Linux系统工程师3--7.Linux的火墙优化策略

最新推荐文章于 2023-10-05 12:18:51 发布

代码牛马

最新推荐文章于 2023-10-05 12:18:51 发布

阅读量280

点赞数

本文链接：https://blog.csdn.net/yjy11223/article/details/119509011

版权

4.3 关于firewalld的设定原理及数据存储

1.火墙介绍

1.netfilter
2.iptables
3.iptables | firewalld #iptables firewalld 同时只能用一个

2.火墙管理工具切换

在rhel8中默认使用的是firewalld

firewalld----->iptables                               #firewalld切换为iptables

dnf install iptables-services -y                   #安装iptables
systemctl disable --now firewalld               #停用firewalld
systemctl mask firewalld                            #屏蔽服务，让它不能启动

systemctl unmask iptables                       #解除iptables的屏蔽

systemctl enable --now iptables                  #开启iptables

iptales -------> fiewalld                         #firewalld切换为iptables
dnf install firewalld -y                         #安装firewalld
systemctl disable --now iptables               #停用iptables
systemctl mask iptables                       #屏蔽服务，让它不能启动

systemctl unmask firewalld                         #解除i火墙的屏蔽

systemctl enable --now firewalld               ##开启firewalld

3.火墙默认策略

默认策略中的5条链

input                  #输入
output                #输出
forward            #转发
postrouting         #路由之后
prerouting          #路由之前

默认的3张表

filter                #经过本机内核的数据（input output forward）
nat                  #不经过内核的数据（postrouting，prerouting,input,output）
mangle            #当filter和nat表不够用时使用（input output forward postrouting，prerouting,）

数据包状态
RELATED                #建立过连接的
ESTABLISHED        #正在连接的
NEW                        #新的

4.firewalld

4.1firewalld的开启

dnf install firewall-config-0.8.0-4.e18.noarch -y         #防火墙图形控制安装
firewall-config                                                       #图形防火墙的开启

systemctl disable --now iptables                               #关闭iptables
systemctl mask iptables                                         #屏蔽iptables，不能启动

systemctl unmask firewalld                                   #显示服务
systemctl enable --now firewalld                               #启用firewalld

4.2关于firewalld的域

trusted               #接受所有的网络连接
home                 #用于家庭网络，允许接受ssh mdns ipp-client samba-client dhcp-client
work                  #工作网络 ssh ipp-client dhcp-client
public                #公共网络 ssh dhcp-client
dmz                  #军级网络 ssh
block                #拒绝所有，拒绝
drop                 #丢弃   所有数据全部丢弃无任何回复，
internal             #内部网络 ssh mdns ipp-client samba-client dhcp-client
external            #ipv4网络地址伪装转发 sshd

4.3 关于firewalld的设定原理及数据存储

/etc/firewalld #火墙配置目录
/lib/firewalld #火墙模块目录

4.4firewalld的管理命令

firewall-cmd --state                              #查看火墙状态
firewall-cmd --get-active-zones                #查看当前火墙中生效的域
firewall-cmd --get-default-zone                  #查看默认域
firewall-cmd --list-all                                   #查看默认域中的火墙策略
firewall-cmd --list-all --zone=block             #查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted     #设定默认域,设定后就算http服务没有添加到防火墙中也可以使用

firewall-cmd --get-services                       #查看所有可以设定的服务
firewall-cmd --permanent --remove-service=http                #移除服务
firewall-cmd --reload

firewall-cmd --permanent --add-source=172.25.254.21 --zone=block         #指定21的数据来源访问指定域block，拒绝来自21的所有数据
firewall-cmd --reload
firewall-cmd --remove-source=172.25.254.21 --zone=block    #删除

firewall-cmd --remove-interface=ens3 --zone=public             #删除指定域public的网络接口ens3
firewall-cmd --add-interface=ens3 --zone=block                    #添加指定域block的网络接口ens3
firewall-cmd --change-interface=ens3 --zone=trusted            #更改网络接口ens3到指定域trusted

4.5firewalld的高级规则

firewall-cmd --direct --get-all-rules                #查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.21 -p tcp --dport 80 -j REJECT        #设置filter表INPUT链中的第一条规则，拒绝指定IP21的80端口的网络数据
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 ! -s 172.25.254.21 -p tcp --dport 80 -j REJECT        #删除指定规则

filter   表格
dport   目的端口
s   指定ip
1   第一条规则
p   协议
！   除了
REJECT   拒绝

测试：
21主机 curl http://172.25.254.121    ，连不通

4.6 firewalld中的NAT

单网卡设置双网卡服务器的1网段的网关后，可以ping通服务器172网段的IP,但是不能ping通172网段的其他主机

SNAT
firewall-cmd --permanent --add-masquerade #双网卡服务器设置地址伪装
firewall-cmd --reload
双网卡服务器设置地址伪装，单网卡可以ping和ssh远程连接到别的主机，被连接的主机w -i会显示是服务器连接，而是不是单网卡主机连接

DNAT
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=1.1.1.221
firewall-cmd --reload
别的主机连接服务器，服务器会将22端口的网络数据转发至设定的ip221

5. iptables 的使用

5.1火墙策略的永久保存

/etc/sysconfig/iptables                                #iptables 策略记录文件

两种保存方法：

iptales-save > /etc/sysconfig/iptables

service iptables save

5.2 iptables命令

iptables
                        -t                #指定表名称
                        -n                #不做解析
                        -L                #查看
                        -A                #添加策略
                        -p                #协议
                        --dport         #目的地端口
                        -s                #来源
                        -j                 #动作
                                      ACCEPT            #允许
                                      DROP                #丢弃
                                      REJECT             #拒绝
                                      SNAT                 #源地址转换
                                      DNAT                 #目的地地址转换
                        -N                #新建链
                        -E                #更改链名称
                        -X                #删除链
                        -D                #删除规则
                        -I                 #插入规则
                        -R                #更改规则
                        -P                #更改默认规则

                        -F                #清空，重启服务会出现

iptables -t filter -A INPUT -j ACCEPT                #filter接收所有设备输入

iptables -I INPUT -s 172.25.254.21 -j REJECT     #拒绝21输入，策略位置会影响结果，命令的读取是由上往下，例如设置filter允许INPUT所有输入为第一位就不会读取这条命。

可以控制插入命令的顺序，默认第一位，如果要改变INPUT 后面加上数字INPUT 2

iptables -D IN PUT 1                                         #删除NPUT表里的第一个策略

5.3iptables的优化策略

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #只接收建立过连接的和正在连接的数据和请求

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT                              #接收来自新的lo回环接口的数据和请求

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT          #接收来自新的22端口的数据和请求

ptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT          #接收来自新的53（dns）端口的数据和请求

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT          #接收来自新的80端口的数据和请求

less /etc/services   #查看所有服务的端口号

iptables -A INPUT -m state --state NEW -j REJECT                                #拒绝所有新的数据的请求

iptales-save > /etc/sysconfig/iptables

5.4iptables里的NAT

iptables -t nat -nL       #查看nat表及策略

SNAT

iptables -t nat -A POSTROUTING -o ens3 -j SNAT --to-source 172.25.254.121 #设置地址伪装，将ens3接口的流出数据的IP修改为121
sysctl -a | grep ip_forward       #查看服务ip_forward是否启动
vim /etc/sysctl.conf               #1是启动，如果是0则是未启动需手动输入
net.ipv4.ip_forward = 1
sysctl -p

DNAT
iptables -t nat -A PREROUTING -i ens3 -j DNAT --to-dest 1.1.1.221   #设置DNAT，服务器把对ens3的访问转发到1.1.1.221

代码牛马

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
Linux系统工程师3--7.Linux的火墙优化策略

1.火墙介绍1.netfilter2.iptables3.iptables | firewalld #iptables firewalld 同时只能用一个2.火墙管理工具切换在rhel8中默认使用的是firewalldfirewalld----->iptables #firewalld切换为iptables dnf install iptables-services ...
复制链接

扫一扫