iptables 与 firewalld 防火墙

2024-03-31 17:20

本文主要是介绍iptables 与 firewalld 防火墙,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

iptables

iptables 是一款基于命令行的防火墙策略管理工具

四种防火墙策略

ACCEPT(允许流量通过)
流量发送方会看到响应超时的提醒,但是流量发送方无法判断流量是被拒绝,还是接收方主机当前不在线
REJECT(拒绝流量通过)
流量发送方会看到端口不可达的响应
LOG (记录日志信息)
DROP(拒绝流量通过)

iptables 中常用的参数以及作用

-P
设置默认策略
-F
清空规则链
-L
查看规则链
-A
在规则链的末尾加入新规则
-I num
在规则链的头部加入新规则
-D num
删除某一条规则
-s
匹配来源地址 IP/MASK ,加叹号“ ! ”表示除这个 IP
-d
匹配目标地址
-i 网卡名称
匹配从这块网卡流入的数据
-o 网卡名称
匹配从这块网卡流出的数据
-p
匹配协议,如 TCP UDP ICMP
--dport num
匹配目标端口号
--sport num
匹配来源端口号

实验:

把INPUT规则链的默认策略设置为拒绝

[root@linuxprobe~]# iptables -P INPUT DROP

向INPUT链中添加允许ICMP流量进入的策略

[root@linuxprobe~]# iptables -I INPUT -p icmp -j ACCEPT

将INPUT链设置为只允许指定网段的主机访问本机的22端口

[root@linuxprobe~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe~]# iptables -A INPUT -p tcp --dport 22 -j REJECT

向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则

[root@linuxprobe~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
想让配置的防火墙策略永久生效,还要执行保存命令
[root@linuxprobe~]# iptables-save

firewalld

firewalld服务是默认的防火墙配置管理工具,它拥有 基于 CLI(命令行界面)和基于 GUI (图形用户界面)的两种管理方式。

firewalld 中常用的区域名称及策略规则

trusted
允许所有的数据包
home
拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh mdns ipp-client 、 smba-client、 dhcpv6-client 服务相关,则允许流量
internal
等同于 home 区域
work
拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh ipp-client dhcpv6-client 服务相关,则允许流量
public
拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh dhcpv6-client 服务相关, 则允许流量
external
拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh 服务相关,则允许流量
dmz
拒绝流入的流量,除非与流出的流量相关;而如果流量与 ssh 服务相关,则允许流量
block
拒绝流入的流量,除非与流出的流量相关
drop
拒绝流入的流量,除非与流出的流量相关

基于CLI(命令行界面)

firewall-cmd firewalld 防火墙配置管理工具的 CLI (命令行界面)版本,它的参数一般都是
以“长格式”来提供的。

firewall-cmd 命令中使用的参数以及作用

--get-default-zone
查询默认的区域名称
--set-default-zone=< 区域名称>
设置默认的区域,使其永久生效
--get-zones
显示可用的区域
--get-services
显示预先定义的服务
--get-active-zones
显示当前正在使用的区域与网卡名称
--add-source=
将源自此 IP 或子网的流量导向指定的区域
--remove-source=
不再将源自此 IP 或子网的流量导向某个指定区域
--add-interface=< 网卡名称>
将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>
将某个网卡与区域进行关联
--list-all
显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones
显示当前区域的网卡配置参数、资源、端口以及服务等信息
--add-service=< 服务名 >
设置默认区域允许该服务的流量
--add-port=< 端口号 / 协议 >
设置默认区域允许该端口的流量
--remove-service=< 服务名>
设置默认区域不再允许该服务的流量
--remove-port=< 端口号 / 协议>
设置默认区域不再允许该端口的流量
--reload
让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
--panic-on
开启应急状况模式
--panic-off
关闭应急状况模式
使用 firewalld 配置的防火墙策略默认为 运行时(Runtime)模式 ,又称为当前生效模式,而且会随着系统的重启而失效。如果想让 配置策略一直存在,就需要使用 永久(Permanent)模式 了,方法就是在用 firewall-cmd 命令 正常设置防火墙策略时添加--permanent 参数
Runtime:当前立即生效,重启后失效。
Permanent:当前不生效,重启后生效。

 实验

查看firewalld服务当前所使用的区域。

[root@linuxprobe~]# firewall-cmd --get-default-zone
public

查询指定网卡在firewalld服务中绑定的区域。

[root@linuxprobe~]# firewall-cmd --get-zone-of-interface=ens160
public

把网卡默认区域修改为external,并在系统重启后生效。

[root@linuxprobe~]# firewall-cmd --permanent --zone=external --change-interface=ens160
The interface is under control of NetworkManager, setting zone to 'external'.
success
[root@linuxprobe~]# firewall-cmd --permanent --get-zone-of-interface=ens160
external

把firewalld服务的默认区域设置为public。

[root@linuxprobe~]# firewall-cmd --set-default-zone=public
Warning: ZONE_ALREADY_SET: public
success
[root@linuxprobe~]# firewall-cmd --get-default-zone
public
[root@linuxprobe~]# firewall-cmd --get-zone-of-interface=ens160
externa

启动和关闭firewalld防火墙服务的应急状况模式。

[root@linuxprobe~]# firewall-cmd --panic-on
success
[root@linuxprobe~]# firewall-cmd --panic-off
success

查询SSH和HTTPS协议的流量是否允许放行。

[root@linuxprobe~]# firewall-cmd --zone=public --query-service=ssh
yes
[root@linuxprobe~]# firewall-cmd --zone=public --query-service=https
no

把HTTPS协议的流量设置为永久允许放行,并立即生效。

[root@linuxprobe~]# firewall-cmd --permanent --zone=public --add-service=https
success
[root@linuxprobe~]# firewall-cmd --zone=public --query-service=https
no

把HTTP协议的流量设置为永久拒绝,并立即生效。

[root@linuxprobe~]# firewall-cmd --permanent --zone=public --remove-service=http
Warning: NOT_ENABLED: http
success
[root@linuxprobe~]# firewall-cmd --reload
success

把访问8080和8081端口的流量策略设置为允许,但仅限当前生效。

[root@linuxprobe~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success
[root@linuxprobe~]# firewall-cmd --zone=public --list-ports
8080-8081/tcp

把原本访问本机888端口的流量转发到22端口,要且求当前和长期均有效。

firewall-cmd --permanent =-zone=<区域>,--add-forward-port=port=<源端口号>:proto=
<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@linuxprobe~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe~]# firewall-cmd --reload
success


富规则的设置

富规则也叫复规则,表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。
拒绝
192.168.10.0/24 网段的所有用户访问本机的 ssh 服务( 22 端口):
[root@linuxprobe~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe~]# firewall-cmd --reload
success
在客户端使用 ssh 命令尝试访问 192.168.10.10 主机的 ssh 服务( 22 端口):
[root@client A~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to '192.168.10.10' (port 22): Connection failed.

基于 GUI(图形用户界面)

firewall-config是 firewalld 防火墙配置管理工具的 GUI(图形用户界面)版本,几 乎可以实现所有以命令行来执行的操作

#yum install firewall-config   #下载工具
#firewall-config       #使用

linux系统中firewalld防火墙管理工具firewall-config:

http://t.csdnimg.cn/26a6yicon-default.png?t=N7T8http://t.csdnimg.cn/26a6y

这篇关于iptables 与 firewalld 防火墙的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/864882

相关文章

iptables持久化命令:netfilter-persistent save

在Linux上,使用netfilter-persistent命令可以保存iptables防火墙规则,确保它们在系统重启后仍然有效。以下是如何使用netfilter-persistent来保存iptables规则的步骤: 打开终端:首先,你需要打开Linux系统的终端。保存规则:使用netfilter-persistent save命令可以保存当前的iptables规则。这个命令会调用所有插件,将

【linux 防火墙设置】3条命令关闭linux防火墙

检查防火墙是否开启 firewall-cmd --state runing是防火墙运行中 如果 not runing的话不用次步骤 防火墙配置 说明:防火墙中有一个配置文件,表示当Linux系统启动时防火墙应该如何操作!!! 需求: 告诉linux系统以后开机不需要启动防火墙 命令: systemctl disable firewalld.service 手动关闭防火墙 说明:

Netfilter学习之NAT类型动态配置(六)全锥型NAT用户空间iptables命令行实现

本文主要实现全锥型NAT的用户空间iptables命令行扩展的实现,实现思路见上文,具体可以模仿MASQUERADE的源码进行改写。 1.关键部分实现代码   由于fullcone类型并不需要输入参数,因此parse可以为空,print和save也很简单,只需要help和结构注册两部分保证正确即可。   help如下: static void FULLCONE_help(void){

防火墙 会话表

先查找会话表项,然后再目的 NAT 转换,路由查找,包过滤规则,防火墙策略、应用层匹配规则,审计策略,最后查询源 NAT 从设备转发出去。 DPtech FW1000系列防火墙技术白皮书 - 技术白皮书 - 杭州迪普科技股份有限公司 防火墙通过会话表(Session Table)来跟踪和管理经过防火墙的所有连接会话。会话表项是防火墙用来记录每个连接状态的信息,帮助防火墙在后续的

防火墙三种模式(路由/透明/混合模式)不支持主备部署 P3

防火墙的三种部署模式(路由、透明、混合),哪种不支持主备部署 在防火墙的三种部署模式中,透明模式通常不可以支持主备部署,但在某些情况下,配置和实现可能比较复杂。具体是否支持主备部署,取决于防火墙的品牌和型号。 部署模式解释 路由模式: 防火墙作为三层设备,具有IP地址。支持主备部署,适用于大多数网络环境。 透明模式: 防火墙工作在二层,没有IP地址,像交换机一样转发流量。支持主备部署,

CentOS 6.5和CentOS7 防火墙关闭步骤

在关闭防火墙之前,首先要确定Linux环境下安装的系统版本。使用以下命令查看: CentOS6.5和CentOS7关闭防火墙步骤不同 centOS 6.5关闭防火墙步骤 关闭命令:  service iptables stop         永久关闭防火墙:chkconfig iptables off 两个命令同时运行,运行完成后查看防火墙关闭状态         service

iptables四表五链

netfilter/iptables netfilter是Linux内核中的一个框架,工作在网络层,用于处理ip数据包,iptables 则是一个命令行工具,通过与netfilter框架交互,实现对数据包的过滤和转发等操作 常见的UFW防火墙、firewalld防火墙都是基于iptables的,它们提供了更简单的管理iptables的rules的命令 Tables 表 filter 过滤

Centos 开放端口 查看 防火墙 ping telnet

centos中安装telnet yum install telnet   1、开放端口 firewall-cmd --zone=public --add-port=5672/tcp --permanent   # 开放5672端口 firewall-cmd --zone=public --remove-port=5672/tcp --permanent  #关闭5672端口 fir

Linux运维--Firewall防火墙命令以及规则等详解(全)

Linux运维–Firewall防火墙命令以及规则等详解(全) 在Linux系统中,你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具,而iptables是一个更底层的工具,可以直接配置Linux内核的防火墙规则。 在RHEL 6.9及更早版本中,使用的是iptables作为防火墙管理工具,而在RHEL 7及更新版本中则使

Linux防火墙问题排查记录

问题描述 在业务当中,开通了防火墙,导致外部数据无法通过SFTP服务访问本机的服务,根据防火墙策略判断,应该是有一些IP没有被加进accept策略导致的,所以需要查看防火墙日志来追溯哪些IP被过滤掉了,只要放通这些IP,理论上就可以解决这个问题。 问题解决 防火墙添加日志、增加日志配置、重启防火墙 通过命令 systemctl status firewalld 查看防火墙状态,这是可以看到