iptables和firewalld的区别以及用法

于 2024-07-31 09:11:05 发布
阅读量387 收藏 5
点赞数 12
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxyc666/article/details/140710615
版权

在运维中,了解和掌握 iptables 和 firewalld 的使用是非常重要的,因为它们是 Linux 系统中管理防火墙规则的两种主要工具。下面详细解释如何在运维中使用这两种工具。

iptables

iptables 是 Linux 系统中最基本和直接的防火墙管理工具,它直接操作 Linux 内核中的 netfilter 模块,用于设置和管理防火墙规则、网络地址转换(NAT)和数据包过滤。iptables 使用的规则基于表(table)、链(chain)和规则(rule)的概念来管理网络数据包的流向和处理。

主要特点和用法

  1. 基本概念

    • 表(table):iptables 通过不同的表来组织规则,如 filter 表(默认表,用于过滤数据包)、nat 表(用于网络地址转换)、mangle 表(用于特殊修改)等。
    • 链(chain):规则按照链的顺序逐一检查数据包,包括输入链(INPUT)、输出链(OUTPUT)和转发链(FORWARD)等。
    • 规则(rule):定义具体的操作,如允许、拒绝或转发特定类型的数据包。

  2. 常见应用场景

    • 网络安全策略:控制数据包的流向和访问权限,实现访问控制列表(ACL)。
    • 网络地址转换(NAT):配置端口转发和地址转换,实现内部网络与外部网络的通信。
    • 服务和端口管理:管理服务的访问控制和端口的开放或关闭,如允许或拒绝特定端口的访问。

  3. 常用命令
    iptables 是 Linux 系统中非常强大和灵活的防火墙管理工具,可以通过设置规则来控制网络数据包的流向、转发和过滤。以下是一些 iptables 的常用操作和命令

    查看当前规则

    • 查看所有规则:iptables -L
    • 查看指定表的规则(如 filter 表):iptables -L -t filter
    • 查看详细的规则信息:iptables -S

    添加规则

    • 添加到指定链(如 INPUT、OUTPUT、FORWARD):iptables -A <chain> <rule>
      • 示例:允许从指定 IP 访问 SSH 服务:iptables -A INPUT -s <IP_address> -p tcp --dport 22 -j ACCEPT

    删除规则

    • 删除指定链上的规则:iptables -D <chain> <rule>
      • 示例:删除指定 IP 访问 SSH 的规则:iptables -D INPUT -s <IP_address> -p tcp --dport 22 -j ACCEPT

    插入规则

    • 在指定位置插入规则到链上:iptables -I <chain> <rule_number> <rule>
      • 示例:在 INPUT 链上第 2 条规则之前插入允许 ICMP 数据包的规则:iptables -I INPUT 2 -p icmp -j ACCEPT

    修改规则

    • 修改已存在规则的参数或动作:首先删除旧规则,然后添加新规则。

规则设置

  1. 允许或拒绝数据包

    • 允许特定 IP 访问某端口的服务:iptables -A INPUT -s <IP_address> -p tcp --dport <port_number> -j ACCEPT
    • 拒绝特定 IP 访问某端口的服务:iptables -A INPUT -s <IP_address> -p tcp --dport <port_number> -j DROP

  2. 网络地址转换(NAT)

    • 设置端口转发:iptables -t nat -A PREROUTING -p tcp --dport <external_port> -j DNAT --to-destination <internal_IP>:<internal_port>
    • 添加 SNAT 规则:iptables -t nat -A POSTROUTING -o <interface> -j SNAT --to-source <source_IP>

保存和恢复规则

  1. 保存规则

    • 保存当前规则到文件(通常是 /etc/sysconfig/iptables):iptables-save > /etc/sysconfig/iptables

  2. 恢复规则

    • 从文件加载规则:iptables-restore < /etc/sysconfig/iptables

其他常用命令

  • 清空规则:清除所有规则和计数器,重置防火墙:iptables -F
  • 禁用或启用特定链iptables -P <chain> ACCEPTiptables -P <chain> DROP

注意事项

  • 修改 iptables 规则可能会导致网络断开或无法访问,谨慎操作。
  • 始终确保规则设置符合安全策略和需求,避免误操作导致安全风险。

使用这些命令和操作,可以对 iptables 进行基本的配置和管理,实现网络安全策略的控制和管理。

firewalld

firewalld 是建立在 iptables 之上的动态管理工具,提供了更高级别的抽象和动态管理防火墙规则的能力。它使用了“区域”(zone)和“服务”(service)的概念来简化配置,支持在运行时动态添加、删除和更新规则,适用于桌面系统、多用户环境和云环境等需要灵活管理的场景。

主要特点和用法

  1. 基本概念

    • 区域(zone):定义不同的网络区域,每个区域具有特定的安全策略和访问控制。
    • 服务(service):预定义了常见的网络服务和端口,通过添加服务来简化配置防火墙规则。
    • 动态管理:支持在运行时添加、删除和更新防火墙规则,无需重启防火墙服务。

  2. 常见应用场景

    • 动态管理和配置:在运行时调整防火墙规则,适应网络环境的变化。
    • 简化配置:通过定义区域和服务来管理安全策略,降低配置的复杂度。
    • 应用程序级防火墙:允许或阻止特定应用程序的网络访问,增强安全性。

  3. 常用命令
    Firewalld 是一个动态管理防火墙规则的工具,相比于 iptables,它提供了更高级别的抽象和动态管理能力。以下是一些 firewalld 的常用操作和命令

    查看防火墙状态

    • 查看当前防火墙状态:sudo firewall-cmd --state

    查看防火墙规则

    • 查看所有活动区域的规则:sudo firewall-cmd --list-all
    • 查看指定区域(如 public)的规则:sudo firewall-cmd --zone=public --list-all

    查询支持的服务和端口

    • 查询可用的服务:sudo firewall-cmd --get-services
    • 查询已打开的端口:sudo firewall-cmd --list-ports

配置区域和服务

  1. 设置默认区域

    • 设置默认区域为 public:sudo firewall-cmd --set-default-zone=public

  2. 添加和删除服务

    • 添加服务到指定区域(如 public):sudo firewall-cmd --zone=public --add-service=<service>
    • 删除服务:sudo firewall-cmd --zone=public --remove-service=<service>

  3. 添加和删除端口

    • 添加端口到指定区域(如 public):sudo firewall-cmd --zone=public --add-port=<port>/tcp
    • 删除端口:sudo firewall-cmd --zone=public --remove-port=<port>/tcp

运行时配置和永久配置

  1. 运行时生效

    • 添加服务并立即生效:sudo firewall-cmd --zone=public --add-service=<service> --permanent
    • 添加端口并立即生效:sudo firewall-cmd --zone=public --add-port=<port>/tcp --permanent

  2. 永久生效

    • 应用运行时配置到永久配置:sudo firewall-cmd --runtime-to-permanent

高级设置

  1. 管理 rich 规则

    • 添加 rich 规则:sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'
    • 删除 rich 规则:sudo firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'

  2. 防火墙重载和重启

    • 重新加载防火墙配置:sudo firewall-cmd --reload
    • 重启防火墙服务:sudo systemctl restart firewalld

注意事项

  • Firewalld 的动态管理和抽象层次使得配置更加简洁和灵活,特别适合需要频繁调整和管理防火墙规则的环境。
  • 确保配置符合安全策略和需求,避免误操作导致安全风险。

通过这些命令和操作,可以有效地管理和配置 firewalld,确保系统和网络的安全性和稳定性。

选择适合的工具

  • iptables 适合需要精细控制和高级网络功能的场景,对网络和安全专家更为熟悉和适应。
  • firewalld 更适合需要动态管理和简化配置的环境,适用于桌面系统、多用户环境和云环境,能够快速调整规则以适应网络变化和安全需求。

综上所述,理解和掌握 iptables 和 firewalld 的特点、用法和适用场景,对于有效地管理和保护 Linux 系统和网络非常重要。根据具体需求和环境特点选择合适的工具,可以提高运维效率和系统安全性。

iangyu
关注
  • 12
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptablesfirewalld 防火墙.docx
07-07
本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍 CentOS 7 中的防火墙配置。 iptables 防火墙 iptables 是 Linux 系统中的一种防火墙解决方案,用于过滤流量,保护内网安全。iptables 的主要功能是...
firewall:使用 iptables 在 Linux 中生成防火墙的 bash 脚本集。 基于
06-08
防火墙使用 iptables 在 Linux 上管理防火墙的脚本。标准用法您只需要运行一个脚本来管理防火墙,但您可以向其传递各种命令。 它们通常应按显示的顺序运行。 请注意,所有命令都需要以 root 权限执行(例如,通过...
iptablesfirewalld防火墙区别
weixin_65857487的博客
12-27 769
从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包 的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通 过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。也就是说,firewalldiptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。
iptables+firewalld区别
壮壮
12-04 1万+
一、iptables工作原理分类 主机防火墙:主要是用来防范单台主机的进出报文;-----filter表· 网络防火墙: 能够实现对进出本网络的所有主机报文加以防护----nat表 raw mangle nat filter ======================================================================================== iptables缺点: (1)防火墙虽然可以过滤互联网的数据包,但却无法过滤内部网络的数据包。因
iptablesfirewalld的介绍与区别
热门推荐
Bilise的博客
04-07 1万+
一、iptables iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这...
iptablesfirewalld
qq_42000421的博客
10-18 461
一、IPtables介绍 Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。主要针对网络访问 iptables其实并不是真正的防火墙,我们可以把他理解为一个客户端的代理,用户是通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙。这个框架叫做“netfilter”。 netfilt
Linux防火墙之——iptablesfirewalld
Zhaohui_Zhang的博客
07-31 4091
●防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。●能够指定火墙策略的两个工具包iptablesfirewalld●Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables)只用于管理Linux防火墙的命令程序,属于“用户态又称为用户空间)的防火墙管理体系。httpshttps。...
iptablesfirewalld区别
xiha的博客
02-01 4850
firewalldiptables的比较: 1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效; 2,firewalld使用区域和服务而不是链式规则; 3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; 4,firewall...
firewalldiptables区别
运维密码
07-17 411
在RHEL7里有几种防火墙共存:firewalldiptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalldiptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、firewalld在使...
iptablesfirewalld防火墙
sj199728的博客
04-24 713
iptables由四个表table和五个链chain以及一些规则组成(SELinux也是一个表,但它是独立的,不在我们讨论的范围内)四表五链规则表的作用:容纳各种规则链规则链的作用:容纳各种防火墙规则总结:表里有链,链里有规则。
iptablesfirewalld 防火墙
weixin_55731208的博客
03-31 1256
四种防火墙策略: ACCEPT(允许流量通过) 流量发送方会看到响应超时的提醒,但是流量发送方无法判断流量是被拒绝,还是接收方主机当前不在线 REJECT(拒绝流量通过) 流量发送方会看到端口不可达的响应 LOG(记录日志信息) DROP(拒绝流量通过)
linux中iptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
RHEL 7中防火墙的配置和使用方法
01-10
RHEL7 中使用了firewalld代替了原来的iptables,操作设置和原来有点不同: 查看防火墙状态:systemctl status firewalld 启动防火墙:systemctl start firewalld 停止防火墙:systemctl stop firewalld 防火墙中的...
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要...
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 356
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
计算机网络—电路、分组、报文交换—图文详解
最新发布
喻师傅的学习笔记
07-31 367
计算机网络—三种交换方式图文详解
网络安全在2024好入行吗?
2401_84466225的博客
07-29 505
024年的今天,慎重进入网安行业吧,目前来说信息安全方向的就业对于学历的容忍度比软件开发要大得多,还有很多高中被挖过来的大佬。
S5730举例
jjjxxxhhh123的博客
07-27 967
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
linux firewalld防火墙详解
09-24
Firewalld是Linux系统中的一种动态防火墙管理工具。它使用底层工具iptables和ip6tables来控制网络流量,并提供了更加易于使用的命令行界面和图形用户界面,方便设置和管理防火墙规则。 一些关于firewalld的基本使用方法如下: - 启动firewalld:`systemctl start firewalld` - 查看firewalld状态:`systemctl status firewalld` - 停止firewalld:`systemctl disable firewalld` - 禁用firewalld:`systemctl stop firewalld` - 重启firewalld:`systemctl restart firewalld` Firewalld允许用户定义不同的"区域"来区分不同的网络环境,并为每个区域定义相应的防火墙规则。例如,您可以将公共网络、内部网络和信任网络分别配置为不同的区域,并为每个区域设置适当的访问控制规则。 此外,Firewalld还支持服务和端口的定义和管理。您可以定义允许通过防火墙的特定服务或端口,并根据需要进行适当的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值