Linux防火墙之iptables和firewalld

最新推荐文章于 2024-09-07 22:31:22 发布
原创 最新推荐文章于 2024-09-07 22:31:22 发布 · 505 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维

本文详细介绍了iptables的规则优先级以及多个扩展模块的使用,包括iprange、string、time和connlimit等,用于实现地址范围匹配、字符串匹配、时间限制和连接数限制。此外,还讲解了iptables的端口转发功能以及如何在selinux和firewalld中进行相关配置,以增强服务器的安全性和网络管理。最后,提供了几个实际示例来演示如何应用这些规则。

iptables

优先级:raw>mangle>nat>filter

iptables扩展

使用 -m调用扩展,也可以用 !取反

iprange 指定范围

  - -src-range :源地址范围

  - -dst-range:目标地址范围

  iptables -I INPUT -p tcp -m iprange - -src-range 192.168.75.130-192.168.75.134 -j DROP

string 指定字符串

  - -algo :指定匹配算法,可选算法有bm和kmp

  - - string:指定要匹配的字符串。

iptables -I INPUT -m string - - algo bm - -string “mike” -j REJECT

time 指定时间

time模块使用OTC时间,而我们使用CST中国标准时间,东八区比UTC时间快8小时,因此要-8

  - -timestart :起始时间 格式 时:分:秒

  - - timestop:终止时间

  - -weekdays:用于指定星期几,也可以用数字表示

  - -monthdays;- -datestart;- -datestop

  iptables -A INPUT -p tcp  - -dport 80 -m time - -weekdays 3,5  - -timestart 08:00:00 - -timestop 09:00:00 -j REJECT         #周三和周五的0点到1点不允许访问80端口

connlimit 限制连接数量

不指定IP,则默认为每个客户端IP做出限制

  - -connlimit-above:限制连接上限

  - -connlimit-mask:按照网段限制连接上限

iptables -I INPUT -p tcp - -dport 22 -m connlimit - -connlimit-above 2 -j REJECT

#限制ssh登陆数为2个,超过则就拒绝

limit 限制速率

  - -limit :限制单位时间内流入的数据包的数量

  iptables -I INPUT -p icmp -m limit - -limit 10/min -j ACCEPT

#限制每分钟流入10个包

iptables之forward转发

把本机的80端口转发到另一台服务器的8080端口

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.75.134:8080

iptables -t nat -A POSTROUTING -p tcp -d 192.168.75.134 --dport 8080 -j SNAT --to 192.168.75.130

selinux的设置

配置文件:/etc/selinux/config

查看selinux的状态:getenforce 返回为enforcing,为开启;disabled为关闭

firewalld

查看防火墙状态:firewall-cmd - -state

重新加载配置:firewall-cmd - -reload

查看预设的服务:firewall-cmd - -get-services

查看:firewall-cmd - -list-all

添加服务:firewall-cmd - -zone=public - -add-service=http - -permanent

移除:- -add改为 - -remove

允许或拒绝端口:firewall-cmd - -zone=public - -add-port=80/tcp - -permanent

禁用一个网段:firewall-cmd - -add-source=192.168.75.1/24 - -zone=drop

实例:

##在同一个服务器上将80端口转发到8080端口

firewall-cmd - -zone=”public” - -add-forward-port=port:80:proto=tcp:toport=8080

##将当前服务器的80端口转发到另一台主机192.168.75.134的8080端口

(1)firewall-cmd - -zone=public - -add-masquerade

(2)firewall-cmd - -zone=”public” - -add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.75.134

丰富规则:

##拒绝来自192.168.75.134到22端口的IPV4的TVP数据

firewall-cmd - -zone=public- -add-rich-rule ‘rule family=”ipv4” source address=”192.168.75.134” port port=22 protocol=tcp reject’

学习record
关注
《网络安全自学教程》- Linux防火墙 firewalld&iptables
wangyuxiang946的博客
02-28 1万+
firewalld防火墙配置规则,firewalld常用命令,iptables防火墙工作原理,iptables四表五连,telnet端口不通思路
[RHCE 学习笔记]RedHat 防火墙服务iptablesfirewalld详解
Xiaoyintongxue1的博客
02-11 1253
基于RedHat9 整理的一篇关于RHCE红帽中级课程防火墙服务章节的学习笔记。详细讲解了防火墙软件iptablesfirewalld的工作原理基本语法、配置以及一些实验
linuxiptablesfirewalld防火墙
lm19770429的专栏
04-28 435
在公网与企业内网 之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对 穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应 用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策 略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在 企业内网外部公网之间流动了。 在 RHEL 7 系统中,fi...
iptablesfirewalld防火墙
sj199728的博客
04-24 883
iptables由四个表table五个链chain以及一些规则组成(SELinux也是一个表,但它是独立的,不在我们讨论的范围内)四表五链规则表的作用:容纳各种规则链规则链的作用:容纳各种防火墙规则总结:表里有链,链里有规则。
Linux中的火墙iptablesfirewalld
qq_46089299的博客
03-24 420
一、火墙介绍 定义:所谓“防火墙”是指一种将内部网公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术信息安全技术基础上的应用性安全技术,隔离技术。 功能:防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来...
firewalldiptables
wuxiaobingandbob的专栏
10-25 441
firewalldiptables https://www.jianshu.com/p/70f7efe3a227 不同Linux内核版本的防火墙软件 在设置 Linux 防火墙规则时,可以先用 uname  -r  查看一下 Linux 内核版本。   Firewalld 从Cent7以后,iptables服务的启动脚本已被忽略。请使用firewalld来取代iptables服务...
【网络安全领域】Linux防火墙详解:iptablesfirewalld配置及优化实践
最新发布
05-04
文中详细解析了iptablesfirewalld两种主要类型的Linux防火墙,前者基于内核的netfilter框架,后者引入了区域服务的概念,两者各有优劣,适用于不同的使用场景。最后,文章通过Web服务器、数据库服务器个人...
iptablesfirewalldLinux防火墙的进化之路
zgt_certificate的博客
07-07 1138
规则的更改不需要对整个防火墙规则列表进行重新加载,只需将变更部分保存并更新到运行中的iptables即可。不同区域之间的差异在于其对待数据包的默认行为不同。firewalld默认每个服务是拒绝的,需要手动设置才能放行。真正利用规则进行数据包过滤是由内核中的netfilter子系统负责。提供了一个daemonservice,还有命令行图形界面配置工具,它仅仅是替代了。: 需要修改规则并进行所有规则的重新加载。3. Firewalld区域(Zone)4. Firewalld区域默认策略规则。
Linux之Firewall防火墙iptablesfirewalld
日积月累
09-21 2837
防火墙概念 防火墙的核心是数据报文过滤 网络模块由内核实现,而过滤的实现必须在内核中,而用户是 无法直接访问内核,更别说把过滤规则放置到内核中,因此在TCP/IP协议栈上,选取了几个不同的位置,开放给用户空间的应用程序,该应用程序可以通过系统调用将规则发送到指定的内核位置。 工作流程:网口数据包由底层的网卡NIC接收,通过数据链路层的解包之后(去除数据链路帧头),就进入了TCP/IP协议栈 (本质就是一个处理网络数据包的内核驱动)Netfilter混合的数据包处理流程中了。数据包的接收、处理、转..
防火墙Firewalldiptables
2201_75444658的博客
08-01 1019
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
Linux系统的防火墙——firewalldiptables
kxbdys的博客
09-20 350
1、防火墙主要目的:防止外部黑客对内网的渗透对内网的攻击 2、防火墙匹配规:从上往下匹配,越往上的规则与策略优先级越高。 3、当防火墙的默认策略为拒绝时,就要设置允许规则,否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝策略,否则谁都可以进来。 4、firewalld支持动态更新技术并加入了区域的概念,用户可以根据生产环境的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。 5、 firewalld中常用的区域名称及策略规则 区域 ...
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 5234
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤限制,属于典型的包过滤防火墙或称作网络
Linuxiptables&firewalld学习与使用记录
冰之杍的博客
07-24 698
Linuxiptables&firewalld学习与使用记录[总体比较][Iptables]iptable工作数据流向图规则链规则表iptables的语法格式iptables使用及命令示例[Firewalld]firewalld的基本使用配置firewalld-cmdfirewalld的命令示例 [总体比较] 相同点: firewalldiptables 都是 linux防火墙的管理程序,他们的作用都是用于维护规则,而真正的防火墙执行者是位于内核中的netfilter,只不过fire
防火墙(Firewalld)与IPtables的关系
Robust_HU的博客
05-06 2025
防火墙(Firewalld)与IPtables的关系,ACL、firewalldiptables基本使用
Linux常用知识——防火墙iptablesfirewalld
全栈开发的博客
11-19 574
linux常用操作
Linuxiptablesfirewalld基础j解析
qq_38334677的博客
10-30 603
如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量。而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量。firewall-cmd --zone=public --list-port //查看当前的端口。--set-default-zone=|设置默认的区域,使其永久生效。--remove-service=|设置默认区域不再允许该服务的流量。
iptablesfirewalld防火墙区别
weixin_65857487的博客
12-27 1838
从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包 的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通 过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。也就是说,firewalldiptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。
linux防火墙firewalldiptables)_firewalld
2401_86358891的博客
09-07 2277
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)firewalld是配置监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供。
linux系统中的防火墙iptablesfirewalld)——firewalld
gd0306的博客
11-07 1238
防火墙 防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables centos7/redhat7已经默认使用firewalld作为防火墙,其使用的方式已经变化,基于iptables防火墙...
CentOS 系统有两种防火墙iptables firewalld。命令详情
08-09
CentOS 系统防火墙有两种:iptables firewalld。 1. iptables:是 Linux 内核的一部分,是一个防火墙管理工具。使用 iptables 命令管理防火墙规则。 2. firewalld:是一个防火墙管理工具,可以动态管理防火墙...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值