防火墙管理之firewalld,iptables

最新推荐文章于 2024-10-30 02:36:03 发布
原创 最新推荐文章于 2024-10-30 02:36:03 发布 · 666 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防火墙 #iptables #firewalld

本文深入探讨了防火墙在企业网络安全中的角色,对比了公网与内网的环境差异,详细解析了firewalld与iptables两种防火墙管理工具的配置方法、策略规则及操作命令,适合网络安全管理员和IT专业人士阅读。

相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙。虽然有软件或硬件之分,但主要功能都是依据 策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的 流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。

防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。
1)Netfilter:数据包过滤机制
2)TCP Wrappers:程序管理机制
关于数据包过滤机制有两个软件:firewalld与iptables

iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。 iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由 内核层面的nftables包过滤框架来处理。

firewalld

firewalld的配置方法主要有三种:firewall-config、firewall-cmd和直接编辑xml文件,其中 firewall-config是图形化工具,firewall-cmd是命令行工具。

firewall将配置文件存储再/usr/lib/firewalld 和/etc/firewalld中的各种XML文件中

1、安装firewalld

root执行 # yum install firewalld firewall-config

2、运行、停止、禁用firewalld

启动:# systemctl start  firewalld

查看状态:# systemctl status firewalld 或者 firewall-cmd --state

停止:# systemctl disable firewalld

禁用:# systemctl stop firewalld

systemctl mask firewalld

systemctl unmask firewalld

3.firewalld中常用的区域名称及策略规则

区域默认规则策略
trusted允许所有的数据包
home拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal等同于home区域
work拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量
external拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关

4.配置firewalld

查看版本:firewall-cmd --version

查看帮助:firewall-cmd --help

显示状态:firewall-cmd --state

查看区域信息: firewall-cmd --get-active-zones

查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0

拒绝所有包:firewall-cmd --panic-on

取消拒绝状态: firewall-cmd --panic-off

查看是否拒绝:firewall-cmd --query-panic

5.图形窗口改变端口

firewall-config          ##打开火墙的图形界面

Configuration :Runtime         ##暂时 permanent##永久 (每次火墙设定都要选择)
在这里插入图片描述

Options: Relood Firewalld      ##重启火墙(图形设定完退出之前重启)

Sercices ##火墙允许的资源

Ports:Add ##添加端口

Masquerading:Masquerade zone ##路由功能设置

6.命令行管理

firewall-cmd --state ##查看火墙当前状态

firewall-cmd --get-active-zones ##查看火墙当前生效的域

firewall-cmd --get-zones ##查看所有域

firewall-cmd --get-default-zone ##显示默认的域

firewall-cmd --ger-services ##列出系统当中用名称代表的服务

firewall-cmd --list-all ##显示火墙的规则

firewall-cmd --list-all-zones ##查看所有域的列表信息

firewall-cmd --list-all --zone=trusted ##显示trusted域的列表信息

firewall-cmd --zone=pubilc --list-all ##查看所有public域的信息

firewall-cmd -zone=block --list-all ##查看所有域block的信息  

7.文件方式更改火墙

/etc/firewalld/zones/public.xml ##火墙资源的配置文件
vim public.xml ##可手动添加资源

查看设备中所有服务器的信息文件
/usr/lib/firewalld/services/                   ##设备中所有设备的文件都是以xml格式结尾

iptables

1.理论基础:当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。

2.iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,iptables这款用户空间的软件可以在这5处地方写规则,对经过的数据包进行处理,规则一般的定义为“如果数据包头符合这样的条件,就这样处理数据包”。
iptables中定义有表,分别表示提供的功能,有filter表(实现包过滤)、nat表(实现网络地址转换)、mangle表(实现包修改)、raw表(实现数据跟踪),这些表具有一定的优先级:raw–>mangle–>nat–>filter 

iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:

在进行路由选择前处理数据包(PREROUTING);

处理流入的数据包(INPUT);

处理流出的数据包(OUTPUT);

处理转发的数据包(FORWARD);

在进行路由选择后处理数据包(POSTROUTING)

systemctl unmask iptables.service

systemctl start iptables.service ##iptables打开,firewall自动关闭

systemctl enable iptables.service

systemctl status iptables.service  


 

基本语法:iptables [-t 表] [操作命令] [链][规则匹配器][-j 目标动作]
参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d匹配目标地址
-i 网卡名称匹配从这块网卡流入的数据
-o 网卡名称匹配从这块网卡流出的数据
-p匹配协议,如TCP、UDP、ICMP
--dport num匹配目标端口号
--sport num匹配来源端口号

 

iptables -t (filter/nat/mangle) -nL #查看指定表(filter/nat/mangle)中的策略 -n参数存在时显示的是ip,没有的话是主机名

iptables -F #-F:删除指定表中所有规则

iptables -nL service iptables save #保存当前策略,保存了之后重启火墙策略重新出现 vim /etc/sysconfig/iptables #iptables的配置文件  

添加策略:

iptables -t filter -A INPUT -i lo -j ACCEPT

iptables -t filter -A INPUT -s 172.25.60.200 -j ACCEPT

iptables -t filter -A INPUT -s 172.25.60.200 -j REJECT 200主机可以访问,匹配到第二条

iptables -nL iptables -D INPUT 3 删除第三条

250不能访问本机,设置可以访问22端口
iptables -I INPUT 2 -s 172.25.60.250 -p tcp --dport 22 -j ACCEPT 必须放在REJECT前面才能匹配

 

 

###修改默认策略
iptables -P INPUT DROP  
iptables -P INPUT ACCEPT

[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 554
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
Firewalld防火墙基础
Huangzh1992的博客
01-08 939
理论 1)firewalld概述 防火墙是指设置在不同网络与网络安全域之间的一系列部件的组合,也是不同安全域之间的信息的唯一出口。通过检测、限制并更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息、结构和运行状态,且有选择地接受外部网络访问。在内外网之间架起一道屏障,以避免发生不可预知或潜在的入侵。 从传统意义上来说防火墙技术分为三类:包过滤(Packet Filtering)、应用代理...
firewalld管理方式
weixin_46268244的博客
07-01 522
1.firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewalld 2.关于firewalld的域 trusted 接受所有的网络连接 home 用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
CentOS7安装iptables防火墙禁用/停止自带的firewalld服务)
热门推荐
gaokcl的博客
09-30 3万+
使用背景: 1,CentOS7 默认的防火墙 不是iptables, 而是firewalle. 2,一些软件的端口号要放开来提供服务,如:22,80等常用端口 3,提供web服务的需要 使用步骤: 一,安装centos7,自行百度 二,centos7 基本配置,参考我的另一篇文章:https://blog.youkuaiyun.com/gaokcl/article/details/828349...
管理firewalld
浩瀚星辰
06-15 465
firewalld防火墙匹配规则: 1、如果传入包的源地址与区域的某个源地址规则设置相匹配,该包通过该区域进行路由; 2、如果包的传入接口与区域的过滤器设置相匹配,则将使用该区域; 3、否则将使用默认区域。 firewalld默认区域规则: 区域名称 默认配置 trusted 允许所有所有传入流量 home 除非与传出流量相关,或与ssh、mdns、ipp-client、samba-client或dhcpv6-client预定义服务匹配,否则拒绝传入流量 internal 除非与传出
将CentOS7上的防火墙firewalld改成iptables
weixin_34319374的博客
11-22 253
我们可以将firewalld改成iptables。操作如下: 1、关闭firewall: # systemctl stop firewalld.service # systemctl disable firewalld.service 或者systemctl mask firewalld.service 2、安装iptables防火墙 # s...
26_ 防火墙工具:Firewalldiptables 详解
Hui`s的博客
10-30 1233
Firewalld是一个动态防火墙管理工具,它提供了一个用户友好的界面来管理防火墙规则。它使用iptables作为后端来处理实际的规则,但提供了更高级的功能,如区域管理、服务和端口的动态添加等。iptables是一个功能强大的防火墙工具,它允许管理员通过定义一系列的规则来控制进出Linux系统的数据包。这些规则可以基于数据包的源地址、目的地址、端口号、协议类型等条件来设置。
防火墙Firewalldiptables
2201_75444658的博客
08-01 1049
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
防火墙工具Firewalldiptables轻松搞定
知识库总结、分享
05-29 1159
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
防火墙firewalldiptables
qq_16021247的博客
04-13 311
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptablesiptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制端口 Iptablesfirewalld只能...
Firewalld防火墙转换成Iptables
qq_40907977的博客
07-21 406
关闭及停止使用 firewalld: systemctl mask firewalld systemctl stop firewalld 安装iptables: yum install -y iptables-services 生效及iptables开机启动: systemctl enable iptables systemctl start iptables 查看是否开机启动和状态: systemctl list-unit-files|grep iptables systemctl statu
Linux运维之防火墙firewalld管理
qq_42303254的博客
12-13 640
一、防火墙的介绍 防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 (1)Netfilter:数据包过滤机制 (2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 二、firewalld介绍 动态防火墙后台程序 firewalld 提供了一个动态管理...
基于linux的firewalld管理
weixin_40172997的博客
12-20 680
Filewalld概述 Filewalld(动态防火墙)是redhat7系统中变更对于netfilter内核模块的管理工具,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 相较于传统的防火墙管理配置工具,firewalld...
基于linux下的firewalld管理
wangkana的博客
06-07 341
动态防火墙后台程序 firewalld 提供了一个 动态管理防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口 •系统提供了三种配置方法:(1)图像化的配置工具 firewa...
iptables防火墙策略(慎用)
weixin_39218464的博客
01-17 485
iptables防火墙策略 没事别搞这个,有腾讯云或者阿里云的安全组是一样的,慎用,我这刚用了所有端口被清空了,22号远程端口被断开通过vnc登录操作了一波 关闭 firewalld systemctl stop firewalld 安装 iptables-services yum -y install iptables-services 启动 iptables systemctl enable iptables 打开 iptables(重要) systemctl start iptables
Linux防火墙firewalld
vayneX的博客
09-11 327
一、什么是firewalld? 从CentOS7版本开始使用了firewall防火墙服务,7版本里有几种防火墙共存:firewalldiptables、ebtables,默认是使用firewalld管理netfilter子系统。firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用...
iptablesFirewalld防火墙的配置
self_discipline9的博客
10-30 460
一、Iptables 二、Firewalld
firewalld-防火墙相关设置
qq_35387367的博客
05-23 383
firewalld默认为拒绝其他ip访问 常用操作: systemctl status firewalld #查看防火墙状态 systemctl restart firewalld #开启/重启防火墙 firewall-cmd --reload #重新载入一下防火墙设置,使设置生效 systemctl stop firewalld #关闭防火墙 systemctl enable firewalld #开机自启防火墙 systemctl disable firewalld #开机不自启防火墙 开放/关闭/查询
firewalld iptables
最新发布
02-13
### FirewalldIptables的关系 FirewalldIptables 都用于管理 Linux 系统上的网络流量过滤。然而,在 CentOS 7 中,firewalld 成为了默认的动态防火墙守护进程[^2]。这意味着 firewalld 使用 iptables 来设置规则,但提供了更高级别的接口来简化这些操作。 #### 主要区别 - **实时配置**:Firewalld 支持运行时和永久性的更改,允许在网络连接期间调整策略而不重启服务。 - **区域概念**:引入了基于不同信任级别的多个区域(zone),使得定义复杂的访问控制更加直观。 - **命令工具差异**:虽然两者都可以通过命令行进行配置,但是使用的语法有所不同。对于 firewalld 而言,主要使用 `firewall-cmd` 工具来进行交互式管理和脚本化部署[^3]。 ### 如何配置端口转发或开放特定端口 当需要打开一个新的 TCP 或 UDP 端口范围时,可以按照如下方式执行: ```bash # 添加并保存新端口到公共区 firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp # 刷新配置使变更生效 firewall-cmd --reload ``` 验证已添加成功的端口号可以通过下面这条指令完成: ```bash firewall-cmd --zone=public --list-ports ``` 如果之后想要移除之前增加过的端口,则可采取以下措施: ```bash # 移除指定端口映射关系 firewall-cmd --zone=public --remove-port=8080-8081/tcp # 应用最新改动 firewall-cmd --reload ``` 以上过程展示了如何利用 firewalld 的特性轻松实现对入站流量的安全管控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值