Linux中的火墙策略优化(iptables+firewalld)

最新推荐文章于 2024-04-23 18:35:19 发布
最新推荐文章于 2024-04-23 18:35:19 发布
阅读量496 收藏 1
点赞数 1
分类专栏: Linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46833747/article/details/106986985
版权

实验环境设置

单网卡主机(内网)    172.25.254.10

 

双网卡主机(外网)    172.25.254.20

 

火墙切换方式

在rhel8中默认的火墙是firewalld

 

firewalld -----> iptables

dnf install iptables-services -y

systemctl stop firewalld

systemctl disable firewalld

systemctl mask firewalld

systemctl unmask iptables        第一次安装时不需使用此命令。若之前使用mask命令锁定过iptables,需用此命令解锁。

systemctl enable --now iptables


 

iptables ------> firewalld

dnf install firewalld -y      安装firewalld(rhel8中默认已安装)

systemctl stop iptables.service

systemctl disable iptables

systemctl mask iptables

systemctl unmask firewalld

systemctl enable --now firewalld

 

iptables的使用

1.火墙策略的永久保存

iptables-save > /etc/sysconfig/iptables
service iptables save

 

2.iptables中的常用命令

iptables

              -t                                     指定表名称(默认表格为filter)

              

              -n                                    不做解析

              -L                                    查看

              

              -A                                    添加策略

              -p                                    协议

              --dport                            目的地端口

              -s                                     来源

              

               -j                                     动作

                          ACCEPT              允许

                          DROP                  丢弃

                          REJECT              拒绝

                          SNAT                   源地址转换

                          DNAT                   目的地地址转换

               -N                                    新建链

               

               -E                                    更改链名称(奖上一步中的HHH更名为GGG)

               

               -X                                    删除链(将上一步中的GGG删除)

               

               -D                                    删除规则(将第一行的规则删除)

               

               -I                                      插入规则

               

               

               -R                                    更改规则

               

               -P                                    更改默认规则(默认规则只能为ACCEPT或DROP,修改为其它规则会失败)

               

               

               

3.iptables策略优化

 

三种数据状态:

ESTABLISHED     正在建立连接的

RELATED              之前连接过的

NEW                      从未连接的

 

火墙优化部署:

允许ESTABLISHED与RELATED状态的数据连接:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 

允许回环接口中NEW状态的数据连接: 

iptables -A INPUT -i lo -m state --state NEW -j ACCEPT

允许状态为NEW的数据访问80端口: 

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

允许172.25.254.10中状态为NEW的数据访问22端口: 

iptables -A INPUT -s 172.25.254.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT

其余访问一概拒绝:

iptables -A INPUT -j REJECT

 

 

4.SNAT的使用

10中:
vim ifcfg-westos       添加192.168.0.20为网关

route -n                      查看网关

 

20中:

iptables -t nat -F                  清除nat中的设置

iptables -t nat -A POSTROUTING -o ens192 -j SNAT --to-source 192.168.0.20     将通过20的地址伪装成20

iptables -t nat -nL

 

10中:

ping 192.168.0.1         

ssh root@192.168.0.30            此时可ping通192.168.0.1,并可通过192.168.0.20访问192.168.0.30

 

30中:

w   -i      查看连接这台主机的用户

 

5.DNAT的使用

在20中:

iptables -t nat -A PREROUTING -i ens224 -j DNAT --to-dest 172.25.254.10       将通过20的地址访问目的地设置为10

 

在30中:

ssh root@172.25.254.10

 

在10中:

w   -i      查看连接这台主机的用户

 

Firewalld的使用

1.关于firewalld的域

trusted                  接受所有的网络连接

home                     用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client

work                      工作网络  ssh  ipp-client  dhcp-client

public                    公共网络 ssh dhcp-client

dmz                        军用级网络  ssh

block                      拒绝所有

drop                       丢弃 所有数据全部丢弃无任何回复

internal                  内部网络 ssh mdns ipp-client  samba-client dhcp-client

external                 ipv4网络地址伪装转发 sshd

firewall-cmd --set-default-zone=trusted    将域修改为trusted

 

2.firewalld的设定原理和数据存储

/etc/firewalld/       火墙配置目录

cd zones/

vim public.xml     火墙中允许的服务都在此文件中,可通过编辑此文件添加服务

 

firewall-cmd --permanent --add-service=http

vim trusted.xml       此文件为添加新服务后自动生成的文件

 

/lib/firewalld/         火墙模块目录

 

2.firewalld的管理命令

firewall-cmd --state                                    查看火墙状态

firewall-cmd --get-active-zones                查看当前火墙中生效的域

firewall-cmd --get-default-zone-zones     查看默认域

 

firewall-cmd --list-all                                 查看默认域中的火墙策略

 

firewall-cmd --list-all --zone=work            查看指定域中的火墙策略

 

firewall-cmd --set-default-zone=trusted    将域修改为trusted

 

firewall-cmd --get-services                  查看所有可以设定的服务

 

firewall-cmd --permanent --remove-service=cockpit         永久移除服务

 

firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block      指定数据来源访问指定域(此处将来源放入block域中,使得172网段无法访问本机)

 

firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block       删除指定域中的数据来源

 

firewall-cmd --remove-interface=ens160 --zone=public      删除指定域的网络接口

 

firewall-cmd --add-interface=ens160 --zone=block           添加指定域的网络接口

 

firewall-cmd --change-interface=ens160 --zone=public     更改网络接口到指定域

 

3.firewalld的高级规则

firewall-cmd --direct --get-all-rules         查看高级规则

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.10 -j REJECT   添加高级规则,使得10无法访问本机

firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.10 -j REJECT    删除此高级规则

 

4.firewalld中的NAT

SNAT

firewall-cmd --permanent --add-masquerade 

firewall-cmd --reload 

 

DNAT

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.10

firewall-cmd --reload 



 

 

 

eternals fiere
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxiptables配置文件及命令详解详解
weixin_30690833的博客
09-14 1981
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
Linuxfirewalld火墙策略优化
Ying_smile的博客
06-07 2102
firewalld 域 开启 firewalld systemctl stop iptables.service systemctl disable iptables.service systemctl start firewalld systemctl enable firewalld 实验: 下载安装防火墙: [root@client ~]# firewall-conf...
服务运维篇-通过防火墙抵御渗透扫描
qq_30294911的博客
04-23 382
这段时间为应对渗透攻击(GFYL),各服务都要做好端口控制,为此分享和记录工作的一个方法,希望对各位有这问题的人有所帮助。
CentOS 防火墙配置
zhaoyang10的专栏
12-21 475
linux系统部署完应用无法访问主要原因是 linux开启了防火墙,有两种解决方案,一种是关闭防火墙,另外一种是开放所要访问的端口 vi /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT -A INPUT -m state --state NEW -m tcp...
iptables 经验总结,及实战实例
Knowledge Archiving and Sharing
05-16 4271
写防火墙一般写进来的防护INPUT,出去的OUTPUT不写 防火墙先放行,再设置默认策略 iptables -P INPUT ACCEPT 先放行22,再放行其他的端口 再设置默认策略为drop,这样非范围内的就不能上来了 为安全起见,操作的时候,先看下input的默认策略,如果是DROP,执行-F, 就不可以再上去了。最好建一个crontab, 15分钟后自动执行,完事之后再停掉,写 iptables -P INPUT ACCEPT iptables -F 对...
iptables之state状态
Error_404notFound的博客
05-31 1739
定义包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里, 只有4种状态:NEW,ESTABLISHED,RELATED 和INVALID。它们主要是和状态匹配一起使用。以便匹配数据包。这可以使我们的防火墙非常强壮和有效参数-m state --state <NEW,ESTATBLISHED,INVALID,RELATED> ##指定匹配哪种状态– INVALID: 无效
iptables+firewalld火墙策略优化
tst8023ryq的博客
12-14 275
iptables+firewalld火墙策略优化1.火墙介绍2.火墙管理工具切换3. iptables 的使用4.火墙默认策略firewalld1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld的高级规则6.firewalld的NAT 1.火墙介绍 2.火墙管理工具切换 3. iptables 的使用 4.火墙默认策略 firewalld 1 firewalld的开启 2.关于firewalld
Linux高端企业群集架构师笔记
最新发布
06-21
四、高级安全:在Linux系统,安全策略包括权限管理、防火墙配置(iptablesfirewalld)、SELinux(安全增强型Linux)等。SELinux提供强制访问控制,进一步增强了系统的安全性。此外,安全审计和日志分析也是确保...
suselinux文教程
12-29
1. 防火墙设置:启用并配置firewalldiptables火墙,保护系统免受攻击。 2. SELinux:理解强制访问控制,配置SELinux策略以增强系统安全。 3. 审计与日志:监控系统活动,分析日志文件,及时发现异常行为。 十、...
Linux下二进制方式安装mysql5.7版本和系统优化的步骤
09-08
- **禁用或调整iptables/firewalld**:关闭防火墙服务,以避免影响MySQL通信。 - **I/O调度器**:推荐将I/O调度器设置为`deadline`模式,这有助于提高数据库性能。通过`cat /sys/block/sda/queue/scheduler`查看...
Centos7 Firewall 防火墙配置规则
自由的大月
03-13 1万+
简单的配置,参考学习: –permanent 当设定永久状态时 在命令开头或者结尾处加入此参数,否则重载或重启防火墙后设置失效! 开放端口: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent 常见端口 http:...
iptables&firewalld火墙
python_bobo的博客
08-19 1592
火墙的三张表五条链 三张表: fileter ##不经过内核的链组成 nat ##经过内核的链组成 mangle ##附加表 五条链: INPUT ##输入 OUTPUT ##输出 FORWARD ##通过 PREROUTING ##目的地地址伪装 POSTROUTING ##源地址伪装首先介绍iptables 开始前需要下载并打开iptables
firewalld
xiaojun_Fairy的博客
05-31 1273
iptables1.iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表的规则变得容易。
centos下配置防火墙端口失败
热门推荐
乌托邦
10-17 1万+
问题:将规则添加到防火墙,总是端口无法开启 (1)修改文件 首先vim /etc/sysconfig/iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 5001:5009 -j ACCEPT(允许5001到5009的端口通过防火墙) 接着执行/etc/init.d/iptables restart (重启
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT iptables: Applying
woshidaniu的专栏
04-25 1万+
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT  iptables: Applying firewall rules: iptables-restore: line 13 failed 就是配置完iptables之后不要忙着重启要先保存的服务,然后再重启 servi
Linux系统的故障修复
zxn_0823的博客
05-19 621
bios初始化 对硬件检测 初始化硬件时钟 bios打开方式: 磁盘引导 mbr=主引导记录=0磁道1扇区446(其只存放了c盘的位置) 作用: 记录grub2引导文件的位置,找到系统的启动分区 当mbr数据丢失系统会因为找不到启动分区而停止启动 问题模拟方式 fdisk -l 查看系统磁盘所在位置 系统磁盘/dev/sda dd if=/dev/zero of=/dev/sda bs=446 count=1...
Linux火墙深度解析:iptables, firewalld与nftables详解
本电子书深入探讨了Linux系统防火墙的相关知识,主要关注iptablesfirewalld和nftables这三大核心防火墙工具。章节分为几个部分: 1. 安全技术和防火墙基础:介绍了安全技术的重要性,包括防火墙的分类,以及网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值