Linux防火墙

最新推荐文章于 2024-02-17 09:51:54 发布
最新推荐文章于 2024-02-17 09:51:54 发布
阅读量126 收藏
点赞数
文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48195231/article/details/130736631
版权

Linux防火墙

防火墙类型

  • 包过滤防火墙--iptables/firewalld

  • 应用代理防火墙

  • 状态检测防火墙

包过滤防火墙

firewalld/iptables防火墙属于用户态,定义防火墙的各种规则,内部结构指向netfilter网络过滤子系统(linux防火墙的内核态)来实现包过滤防火墙功能

Linux防火墙类型

  • iptables 工作在网络层,属于包过滤防火墙。基于接口设置规则

  • firewalld 工作在网络层,属于包过滤防火墙。支持网络区域所定义的网络连接以及接口安全等级

iptables与firewalld的区别

  • iptables主要是基于接口来设置规则;firewalld基于区域来设置不同的规则

  • iptables在/etc/sysconfig/iptables中存储配置;firewalld将配置存储在/etc/firewalld/和/usr/lib/firewalld/中的各种xml文件

  • iptables单独更改是清除所有旧的规则和从/etc/sysconfig/iptables里读取所有新的规则;firewalld不会创建新的规则,仅运行规则中的不同之处,在运行时间内,更改设置不丢失现行连接

  • iptables防火墙类型为静态防火墙;firewalld防火墙类型为动态防火墙

iptables--四表五链

四表--raw->mangle->nat->filter

  • filter 包过滤

    • INPUT

    • OUTPUT

    • FORWARD

  • nat 地址转换,包路由

    • OUTPUT

    • PREROUTING

    • POSTROUTING

  • raw 基于数据包的状态进行规则设定

    • OUTPUT

    • PREROUTING

  • mangle 修改数据包的内容,例如ttl

五链

  • INPUT 一般处理未被PREROUTIN修改过的包

  • OUTPUT

  • FORWARD 一般处理被PREROUTING链修改过的包

  • PREROUTING 对数据包的目的地址进行修改,DNAT;最先生效;被修改过后的包发往FORWARD链;未被修改的包发往INPUT

  • POSTROUTING

处理动作

  • ACCEPT 接收数据包,不会再匹配其他链条和规则

  • DROP 丢弃数据包,且没有任何返回

  • REJECT 拒绝数据包,但会返回拒绝信息

  • RETURN 当前规则不做处理,返回,让给下一条规则处理

  • LOG 当前规则只将请求信息记录到系统日志中,返回,给下一条规则处理

基础配置

iptables -t nat -nvL --line-numbers # n域名解析;v详细信息;L所有
iptables -t filter -A INPUT -s 192.168.44.0/24 -j REJECT
iptables -t filter -D INPUT -s 192.168.44.0/24 -j REJECT 
iptables -t filter -D FORWARD 1 #删除编号为1的FORWARD链规则
iptables -t filter -F INPUT #清空INPUT链
iptables -A INPUT -p tcp -j DROP 
iptables -A INPUT -p tcp --dport=22 -s 192.168.44.0/24 -j DROP 
iptables -A INPUT -p tcp -m multiport --dports=22,5900 -s 192.168.44.0/24 -j DROP 
iptables -A INPUT -p tcp -m multiport ! --dports=22,5900 -j DROP 
#22或80链接可能衍生出一些RELATED链接,可能出现端口不是22或80,若丢弃会导致通信失败
iptables -A INPUT -m state --state RELATED,ESTABLISTED -j ACCEPT 
​
## 规则持久化
iptables-save > /etc/iptables.conf # 保存
vim /etc/rc.local 
iptables-restore < /etc/iptables.conf # 恢复

firewalld

基于区域来设置不同的规则,根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。

每个区域都定义了自己打开或关闭的端口或服务列表。

9个区域

  • drop 丢弃;不存在相应

  • block 阻塞区域,已经建立的连接才会被通过,只允许系统初始化的网络连接

  • public 只接受被选中的连接;默认zone;默认只允许ssh与dhcp;默认拒绝ping包

  • external 只有指定连接才能被接收

  • DMZ 只允许部分服务被外部访问

  • work 只能定义内部网络

  • home 只允许被选中的流量

  • internal 只允许被选中的流量

  • trusted 允许所有传入流量

数据处理流程

对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。

对于进入系统的数据包,首先检查的就是源地址。

检查数据包的源地址规则

  • 若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则

  • 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则

  • 若网络接口也未关联到特定的区域( 即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则

配置模式

  • 运行时配置模式:实时生效,并持续的重新启动或加载firewalld配置;不中断连接;不能修改服务配置

  • 永久配置模式:不立即生效,除非重新启动或加载firewalld配置;中断现有连接,可以修改服务配置

    firewall-cmd --permanent RULE
firewall-cmd --reload

基础配置

# 服务查看与启动
[root@localhost ~]# systemctl status firewalld
[root@localhost ~]# systemctl start firewalld
# firewall-cmd命令
## 查看firewalld运行状态
[root@localhost ~]# firewall-cmd --state
running
## 查看firewalld默认区域
[root@localhost ~]# firewall-cmd --get-default-zone 
public
## 查看firewalld当前正在使用的区域与接口
[root@localhost ~]# firewall-cmd --get-active-zones
public
  interfaces: eth0
[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work  
​
## 指定接口的区域
## 查看指定接口绑定的区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=eth0
public
## 从指定区域删除绑定的接口
[root@localhost ~]# firewall-cmd --zone=internal --remove-interface=eth0
success
## 指定区域绑定接口
[root@localhost ~]# firewall-cmd --zone=public --add-interface=eth0
success
## 更改指定区域的绑定接口
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=eth0
success
​
## 指定源地址的区域
## 查看指定源地址的区域
[root@localhost ~]# firewall-cmd --get-zone-of-source=192.168.122.0/24
no zone
## 指定源地址的区域
[root@localhost ~]# firewall-cmd --zone=internal --add-source=192.168.122.0/24
success
[root@localhost ~]# firewall-cmd --get-zone-of-source=192.168.122.0/24
internal
## 更改源地址的区域
[root@localhost ~]# firewall-cmd --zone=dmz --change-source=192.168.122.0/24
success
## 删除源地址的区域
[root@localhost ~]# firewall-cmd --zone=dmz --remove-source=192.168.122.0/24
success
[root@localhost ~]# firewall-cmd --get-zone-of-source=192.168.122.0/24
no zone
​
## 区域的规则--服务、端口、ICMP类型
## 查看所有区域的规则
[root@localhost ~]# firewall-cmd --list-all-zones
## 查看指定区域的所有规则
[root@localhost ~]# firewall-cmd --zone=public --list-all 
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
## 查看指定区域允许放行的服务
[root@localhost ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client
## 设置指定区域允许放行的服务
[root@localhost ~]# firewall-cmd --zone=public --add-service=http
success
[root@localhost ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client http
[root@localhost ~]# firewall-cmd --zone=public --remove-service=http
success
[root@localhost ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client
​
## 设置指定区域放行的端口策略
[root@localhost ~]# firewall-cmd --zone=public --list-ports
​
[root@localhost ~]# firewall-cmd --zone=public --add-port=23/tcp
success
[root@localhost ~]# firewall-cmd --zone=public --remove-port=23/tcp
success
​
## 查看指定区域拒绝访问的icmp类型
[root@localhost ~]# firewall-cmd --get-icmptypes #查看icmptype类型
[root@localhost ~]# firewall-cmd --list-icmp-blocks
## 设置指定区域的拒绝访问的icmp类型
[root@localhost ~]# firewall-cmd --add-icmp-block=echo-request
success
[root@kvm01 ~]# ping 192.168.122.166
PING 192.168.122.166 (192.168.122.166) 56(84) bytes of data.
From 192.168.122.166 icmp_seq=1 Destination Host Prohibited
From 192.168.122.166 icmp_seq=2 Destination Host Prohibited
[root@localhost ~]# firewall-cmd --remove-icmp-block=echo-request
success
​

直接规则--类似iptables的四表五链

  • 直接规则优先于firewalld规则

[root@localhost ~]# firewall-cmd --direct --get-all-chains
## 规则定义: --direct --add-rule { ipv4 | ipv6 | eb } <table> <chain> <priority> <args>
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p icmp -j REJECT
success
[root@localhost ~]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -p icmp -j REJECT
success
[root@localhost ~]# firewall-cmd --direct --get-all-rules
​
## 定义NAT规则
firewall-cmd --direct --passthrough ipv4 -t nat -I POSTROUTING -o eth1 -j MASQUERADE -s 192.168.122.0/24

富规则--精确控制

[root@localhost ~]# firewall-cmd --list-rich-rules
​
## 富规则语法
rule family=ipv4
source address=192.168.122.0/24
[destination address=192.168.44.0/24]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
accept|reject|drop
​
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 service name=ssh reject'

NAT和端口转发

# 地址伪装masquerade
firewall-cmd --permanent --zone=<ZONE> --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade' 
# 端口转发
frewall-cmd --permanent --zone=public --add-forward-port=port=513:proto=tcp:toport=132:toaddr=192.168.0.254
​
# 本地端口转发
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.10/32 forward-port port=80 to-port=22 protocol=tcp'
​
# 目标地址转发
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.10/32 forward-port port=80 to-port=80 protocol=tcp to-addr=172.25.0.254'
​

残梦深处
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙思维导图.xmind
05-23
linux防火墙知识:利用思维导图的形式(包括举例),一张图进行全部详解 1.何为防火墙?2.防火墙的分类 3.iptables原理 4.防火墙顺序 5.iptables语法规则
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
Linux防火墙介绍
Eumenides_s的博客
10-20 1267
个人博客地址:http://www.pojun.tech/ 欢迎访问防火墙相关概念    关于什么是防火墙,凡是接触过计算机的朋友应该都会了解。在现代计算机通信中,有很多的安全技术,防火墙就是其中最基本的一种。    同时,防火墙具备一些有效的隔离功能,能够对经过防火墙网络包按照一定的规则进行检查,从而控制网络包的进入进出,以达到限制网络访问的一些目睹,这其中最著名的莫过于我们的长城防火
Linux 防火墙:netfilter、iptables、firewalld、firewall-cmd、ufw
热门推荐
freeking101的博客
04-19 1万+
防火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络
查看linux防火墙的状态
菜鸟学习成功之路
09-24 1625
iptables防火墙 1、基本操作 查看防火墙状态 service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off 永久关闭后重启 chkconfig iptables&nbs...
linux防火墙
青龙小码农
08-15 460
Tcp_Wrappers 1.简介 Tcp_Wrappers是一个用来分析TCP/IP封包的软件,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏。如果通过了第一层防护,那么下一层防护就是tcp_wra...
linux系统---防火墙
最新发布
zk584715834的博客
02-17 2141
隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中。简单理解为是筛选和过滤流量,对需要的流量进行放行,对不需要或者有威胁的流量进行拒绝由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包。
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙设置
05-22
简单 好用 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 linux防火墙设置命令 简单 好用
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
Linux防火墙.pdf
01-20
中文名: Linux防火墙 原名: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort 别名: Linux,Firewall,防火墙,iptables,psad,fwsnort 作者: (美)拉什译者: 陈健资源格式: PDF 版本:...
Linux防火墙常用指令
07-14
Linux防火墙常用指令
Linux 防火墙
02-18
网络攻击看来正在日益得势。几乎每天都会听说发生了新的针对软件漏洞的攻击,要么就是出现了一个更有效的散布垃圾邮件的方法(我的收件箱可以证明这一点),或则就是某
常用Linux命令
笨小孩的小跟班
07-07 1109
防火墙: 查看防火墙列表:firewall-cmd --zone=public --list-ports 开放防火墙端口:firewall-cmd --zone=public --add-port=5432/tcp --permanent 重启防火墙:firewall-cmd --reload 查看防火墙开启状态:systemctl status firewalld 启动防火墙:systemctl start firewalld 关闭防火墙:systemctl disable firewalld ..
linux防火墙相关命令与使用
tian830937的专栏
09-03 777
本文主要讲解firewalld。Firewall-cmd 是 Linux 系统中的命令行工具,用于管理防火墙规则。通过该工具可以配置、查看和修改防火墙设置,包括开放或关闭特定端口、添加/删除访问控制列表等操作。
重启Linux防火墙
08-27
要重启Linux防火墙,可以使用以下命令: ``` service iptables restart ``` 这个命令会重新启动防火墙并且应用之前的配置。 另外,在CentOS 7上,如果使用的是firewalld防火墙,可以使用以下命令来重新启动防火墙:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值