[Linux]防火墙管理firewalld和iptables

最新推荐文章于 2023-09-06 17:01:55 发布
最新推荐文章于 2023-09-06 17:01:55 发布
阅读量259 收藏
点赞数 1
分类专栏: Linux学习 文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhandar44/article/details/90752656
版权

firewalld:

1、介绍

firewalld(动态防火墙),其中引入区域(zone)的概念。区域就是预先设计的策略集合,用户可以根据不同环境选择合适的策略集合,从而实现防火墙策略之间的快速切换。

2、域的介绍

网络域名称配置
trusted可接受所有的网络
internal可用于内部网络,支持ssh,mdns,ipp-client,samba-client,dhcpv6-client
home可用于家庭网络,支持ssh,mdns,ipp-client,samba-client,dhcpv6-client
public可用于公共区域,支持ssh,dhcp6-client
work可用于工作环境,支持ssh,ipp-client,dhcpv6-client
dmz支持ssh
external支持ssh
block拒绝所有连接
drop任何网络数据包丢弃

 

3、图形化管理

命令:firewall-config
设置域

设置默认域

4、命令管理

firewall-cmd --state                                         #查看当前状态

firewall-cmd --get-active-zones              #查看当前防火墙工作的域

firewall-cmd --get-default-zone              #查看防火墙默认工作域

firewall-cmd --get-zones                     #查看可选择的域

firewall-cmd --zone=public --list-all        #查看public域的配置

firewall-cmd --get-services                  #可直接添加的服务

firewall-cmd --list-all-zones                #查看所有的域的配置

firewall-cmd --set-default-zone-trusted        #设置默认域为trusted(如需永久设定需添加--permanent,并重新加载)

5、设置2台本地主机访问远端主机两个ip,可以访问到默认发布文件

(通过测试了解防火墙设置)

(1)准备

2台本地主机:
ip1=172.25.254.12/24

ip2=1.1.1.112/24

1台远端主机;

拥有两块网卡eth0,eth1

eth0:172.25.254.212/24

eth1:1.1.1.212/24

(2)远端主机设置

安装http并设置默认发布文件,默认发布文件目录/var/www/html/

设置允许172.25.254.0/24网段通过trusted域访问远端主机文件(一个域仅能设置同一ip通过,否则将会出现冲突)

命令:firewall-cmd --permanent --zome=trusted --add-source=172.25.254.0/24                        #设置为永久设定需进行重新加载

          firewall-cmd --reload

(3)本地主机1测试

浏览器中输入172.25.254.212

(4)远端主机设置

将eth1网卡添加至trusted域中

方法一:

命令:

firewall-cmd --remove-interface=eth1 --zone=public

将eth1移出public域(public域为例,移出的域视真实情况而定)

firewall-cmd --add-inerface=eth1 --zone=trusted 

将eth1添加进trusted域

方法二:

命令:

firewall-cmd --change-interface=eth1 --zone=trusted

将eth1网卡直接修改至trusted域

该设定将eth1网卡设置在trusted域的接口上,便可与1.1.1.0/24网段进行通信

(5)本地主机2测试

6、防火墙的永久设定配置

远端主机;

配置函数路径:/etc/firewalld

以下进入zones目录为例

(1)查看当前firewall中public域配置

命令:firewall-cmd --list-all

查看public.xml和public.xml.old文件

可以发现两文件内容目前为一模一样

(2)永久添加ftp服务

命令:firewall-cmd --permanent --add-service=ftp                         (--permanent为永久添加的参数)

           firewall-cmd --reload                                                              (设定永久添加需重新加载)

(3)查看public.xml和public.xml.old

查看当前public.xml文件当前内容发现添加ftp

查看当前public.xml.old文件为之前的配置

7、Direct Rules

通过 --direct可进行端口规则设置

测试:设置仅允许本地主机ip172.25.254.12访问远端主机ip172.25.254.212

(1)远端主机设置

命令:firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.12 -p tcp --dport 22 -j ACCEPT

filter INPUT                                   #使用filter表的INPUT链

-s                                                   #接收数据包的地址      (若在之前添加!则为禁止该ip通过该端口)

-p                                                  #协议  

-dport                                            #端口    

-j                                                   #是否允许通过

命令:firewall-cmd --direct --get-all-rules

查看规则

(2)测试

本地主机1(ip172.25.254.12/24)

本地主机2(ip1.1.1.112)

 

测试:设置伪装和转发

远端主机设定:

伪装功能开启

命令:firewall-cmd --permanent --add-masquerade

           firewall-cmd --reload

设置转发

命令:firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.212            (ip为转发的目标)

 

iptables

1、介绍

iptables根据规则进行管理防火墙。

iptables具有3张表

(1)Fliter表

作用:过滤数据包

INPUT链:处理来自外部数据

OUTPUT链:处理发送的数据

FORWARD链:用于转发至其他网卡的数据

(2)NAT表

作用:地址转换

PREOUTING链:处理路由转发前的数据,主要用于DNAT

OUTPUT链:处理本机发送的数据

POSTROUTING链:处理路由后的数据,主要用于SNAT

(3)Mangle表

作用:用于处理数据包

PREOUTING链,OUTPUT链,POSTROUTING链,INPUT链,FORWARD链。

2、参数介绍

-t指定表名称 
-n不做解析
-L列出指定表中的策略
-A增加策略
-p网络协议
--dport端口
-s数据来源
-j动作
ACCEPT允许
REJECT拒绝
DROP丢弃
-N增加链
-E修改链名称
-X删除链
-D删除指定策略
-I插入
-R修改策略
-P修改默认策略
-F   清除信息
-i 选择接口

3、参数示例

(1)默认查看filter表信息

命令:iptables -nL

(2)查看nat表信息

命令:iptables -t nat -nL

(3)保存iptable配置信息

命令:service iptables save

保存在/etc/sysconfig/iptables

(4)添加lo接口

命令:iptabels -t fileter -A INPUT -i lo -j ACCEPT

(5)允许ip172.25.254.112访问本机所有端口

命令:iptabels -t fileter -A INPUT -s 172.25.254.112 -j ACCEPT

(6)禁止ip172.25.254.112访问本机所有端口

命令:iptabels -t fileter -A INPUT -s 172.25.254.112 -j REJECT

(7)删除指定设置

命令:iptables -D INPUT 2  

数字为链中的序号

(8)修改指定设置

命令:iptables -R INPUT 2 -s172.25.254.112 -j ACCEPT

数字为链中的序号

(9)修改策略模式

命令:iptables -P INPUT DROP

INPUT为当前模式,DROP为修改后的模式

(10)增加链

命令:iptables -N admin

链名为admin

(11)删除链

命令:iptables -X admin

 

4、实现两个不同网段相互通信

远端主机作为路由端

ip分别为172.25.254.212/24,1.1.1.212/24

两台本地主机

ip1:172.25.254.12

ip2:1.1.1.112

(1)路由端测试

命令:sysctl -a | grep forward

查看net.ipv4.ip_forward(转发功能)是否开启

若没有开启编辑文件/etc/sysctl.conf

添加net.ipv4.ip_forward=1,接着执行命令sysctl -p读取文件

设置iptables中转发和伪装

命令:iptables -t nat -A PREROUTING  -i eth1 -j DNAT --to-dest 1.1.1.212

在NAT表中的PREROUTING链设置转发

命令:iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.212

在NAT表中的POSTROUTING链设置伪装

本地主机2设置网关

测试

Eskinlla
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux入门之防火墙的设定(firewalldiptables
qq_43830639的博客
06-04 462
一、防火墙 firewalld firewalld是一个动态防火墙后台程序,它提供了一个动态管理防火墙用于支持“zones”,以分配对一个网络及其相关链接和界面的一定程度的信任。它具备对IPv4和IPv6防火墙设置的支持。支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewall-config、sy...
linux——IptablesFirewalld防火墙
差一分先生的博客
03-15 367
8.1 防火墙管理工具 在RHEL 7系统中,firewalld防火墙取代了iptables防火墙iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 8.2 Iptables 8.2.1 策略与规则链 防火墙会从上至下的顺序来读取配置的策略规则,在找到...
Linux firewalld 防火墙使用
昭大人的博客
07-22 1255
Linux firewalld 防火墙使用
firewalld配置文件修改
寂寞的博客
08-15 1万+
网上大多数文章都是直接讲命令方式,很少讲直接通过配置文件修改,所以这里记录一下。 从命令执行结果查看配置文件变化。 开放端口 永久开放2个端口 firewall-cmd --permanent --zone=public --add-port=8080/tcp firewall-cmd --permanent --zone=public --add-port=80/tcp firewall-cmd --reload 在 /etc/firewalld/zones 下的 public.xml里: <?
Firewalld防火墙相关操作
javry的专栏
11-11 1494
在开机时启用一个服务:systemctl enable firewalld.service 在开机时禁用一个服务:systemctl disable firewalld.service 查看服务是否开机启动:systemctl is-enabled firewalld.service 查看已启动的服务列表:systemctl list-unit-files|grep enabled 查看启动失败的服务列表:systemctl --failed
linux的firewall配置命令
qq_17576885的博客
01-10 2854
firewall介绍 所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问自己的网络
Linux中的firewalld防火墙
even160941的博客
06-05 1230
Firewalld 概述 动态防火墙后台程序 firewalld 提供了一个动态管理防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IPv4 和 IPv6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序...
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要...
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
使用iptable和Firewalld工具来管理Linux防火墙连接规则
01-20
一方面,iptables管理Linux机器上防火墙规则的工具。 另一方面,firewalld也是管理Linux机器上防火墙规则的工具。 你对此有意见吗?如果我告诉你外面还有另一个工具,叫做nftable? 好吧,我承认整件事闻起来有点...
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalldLinux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍 CentOS 7 中的防火墙配置。 iptables ...
Linux下的防火墙管理(包含图形和命令、伪装和转发)
weixin_42566251的博客
06-06 1647
一、防火墙概述 1. 防火墙定义 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 防火墙是系统的第一道防线,其作用是防止非法用户的进入。 2. 防火墙分类 从结构上来分,防火墙有两种: 即代理主机结构和路由器+过滤器结构,后一...
firewall火墙策略
sarauo的博客
08-20 1273
firewall的基本zone分类drop 丢弃所有进入的包,而不给出任何响应block 拒绝所有外部发起的连接,允许内部发起的连接 public 允许指定的进入连接 external 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接诶 dmz 仅接受ssh服务连接 work 一般用于工作区域,仅接受ssh ipp-client samba-client dh
CentOS7 firewalld XML 定义策略
weixin_34363171的博客
08-25 909
在 CentOS 6 防火墙 iptables 是以 Rules 写在 Chain 建立规则然后给 kernel 去执行,每次重建规则必须先清除原有规则,这会导致既有连线中断。到 CentOS 7 之后改用 firewalld 以 zone 的区域分割观念来建立,并以动态设定方式执行避免中断的问题。请注意:不能同时执行 iptablesfirewalld 这会造成冲突错...
-bash: firewall: 未找到命令Error: INVALID_ZONE: =public解决方案
热门推荐
m0_64295612的博客
07-06 1万+
-bash: firewall: 未找到命令Error: INVALID_ZONE: =public解决方案,firewall-cmd --zone=public --add-port=1551/tcp --permanent
firewall-cmd命令:使用xml文件配置防火墙规则(附实战案例)
最新发布
XXxia1XX的博客
09-06 547
策略与区域策略制定流量之间的流动区域制定特定的信任级别,通常用于定义广泛的网络环境设置策略->设置区域->设置策略对象->设置策略筛选规则(对区域设置部分规则)创建策略与区域对策略创建规则对区域创建规则创建策略制定区域设置策略对象为全部流量设置策略为仅有http与httpd可以通过对区域内部配置隐式规则 允许该区域所有主机都可以发送https请求。
linux系统维护篇:firewall-cmd中放开、禁止、转发命令保姆级手把手教你用附带一个策略管理工具脚本让你丝般顺滑的放心操作
MarshalEagle的博客
11-02 6495
目录 1、查询端口放开策略 2、添加端口放开策略 2.1、所有来源均可访问 2.2、指定来源可访问 3、添加服务放开策略 4、添加端口禁止策略 5、删除端口策略 5.1、关闭已开放的端口 5.2、删除指定来源ip放开的端口 5.3、删除指定来源ip段,放开的端口范围 6、关闭firewall 7、简要参数字段解释 8、富规则语法 9、端口转发 10、自定义区域和服务 10.1 自定义的区域 10.2 自定义服务 预警:所有永久策略更改后,请执行重载命令使其生效,如....
Linux中的SELINUX介绍
zhandar44的博客
05-09 3653
1、什么是selinux? selinux作为内核型的加强性防火墙,提高对系统的安全保护,通过selinux对系统中的文件和资源添加标签,从而提高安全性 2、selinux安全级别 Disabled 不警告不拒绝 Enforcing...
防火墙firewalldiptables的关系,防火墙关闭后,iptables还有效吗
06-09
防火墙firewalldiptables都是Linux系统中常见的防火墙,二者在功能上有所重叠,但是实现方式和管理方式有所不同。firewalld是一个动态的防火墙管理工具,它使用D-Bus和Netlink协议与内核交互,支持动态添加、删除和修改规则,可以根据不同的网络环境和需求自动调整规则。而iptables是一个静态的防火墙管理工具,它使用内核提供的Netfilter框架实现,支持静态配置和管理,需要手动添加、删除和修改规则。 当防火墙firewalld关闭时,iptables仍然有效,因为iptables是基于内核Netfilter框架实现的。关闭防火墙只是停止了firewalld管理服务,而不会影响iptables规则的生效。但是,如果使用firewalld管理iptables规则,关闭firewalld后就不能再动态管理iptables规则了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值