Linux机器一台 账号密码已知 实验要求 通过配置文件将其IP修改为10.200.1.16 实验实施 打开机器,输入账号密码(我的是root/zzzadmin) ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值