Firewalld+iptables

最新推荐文章于 2024-08-01 17:51:50 发布
最新推荐文章于 2024-08-01 17:51:50 发布
阅读量134 收藏 2
点赞数
分类专栏: web服务 文章标签: iptables firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49226813/article/details/110310991
版权

目录

Firewalld

Firewalld简介

1、支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具;

2、支持IPv4,IPv6防火墙设置以及以太网桥;

3、支持服务或应用程序直接添加防火墙规则接口;

4、拥有两种配置模式:

  • 运行时配置(一般测试的时候使用)
  • 永久配置。

5、firewalld是7.0才开始有,6.0一直都是iptables;
6、防火墙工作在第四层传输层,和端口有关TCP、UDP;
7、大型数据中心用的背靠背方式–两个硬防火墙;
8、按区域进行定义:高安全区域和低安全区域(例如公司内部是一个高安全区域,外部是一个低安全区域),此外允许访问的公司服务在dmz区域(非军事化区域);低安全级别到高安全级别会经过防火墙过滤;高安全级别到低安全级别是允许的。
9、运行时配置是临时配置,不会保存。

Firewalld网络区域

1、区域如同进入主机的安全门,每个区域都具有不同限制程度的规则;
2、可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口;
3、默认情况下,public区域是默认区域,包含所有接口(网卡)。

firewall配置命令

1、显示预定义的区域

[root@localhost ~]# firewall-cmd --get-zones

2、显示预定义的服务

[root@localhost ~]# firewall-cmd --get-service

3、显示预定义的 ICMP 类型

[root@localhost ~]# firewall-cmd --get-icmptypes

4、区域管理

 [root@localhost ~]# firewall-cmd --get-default-zone public
--get-default-zone 显示网络连接或接口的默认区域
--set-default-zone=<zone> 设置网络连接或接口的默认区域
--get-active-zones 显示已激活的所有区域
--get-zone-of-interface=<interface> 显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> 为指定接口绑定区域
--zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口
--list-all-zones 显示所有区域及其规则

iptables

iptables:位于/sbin/iptables,用来管理防火墙规则的工具

iptables的表、链结构

1、iptables规则四张表

  • filter表:filter表用来对数据包进行过滤,根据具体的规则要求决定如何处理一个数据包。filter表对应的内核模块为iptables_filter,表内包含三个链,即INPUT,FORWARD,OUTPUT。

  • nat表:nat(NetworkAddress Translation,网络地址转换)表主要用来修改数据包的IP地址,端口号等信息。nat表对应的内核模块为iptables_nat,包含三个链,即PREROUTING,POSTROUTING,OUTPUT。

  • mangle表:mangle表用来修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期),或者为数据包设置Mark标记,以实现流量整形、策略路由等高级应用。mangle表对应的内核模块为iptables_mangle,表内包含五个链,即PREROUTING,POSTROUTING,INOPUT,OUTPUT,FORWARD。

  • raw表:raw表是自1.2.9版本以后的iptables新增的表,主要用来决定是否对数据包进行状态跟踪。raw表对应的内核模块为iptables_raw,表内包含两个链,即OUTPUT,PREROUTING。

2、iptables规则5链

  • INPUT:处理入站数据包(进入防火墙时)

  • OUTPUT:处理出战数据包(出防火墙时)

  • FORWARD:处理转发数据包NAT时使用

  • PREROUTING链:在进行路由选择前处理数据包(先把目标IP转换为私有IP再查询路由表进行数据转发)

  • POSTROUTING链:在进行路由选择后处理数据包(从内向外会查路由表;将源地址转换为外网地址出去)服务器上在input链上写规则;客户端在input链或forward链

安装使用iptables防火墙

1、关闭firewalld

systemctl stop firewalld

2、安装iptables防火墙

yum -y install iptables iptables-services

3、设置iptables开机启动

systemctl start iptables

systemctl enable iptables

3.2、iptables的基本语法

语法构成

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

iptables -t filter -I INPUT -p icmp -j REJECT

-t:默认表filter可以不写

-I:在链首部插入

-p:指定协议

-j:控制类型

数据包的常见控制类型

ACCEPT:允许通过

DROP:直接丢弃,不给出任何回应

REJECT:拒绝通过,必要时会给出提示

LOG:记录日志信息,然后传给下一条规则继续匹配

添加新的规则

1、在INPUT链的末尾追加tcp协议允许通过的规则

iptables -t filter -A INPUT -p tcp -j ACCEPT 

-A:在链的末尾追加一条规则
-I:在链的开头(或指定序号)插入一条规则

2、在INPUT链的开头插入允许udp协议通过的规则

iptables -I INPUT -p udp -j ACCEPT

3、在INPUT链的第二个规则中插入允许icmp协议通过的规则

iptables -I INPUT 2 -p icmp -j ACCEPT

查看规则列表

iptables -L INPUT --line-numbers  
-L:列出所有的规则条目

-n:以数字形式显示地址、端口等信息

-v:以更详细的方式显示规则信息

--line-numbers:查看规则时,显示规则的序号

##查看INPUT链所有的规则条目,并显示规则的序号

[root@service ~]# iptables -nL INPUT       #以数字形式显示INPUT链所有的规则条目(n和L的顺序不能倒)

删除、清空规则

1、删除INPUT链中的第二条规则

[root@service ~]# iptables -D INPUT 2  
-D:删除链内指定序号(或内容)的一条规则
-F:清空所有的规则

2、清空filter表中的规则(加-F是只清空filter表中的规则)

[root@service ~]# iptables -F

3、清空nat表中的规则

[root@service ~]# iptables -t nat -F

4、清空mangle表中的规则

[root@service ~]# iptables -t mangle -F

5、清空raw表中的规则

[root@service ~]# iptables -t raw -F

常见的通用匹配条件

协议匹配:-p 协议名

地址匹配:-s 源地址、-d 目的地址

接口匹配:-i 入站网卡、-o出站网卡

感叹号!表示条件取反
1、 FORWARD链中追加一条规则:除了icmp协议,其他协议都accept

[root@service ~]# iptables -A FORWARD ! -p icmp -j ACCEPT

2、在INPUT链中添加一条规则:来自20.0.0.10的数据包都拒绝通过

[root@service ~]# iptables -A INPUT -s 20.0.0.10 -j REJECT

3、在INPUT链中添加一条规则:来自20.0.0.0/24网段的数据包全都丢弃(加完ssh不能用了)

[root@service ~]# iptables -A INPUT -s 20.0.0.0/24 -j DROP

4、在INPUT链中追加一条规则:从20.0.0.10来的,从外网接口ens33进入的数据包都丢弃

[root@service ~]# iptables -A INPUT -i ens33 -s 20.0.0.10 -j DROP

5、在INPUT链中追加一条规则:从192.168.0.0/16网段来的,从外网接口ens33进入的数据包都丢弃

[root@service ~]# iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP

常见的隐含匹配条件

端口匹配:--sport 源端口、--dport 目的端口

ICMP类型匹配:--icmp-type ICMP类型

[root@service ~]# iptables -A FORWARD -s 20.0.0.0/24 -p udp --dport 53 -j ACCEPT

[root@service ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT

[root@service ~]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP

[root@service ~]# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT  

[root@service ~]# iptables -A INPUT -p icmp --icmp-type 3 -j DROP

echo-request 8请求,echo-rely 0回显,destination-unreachable 3不可达

常用的显式匹配条件

多端口匹配:
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
IP范围匹配:-m iprange --src-range IP范围
MAC地址匹配:-m mac --mac-source MAC地址
状态匹配:-m state --state 连接状态
1、在INPUT链中追加一条规则:目的端口列表中tcp25,80110端口允许通过
[root@service ~]# iptables -A INPUT -p tcp -m multiport --dports 25,80,110 -j ACCEPT
2、在FORWARD链中追加一条规则:IP地址范围为20.0.0.40-20.0.0.100的数据包允许通过
[root@service ~]# iptables -A FORWARD -p tcp -m iprange --src-range 20.0.0.40-20.0.0.100 -j ACCEPT
3、在INPUT链中追加一条规则:MAC地址为00:0c:dd:bb:cc:aa的数据包丢弃
```c
[root@service ~]# iptables -A INPUT -m mac --mac-source 00:0c:dd:bb:cc:aa -j DROP
weixin_49226813
关注
专栏目录
Firewalld防火墙与iptables
weixin_42280882的博客
07-29 663
文章目录FirewalldFirewalld简介区域介绍firewalld数据处理流程配置模式配置方式配置文件firewalld防火墙配置示例   Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用 Firewalld Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4,IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 在centos7.0版本之前,没有firewalld的概念,都是用
防火墙工具Firewalldiptables轻松搞定
知识库总结、分享
05-29 964
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
iptables+firewalld
小杜的博客
04-16 439
防火墙讲解 centos7默认使用的防火墙是firewalld,但是同样也是支持iptables,在当今许多的企业中 使用的最多的是还是centos6的系统,所以为了能更好的服务于这些使用centos6的公司 我们首先学习的是iptables。最后学习firewalldiptables netfilter/iptables:IP信息包过滤系统,由2个组件构成,分别是:netfilter和ip...
防火墙Firewalldiptables
最新发布
2201_75444658的博客
08-01 637
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
iptables firewall-cmd
weixin_30487317的博客
05-18 99
iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443,53 -m state --state NEW,ESTABLISHED -j A...
防火墙命令(firewall-cmd)(iptables)
weixin_39372979的博客
09-07 3425
1、查看开放端口2、查看添加的规则3、开放连续端口访问4、开放端口5、针对某个IP开放端口6、删除开放端口7、添加单个IP为白名单8、删除白名单9、重载firewalld10、禁用ssh端口--permanent 永久生效,重启后规则不消失不执行 firewall-cmd --reload 命令配置不生效1、检查firewalld状态 systemctl status firewalld
iptables与firewall-cmd
xiaofu9910的博客
05-26 710
linux学习第9天 网卡设置方法: (1),修改配置文件: vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 二,,防火墙修改规则 1, Iptables; 1.1,规则链: 路由选择前处理数据包【FREROUTING】 路由选择后处理数据包【POSTROUTING】 处理流入的数据包【INPUT】 处理流出的数据包【OUTPUT】 处...
Linux防火墙之firewalldiptables
day day up
07-15 2622
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
Firewalldiptables防火墙的区别
量子黑洞、的博客
08-05 2914
Firewalldiptables防火墙简述: Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,也因此获得广泛的应用。 相同点: firewalldiptables 防火墙都属于典型的包过滤防火墙或称之为网络层防火墙, firewalldiptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,
CentOS 7之FirewallDiptables的区别
热门推荐
weixin_33935777的博客
06-05 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
【130】Linux 中防火墙firewalldiptables的启动与关闭
小麦粒的Python
08-13 1585
Linux 中防火墙firewalldiptables详解 Firewalld是Linux系统自带的防火墙工具,通过管理Firewalld可以实现对netfilter进行...
firewall-cmd 和 iptables 的基本使用
qq_34980668的博客
08-11 1890
ConterOS7.0以上默认使用的是firewalld,ConterOS7.0默认以下使用的是iptables。然而很多人习惯了使用iptables,所以本文也一并总结了iptables。不过需要注意:ConterOS7.0以上系统如果还想使用iptables的话,一般需要先安装,再使用。 一、firewalld 命令格式: firewall-cmd [选项 ... ] 查看帮助: firewall-cmd --help 基本使用: 查看防火墙状态:firewall-cmd --state
Linux防火墙firewall命令和iptables命令
qq_32486597的博客
11-29 286
Linux防火墙和端口的查看 firewall命令: systemctl status firewalld #查看firewall防火墙状态 firewall-cmd --list-ports #查看firewall防火墙开放端口 systemctl start firewalld.service #打开firewall防火墙 systemctl stop firewalld.service #关闭firewall防火墙 firewall -cmd --reloa..
linux之防火墙命令firewall、iptable以及端口号等详解诠释(全)
码农研究僧的博客
09-09 1万+
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
Linux防火墙firewalld/iptables使用教程
weixin_42073629的博客
05-17 472
一、Firewalldiptables)命令介绍 1、Firewalldiptables)语法规则 # iptables [-t 表名] 选项 [链名] 条件匹配 -j 执行动作 #表名不写的话默认为filter表 iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT #为filter表的INPUT链增加规则,当目标端口为80并且为tcp协议则放行 2、Firewalldiptables)常用选项 -A |-D |-I [CHA.
使用iptables与firewall来配置防火墙
qq_45279999的博客
05-03 885
防火墙位于内网与外网之间,相较于内网,外网的安全和环境都十分恶劣,时不时都会受到攻击。所以可以用防火墙来设置策略,阻断影响安全的因素。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动。 iptablesfirewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已;或者说,它们只是一种服务。早期
Linux云计算架构-四大防火墙详细解说(iptables、firewall-cmd、firewall-config、TCP Wrappers)
熊博主
08-20 1406
文章目录Linux云计算架构-四大防火墙详细解说(iptables | firewall-cmd | firewall-config |TCP Wrappers)1. 简介2. 防火墙管理工具2.1 iptables(不建议使用)2.2 iptables实验及其验证2.2.1 查看并清空规则链2.2.2 设置INPUT规则链的默认规则为DROP,再设置INPUT规则链的默认规则为ACCEPT,看看本地主机是否能ping通虚拟机。2.2.3 向INPUT链中添加允许ICMP流量进入的规则(是否禁ping)2.
Linux防火墙——iptables以及firewalld的使用介绍
树下一少年的博客
01-22 2789
本文基于Linux上CentOS 7版本配合iptablesiptables-services、firewalld等服务进行演示 Linux防火墙——iptables以及firewalld的使用介绍 一.防火墙概念以及Netfilter机制介绍 二..iptables原理 三.firewalld(区域)简介 含端口转发
firewalldiptables
06-15
Firewalldiptables都是Linux系统中用于网络访问控制和防火墙配置的工具,但它们属于不同的时代和技术栈。 **1. Iptables**: - Iptables是早期Linux内核自带的一种动态包过滤防火墙,它是基于netfilter框架的。 -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值