第 8 章 网络安全与防火墙

一、iptables 的规则编写

1. 查看 filter 表的所有规则

代码：

[root@bogon ~]# iptables -nL

实操：

2. 查看 nat 表的所有规则

代码：

[root@bogon ~]# iptables -t nat -nL

实操：

3. 拒绝进入防火墙的所有 ICMP 协议数据包

代码：

[root@bogon ~]# iptables -I INPUT -p icmp -j REJECT
 

实操：

4. 向 filter 表插入一条新的入站规则，丢弃 192.168.74.134 主机发送给防火墙本机的所有数据包

代码：

[root@bogon ~]# iptables -A INPUT -s 192.168.74.134 -j DROP

实操：

5. 修改 filter 表中 INPUT 链的默认规则为接收数据包

代码：

[root@bogon ~]# iptables -t filter -P INPUT ACCEPT

实操：

6. 丢弃从外网接口 （ethl）进入防火墙本机的源地址为私网地址的数据包

代码：

[root@bogon ~]# iptables -A INPUT -i ethl -s 192.168.0.0/16 -j DROP
[root@bogon ~]# iptables -A INPUT -i ethl -s 172.16.0.0/12 -j DROP
[root@bogon ~]# iptables -A INPUT -i ethl -s 10.0.0.0/8 -j DROP

实操：

 

二、firewalld

1. firewalld 简介

查看 firewalld 服务状态

代码：

[root@bogon ~]# systemctl status firewalld
 

实操：

使用 systemctl 命令对 firewalld 服务进行关闭、重启、开机启动等管理

代码：

[root@bogon ~]# systemctl restart firewalld
[root@bogon ~]# systemctl stop firewalld
[root@bogon ~]# systemctl enable firewalld
[root@bogon ~]# systemctl disable firewalld
 

实操：

2. 命令行管理方式

查看 firewalld 服务当前所使用的区域

代码：

[root@bogon ~]# firewall-cmd --get-default-zone --verbose
 

实操：

查看当前区域的配置参数、资源、服务等信息

代码：

[root@bogon ~]# firewall-cmd --list-all

实操：

查看 public 区域是否允许 SSH 协议 和 FTP 协议的流量通过

代码：

[root@bogon ~]# firewall-cmd --zone=public --query-service=ssh
[root@bogon ~]# firewall-cmd --zone=public --query-service=ftp

实操：

将在 firewalld 服务中访问1024端口的流量设置为允许，即通常所说的开放端口。仅限当前有效

代码：

[root@bogon ~]# firewall-cmd --zone=public --add-port=1024/tcp
[root@bogon ~]# firewall-cmd --zone=public --list-port
 

实操：

配置一条件富规则：拒绝192.168.74.0/24网段的所有用户访问本机的ssh服务(22端口)

代码：

[root@bogon ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.74.0/24" service name="ssh" reject'

实操：

192.168.74.139 主机通过ssh服务连接本机时，会被拒绝