3.7_Linux中的火墙策略优化

于 2024-05-02 00:55:12 发布
阅读量786 收藏 6
点赞数 24
文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46927961/article/details/138378658
版权

 实验环境:

 

 ### 1.火墙介绍 ### 

1.netfilter

      ↑
2.iptables

      ↑
3.iptables | firewalld 

### 2.火墙管理工具切换 ### 

在rhel8中默认使用的是firewalld
firewalld----->iptables
dnf install iptables-services -y
systemctl stop firewalld
systemctl disable firewalld 
systemctl mask firewalld 
systemctl enable --now iptables

 ​​​​​​​

iptales -------> fiewalld 
dnf install firewalld -y
systemctl stop iptables
systemctl disable iptables
systemctl mask iptables
systemctl enable --now firewalld

 ###3. iptables 的使用 ###

(1)火墙策略的永久保存 

/etc/sysconfig/iptables ##iptables 策略记录文件
永久保存策略
iptales-save > /etc/sysconfig/iptables
service iptables save

 ​​​​​​​

 (2)火墙默认策略 

默认策略中的5条链
input ##输入
output ##输出
forward ##转发
postrouting ##路由之后
prerouting ##路由之前


默认的3张表
filter ##经过本机内核的数据(input output forward)
nat ##不经过内核的数据(postrouting,prerouting,input,output)
mangle ##当filter和nat表不够用时使用(input output forward postrouting,prerouting,)

(3)iptables命令 

iptables
-t ##指定表名称
-n ##不做解析
-L ##查看
-A ##添加策略
-p ##协议
--dport ##目的地端口
-s ##来源
-j ##动作
ACCEPT ##允许
DROP ##丢弃
REJECT ##拒绝
SNAT ##源地址转换
DNAT ##目的地地址转换
-N ##新建链
-E ##更改链名称
-X ##删除链
-D ##删除规则
-I ##插入规则
-R ##更改规则
-P ##更改默认规则

 ​​​​​​​

 

 

(4)数据包状态

RELATED         ##建立过连接的
ESTABLISHED ##正在连接的
NEW                 ##新的

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW ! -s 192.168.0.10 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -j REJECT
service iptables save

(5)nat表中的dnat snat 

snat
iptable -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.0.20
dnat
iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 172.25.254.30

 

 ​​​​​​​

 

### 4.firewalld ### 

(1)firewalld的开启 

systemctl stop iptables 
systemctl disable iptables
systemctl mask iptables 
systemctl unmask firewalld
systemctl enable --now firewalld

 (2)关于firewalld的域

trusted     ##接受所有的网络连接
home       ##用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
work        ##工作网络 ssh ipp-client dhcp-client
public      ##公共网络 ssh dhcp-client
dmz        ##军级网络 ssh
block      ##拒绝所有
drop       ##丢弃 所有数据全部丢弃无任何回复
internal  ##内部网络 ssh mdns ipp-client samba-client dhcp-client
external ##ipv4网络地址伪装转发 sshd

(3)关于firewalld的设定原理及数据存储

/etc/firewalld ##火墙配置目录
/lib/firewalld ##火墙模块目录 

 (4)firewalld的管理命令

firewall-cmd --state ##查看火墙状态
firewall-cmd --get-active-zones ##查看当前火墙中生效的域
firewall-cmd --get-default-zone ##查看默认域
firewall-cmd --list-all ##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work ##查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted ##设定默认域
firewall-cmd --get-services ##查看所有可以设定的服务
firewall-cmd --permanent --remove-service=cockpit ##移除服务
firewall-cmd --reload 
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域
firewall-cmd --reload 
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源
firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定域

 ​​​​​​​

 

 ​​​​​​​

 ​​​​​​

 ​​​​​​​

 ​​​​​​​

 ​​​​​​

(5)firewalld的高级规则 

firewall-cmd --direct --get-all-rules ##查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.250 -p tcp --dport 22 -j REJECT

 ​​​​​​​

 

 (6)firewalld中的NAT 

SNAT(源地址转换)
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

 ​​​​​​

 ​​​​​​​

 

DNAT(目的地地址转换)
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.30
firewall-cmd --reload

 ​​​​​​​

 ​​​​​​​

UDDD-
关注
  • 24
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
8.linux火墙策略优化
weixin_48353171的博客
11-27 82
1.火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 2.火墙管理工具切换 在rhel8默认使用的是firewalld firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --now iptables i
Linux火墙策略优化
但行好事
12-13 117
文章目录1、火墙介绍2、火墙管理工具切换3、火墙默认策略4、firewalld 1、火墙介绍 netfilter iptables iptables|firewalld 2、火墙管理工具切换 在rhel8默认使用的是firewalld firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firew
iptables 参数详解
大鹏
08-01 3050
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport8080 -j ACCEPT -A 追加,在当前链的最后新增一个规则 -p tcp :TCP协议的扩展。一般有三种扩展     --dportXX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如     --dport21  或者 --d
Linux 操作系统防火墙之iptables配置(centos系列)02
ZhouGuo520的博客
12-15 1057
常规配置方案1(默认只允许ssh,删除默认增加明细) 方法1 iptables -L -nv --line-numbers iptables -D INPUT 4 #删除默认SSH那条 iptables -I INPUT 4 -p tcp -s 192.168.11.1 --dport 22 -j ACCEPT #zgpc iptables -I INPUT 4 xxxxx 增加其他的 service iptables save 方法2 cat > /etc/sysconfig/ip..
Linux iptables 防火墙常用规则
阳光岛主
05-06 6473
iptables 安装yum install iptables iptables 规则清除iptables -F iptables -X iptables -Z 开放指定的端口允许本地回环接口(即运行本机访问本机)iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT允许所有本机向外的访问iptables -A OUTPUT -j ACCEPT允...
test_sqlite3.7z
11-29
SQLite3是一个轻量级、...总结,这个“test_sqlite3.7z”压缩包为开发者提供了一种评估SQLite3在实际操作性能的工具。通过测试,我们可以了解SQLite3在不同工作场景下的优缺点,从而更好地选择和优化数据库解决方案。
nexus-3.7双系统版本double.zip
03-10
这个"nexus-3.7双系统版本double.zip"文件可能包含的是Nexus 3.7版本在Linux和Windows双操作系统下的安装和配置资源。 在Linux环境,Nexus通常作为服务运行,以便持续提供对Maven、Gradle和其他构建工具的访问。...
rabbitmq 延迟插件3.7.x
04-07
RabbitMQ是一个开源的消息队列系统,广泛应用于分布式系统,用于解耦应用程序、处理异步任务和提高系统的可扩展性。...在实际应用,我们需要根据业务需求进行精细设计,并持续监控和优化,以确保系统的稳定和高效。
swt-3.7的资源包
05-11
这意味着SWT 3.7不仅支持Windows和Linux等其他平台,还特别优化了对Apple Mac OS X系统的支持,使得在Mac上运行的SWT应用能够拥有与原生Mac应用类似的外观和交互体验。 在SWT 3.7,开发者可以利用以下主要功能和...
fio-3.7 二进制包
最新发布
03-22
fio-3.7版本的更新可能包括性能优化、新功能添加、bug修复等方面。例如,可能改进了对某些I/O调度器的支持,提升了测试精度,或者增加了新的测试选项。具体改动需要查看官方的发行说明或变更日志来获取详细信息。 ...
iptables之state状态
Error_404notFound的博客
05-31 1724
定义包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里, 只有4种状态:NEW,ESTABLISHED,RELATED 和INVALID。它们主要是和状态匹配一起使用。以便匹配数据包。这可以使我们的防火墙非常强壮和有效参数-m state --state <NEW,ESTATBLISHED,INVALID,RELATED> ##指定匹配哪种状态– INVALID: 无效
linuxiptables配置文件及命令详解详解
weixin_30690833的博客
09-14 1971
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
linux:systemctl服务控制以及安全开关(firewalld、SELinux)
idhfufh的博客
04-16 1230
--systemctl、系统控制器,用来管理Linux系统的开机/关机服务资源运行状态 --直接执行systemctl列出可以管理的系统资源,包括各种系统服务 --控制服务当前运行状态:systemct start(启动服务)|stop(停止服务)|restart(重启服务器,先关闭后启动)|status(查看服务的状态) 服务名 ... ... (操作多个服务) --控制服务开机自启状态:systemctl enable(开机自启)|disable(开机不自启) [--now](可选的,立即启动)
使用systemctl enable --now xxx方式 enable并启动xxx服务
msdnchina的专栏@JiNan,ShanDong
06-04 7079
[root@dbserver ~]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)...
firewalld的路由转发功能(snat和dnat)
Coastline98的博客
05-02 2556
因为自己在配置时出现一些莫名其妙的问题,如ping不通,理由转发不成功等; 环境准备:3台主机,提前下载好httpd服务 关闭防火墙systemctl stop firewalld setenforce 0 systemctl status firewall 确认为dead getenforce 查看确认为disabled 1.主机1:提前下载好httpd,配置网卡为仅主机模式 认为该主机是内网主机 在实际生产工作大部分看到的ip地址一般只到网段,这部分即可确认地区城市..........
Linux系统火墙策略——firewalld
qq_45225437的博客
03-24 377
文章目录一、开启服务二、关于firewalld的域三、设定原理及数据存储四、管理命令五、高级规则六、NAT1. SNAT2. DNAT 一、开启服务 通常情况下,在系统默认firewalld的自动开启的 当系统开启iptables,从iptables切换到firewalld: 二、关于firewalld的域 域 含义 trusted 接收所有的网络连接 home 用于家庭...
iptables策略详解
qk的专栏
03-18 874
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
directx_repair_3.7_enhanced_xiazaiba.zip
05-09
,directx_repair_3.7_enhanced_xiazaiba.zip是对DirectX修复程序的优化升级版本,它可以更好地诊断和修复DirectX相关问题,提高系统性能和稳定性。 如果你遇到了DirectX相关的问题,建议你下载这个DirectX修复...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值