两种防火墙策略

于 2019-02-28 09:55:49 发布
阅读量3.4k 收藏 2
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/overman1/article/details/88014816

防火墙策略_firewalld##

#1.firewalld的网络区域

trusted 	##信任
home		##家庭
internal	##内部
work		##工作
public		##公共
external	##外部
dmz		    ##非军事区
block		##限制
drop		##丢弃

#2.使用命令行接口配置防火墙

firewall-cmd --state			                             ##查看火墙状态
firewall-cmd --get-active-zones		                         ##查看正在使用的区域
firewall-cmd --get-default-zone		                         ##查看所在的网络区域
firewall-cmd --get-zones	                                 ##查看所有网络区域
firewall-cmd --zone=public --list-all 	                     ##查看网络区域的详细信息
firewall-cmd --get-services		                             ##查看所有服务
firewall-cmd --list-all-zones		                         ##查看所有网络区域信息
firewall-cmd --set-default-zone=dmz	                         ##切换网络区域
firewall-cmd --zone=trusted --add-source=172.25.254.238	     ##指定238的网络区域为trusted
firewall-cmd --zone=trusted --remove-source=172.25.254.238	 ##移除238的网络区域为trusted
firewall-cmd --zone=trusted --add-interface=eth1           	 ##指定eth1的网络区域为trusted
firewall-cmd --zone=trusted --remove-interface=eth1          ##移除eth1的网络区域为trusted
firewall-cmd --reload		                                 ##重启但不会断开已连设备
firewall-cmd --complete-reload	                             ##完全重启会断开已连设备

#3.Direct Rules

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 1.1.1.138 -j ACCEPT		##只允许1.1.1.138可以使用ssh连接本机
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 1.1.1.138 -j ACCEPT	##移除只允许1.1.1.138可以使用岁时连接本机
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport ! 22 -s 1.1.1.138 -j ACCEPT	    ##除1.1.1.138以外的主机都可以使用ssh连接本机

firewall-cmd --direct --get-all-rules		##查询所设定的规则

#4.Rich Rules

firewall-cmd --permanent --add-masquerade	##防火墙伪装
firewall-cmd --permanent --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.200			    ##为主机显示真正连接的主机

防火墙策略_iptables##

#1.常用参数

iptables
		-t		  ##指定表名称
		-n		  ##不做解析
		-L		  ##列出指定表中策略
		-A		  ##增加策略
		-p		  ##网络协议
		--dport	  ##端口
		-s		  ##数据来源
		-j		  ##动作
		ACCEPT	  ##允许
		REJECT    ##拒绝
		DROP	  ##丢弃
		-N		  ##增加链
		-E		  ##修改链名称
		-X		  ##删除链
		-D 		  ##删除指定策略
		-I		  ##插入指定策略
		-R		  ##修改策略
		-P		  ##修改默认策略

iptables -nL			    ##查看所有表策略
iptables -t filter -nL		##查看filter表策略
iptables -F		        	##刷掉filter表中策略,当没用-t指明表时默认为filter表
service iptables save		##保留当前策略
iptables -t nat -A POSTROUTING -O eth0 -j SNAT --to-source 172.25.254.238		            ##防火墙伪装
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.138			##为主机显示真正连接的主机
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT		                    ##允许正在连接设备继续访问
iptables -A INPUT -m state --state NEW -p tcp --dport 445 -j ACCEPT		                    ##允许新连接的用户访问445端口(samba服务)
iptables -A INPUT -m state --state NEW -p tcp --dport 3260 -j ACCEPT		                ##允许新连接的用户访问3260端口(iscsi服务)
iptables -A INPUT -m state --state NEW -j REJECT				                            ##禁止新用户访问
overman.
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值