Linux之iptables及firewall超详解

最新推荐文章于 2024-06-03 12:50:19 发布
最新推荐文章于 2024-06-03 12:50:19 发布
阅读量2.6w 收藏 11
点赞数 3
分类专栏: RHCE 文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64051859/article/details/126087657
版权

目录

一.搭建web服务,设置任何人能够通过80端口访问

 1.设置任何人都可以通过80端口访问web服务器

 2.查看配置表确保已经成功配置

 3.访问服务器可以看到成功访问

 4.删除策略

 5.发现不能访问

二.禁止所有人ssh远程登录该服务器

 1.默认开放ssh服务,先在客户测试端远程登录

 2.添加策略,禁止所有人ssh远程登录

 3.在客户端上测试发现远程登陆失效

 4.由于使用的Xshell也是使用ssh远程登陆的,所以会断开,只能在VMware上删除策略

三.禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务

 1.禁止客户端远程登录服务器

 2.在客户端测试

 3.添加策略允许客户端访问web服务

 4.客户端上测试成功访问到web服务

四.禁止某个ip地址进行ssh访问

在指定ip的机器上不能远程登录 

五.配置端口转发(在192.168.40.0网段的主机访问该服务器的5423端口将被转发到80端口)

1. 添加富规则进行端口转发

 2.重新加载配置

3.访问5423端口 

​六.此规则将本机80端口转发到192.168.40.131的8080端口上

一.搭建web服务,设置任何人能够通过80端口访问

 1.设置任何人都可以通过80端口访问web服务器

[root@rhcsa ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT

 2.查看配置表确保已经成功配置

[root@rhcsa ~]# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
2    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
3    ACCEPT     icmp --  anywhere             anywhere            
4    ACCEPT     all  --  anywhere             anywhere            
5    ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
6    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

 3.访问服务器可以看到成功访问

 4.删除策略

[root@rhcsa ~]# iptables -D INPUT 1

 5.发现不能访问

二.禁止所有人ssh远程登录该服务器

 1.默认开放ssh服务,先在客户测试端远程登录

[root@rhce ~]# ssh root@192.168.40.129
The authenticity of host '192.168.40.129 (192.168.40.129)' can't be established.
ECDSA key fingerprint is SHA256:70V58bQzrfUci7EE23sAS/cd7Zjc3zbRhTx15uN1PVY.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.40.129' (ECDSA) to the list of known hosts.
root@192.168.40.129's password: 
Activate the web console with: systemctl enable --now cockpit.socket

This system is not registered to Red Hat Insights. See https://cloud.redhat.com/
To register this system, run: insights-client --register

Last login: Sun Jul 31 08:16:08 2022 from 192.168.40.1

 2.添加策略,禁止所有人ssh远程登录

iptables -I INPUT -p tcp --dport 22 -j REJECT

 3.在客户端上测试发现远程登陆失效

[root@rhce ~]# ssh root@192.168.40.129
ssh: connect to host 192.168.40.129 port 22: Connection refused

 4.由于使用的Xshell也是使用ssh远程登陆的,所以会断开,只能在VMware上删除策略

三.禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务

 1.禁止客户端远程登录服务器

[root@rhcsa ~]#  iptables -I INPUT -p tcp -s 192.168.40.131 --dport 22 -j REJECT

 2.在客户端测试

[root@rhce ~]# ssh root@192.168.40.129
ssh: connect to host 192.168.40.129 port 22: Connection refused

 3.添加策略允许客户端访问web服务

[root@rhcsa ~]# iptables -I INPUT -p tcp -s 192.168.40.131 --dport 80 -j ACCEPT

 4.客户端上测试成功访问到web服务

[root@rhce ~]# curl 192.168.40.120
this is 8888

四.禁止某个ip地址进行ssh访问

#移除允许所有人通过ssh远程连接的配置
[root@rhcsa ~]# firewall-cmd --permanent --remove-service=ssh
success
#添加富规则禁止特定的ip通过ssh远程连接
[root@rhcsa ~]# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="192.168.40.131" service name="ssh" reject'
success
#重新加载当前配置
[root@rhcsa ~]# firewall-cmd --reload
success
[root@rhcsa ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client http
  ports: 2222/tcp 8888/tcp
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="192.168.40.131" service name="ssh" reject

在指定ip的机器上不能远程登录 

[root@rhce ~]# ssh root@192.168.40.129
ssh: connect to host 192.168.40.129 port 22: Connection refused

五.配置端口转发(在192.168.40.0网段的主机访问该服务器的5423端口将被转发到80端口)

1. 添加富规则进行端口转发

[root@rhcsa ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.40.0/24" forward-port port="5423" protocol="tcp" to-port="80"'
success

 2.重新加载配置

[root@rhcsa ~]# firewall-cmd --reload 
success

3.访问5423端口 


六.此规则将本机80端口转发到192.168.40.131的8080端口上

[root@rhcsa ~]# firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.40.131 --permanent 
success
[root@rhcsa ~]# firewall-cmd --reload 
success

 

Gur.
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux系统firewall-cmd 命令详解.docx
02-07
Linux 系统 firewall-cmd 命令详解 firewall-cmd 是 firewalld 的字符界面管理工具,firewalld 是 CentOS 7 的一大特性。firewalld 最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone...
Linux 防火墙配置(iptablesfirewalld)
热门推荐
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
Linux防火墙——iptables以及firewalld的使用介绍
树下一少年的博客
01-22 2278
本文基于Linux上CentOS 7版本配合iptablesiptables-services、firewalld等服务进行演示 Linux防火墙——iptables以及firewalld的使用介绍 一.防火墙概念以及Netfilter机制介绍 二..iptables原理 三.firewalld(区域)简介 含端口转发
服务器相关服务部署
最新发布
qwe985124的博客
06-03 477
完成设置,不过,如果你是云服务器用户,那就会出现不管怎么改都没办法修改成功,有时候修改了还会完全没办法使用远程连接,这是因为云服务器还有一个控制台防火墙,它是官方设置的类似外墙的保护措施,你在服务器内部设置了新的端口,还需要在云服务器控制台设置一个新的端口。对于防火墙端口操作,首先需要了解防火墙命令,firewall-cmd,这里我直接使用sudo firewall-cmd --permanent --zone=public --add-port=new_port/tcp。
linux之防火墙命令firewall、iptable以及端口号等详解诠释(全)
码农研究僧的博客
09-09 9511
一、防火墙的开启、关闭、禁用命令 (1)设置开机启用防火墙:systemctl enable firewalld.service (2)设置开机禁用防火墙:systemctl disable firewalld.service (3)启动防火墙:systemctl start firewalld (4)关闭防火墙:systemctl stop firewalld (5)检查防火墙状态:systemctl status firewalld 二、使用firewall-cmd配置端口 (1)查看防火墙状态:fir
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3615
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
Linux 防火墙配置(iptablesfirewalld)详细教程。
高性价比服务器就选:蓝易云
06-14 512
以上只是一些常见的iptablesfirewalld命令示例,你可以根据自己的需求进行修改和扩展。请注意,在配置防火墙时务必小心,确保不会阻塞你所需要的合法流量,并确保保存和加载配置以使其永久生效。另外,建议在配置防火墙之前备份现有的防火墙规则以防止意外情况发生。iptablesLinux上最常用的防火墙工具之一,而firewalld是CentOS 7及其衍生版本中默认使用的防火墙管理工具。下面是一个简要的 Linux 防火墙配置教程,涵盖了iptablesfirewalld两种常用的防火墙工具。
iptables指令详解
02-26
iptables firewall command !
linux基础详解
12-22
Linux是世界上最广泛使用的开源操作系统之一,它为用户提供了一个强大的命令行界面和图形用户界面。这份压缩包中的资源详细涵盖了Linux的基础知识,包括命令大全和应用知识,非常适合初学者学习。 一、Linux基础...
Iptables 中文指南
07-23
7.2. rc.firewall详解 7.2.1. 参数配置 7.2.2. 外部模块的装载 7.2.3. proc的设置 7.2.4. 规则位置的优化 7.2.5. 缺省策略的设置 7.2.6. 自定义链的设置 7.2.7. INPUT链 7.2.8. FORWARD链 7.2.9. OUTPUT链 ...
linux服务器部署1
08-08
- **配置防火墙**:在Linux中,通常使用`iptables`或`firewalld`等工具来配置防火墙规则。根据`firewallRule.xml`中的设置,需要编写对应的命令或脚本来打开相应的端口和服务。 5. **防火墙规则详解** - **名称 ...
Linux 防火墙:netfilter、iptablesfirewalld、firewall-cmd、ufw
freeking101的博客
04-19 1万+
防火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络
Linux——Firewall防火墙(firewalld与iptables两种管理方式)
Treasured ——的博客
12-16 2651
一、防火墙简介 介绍: 防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的 管理防火墙的两种方式 : (1)firewalld 管理火墙的工具,相对简单 (2)iptables 复杂,功能强大 二、firewa...
linux防火墙(firewalld和iptables
肥猫警长的博客
11-01 4887
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
防火墙iptables&&firewalld
fajixianshouhu的博客
05-25 1711
一、IPtables介绍 分类: 逻辑分类:主机防火墙(个人)或网络防火墙(集体) 主机防火墙:针对单个主机进行防护 网络防火墙:它往往处于网络入口或者边缘,针对网络入口进行防护,服务于防火墙背后的局域网 物理分类:硬件防火墙和软件防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高 软件防火墙:应用软件处理逻辑运行于硬件平台之上,性能低,成本低 IPtables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对osi模型的四层或者是
防火墙
践踏记忆的博客
10-07 784
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
防火墙工具Firewalld 和iptables轻松搞定
知识库总结、分享
05-29 902
Firewalld和iptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
使用IptablesFirewalld防火墙
2301_77284388的博客
09-20 929
防火墙管理工具 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1)虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。就像家里安装的防盗门一样,目的是保护亲人和财产安全。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Gur.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值