firewalld & iptables

最新推荐文章于 2024-10-30 02:36:03 发布
最新推荐文章于 2024-10-30 02:36:03 发布
阅读量189 收藏
点赞数
分类专栏: linux系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40388650/article/details/78707741
版权
本文介绍了Firewalld防火墙的不同区域及其配置方法,包括常见命令和实验示例。同时,还深入探讨了Iptables的工作原理、规则组成及常用命令,提供部署指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

firewalld==============================================================

zone:
丢弃 drop
任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
阻塞 block
任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。
公开 public
用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
外部 external
用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
隔离区dmz
用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。
工作 work
用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
家庭 home
用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
内部 internal
用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
受信任的 trusted
允许所有网络连接。

===================================================================
火墙的安装与启用

yum install firewalld firewall-config-y
systemctl start firewalld
systemctl enable firewalld

firewalld常见命令=========================================================

firewall-config &           #打开图形界面
firewall-cmd --list-all         #可监控

firewall-cmd --state            #查看火墙状态
firewall-cmd --get-active-zones     #查看当前活动的区域,附带接口列表
firewall-cmd --get-default-zone     #查看默认区域
firewall-cmd --get-zones        #所有可开启的区域
firewall-cmd --zone=public --list-all   #列出区域下的详细信息
firewall-cmd --get-services     #区域下的所有服务
firewall-cmd --list-all-zones       #全部区域的详细信息
firewall-cmd --set-default-zone=... #修改状态

===================================================================
实验:

firewall-cmd --add-source=172.25.254.102 --zone=trusted         #102过来的数据包trisetd全部信任
firewall-cmd --permanent --remove-interface=eth1 --zone=success     #eth1 从succes上移除
firewall-cmd --permanent --add-interface=eth1 --zone=...            #把eth1安装上...

这里写图片描述

添加火墙策略查看策略是否添加成功
这里写图片描述
这里写图片描述

把eth1网卡从public(公开)网络上移除放到block(阻塞网络任何网络连接都拒绝,因此只要是想访问eth1的网络的话都会被拒绝)
这里写图片描述
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

firewall-cmd --zone=public --add-service=http               #在public上添加http服务(临时添加)
firewall-cmd --permanent --zone=public --add-service=http       #永久添加
firewall-cmd --permanent --zone=public --remove-service=http        #删除public上http服务(永久)

这里写图片描述

这里写图片描述

这里写图片描述

想要永久添加的话只用加–permanent就可以了

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

firewall-cmd --permanent --add-source=172.25.254.1 --zone=block     
firewall-cmd --reload                           #不中断连接
firewall-cmd --complete-reload                      #中断所有连接从新加载火墙策略

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

firewall-cmd --direct --get-all-rules           #查看策略
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.102 -p tcp --dport 22 -j REJECT
                            |      |   |                   |          |          |
                      表里添加   第一个端口       协议     端口号       拒绝

这里写图片描述
这里写图片描述
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.27        #谁连我主机我把他转到27
firewall-cmd --add -masquerade                                  #开启伪装

这里写图片描述

iptables==============================================================

一、iptables:将规则组成一个列表,实现绝对详细的访问控制功能。其实就是一个定义规则的工具,让在内核空间当中的netfilter(网络过滤器)读取这些规则。从而实现防火墙功能。
监控路径:
1).内核空间中:从一个网络接口进来,到另一个网络接口去的
2).数据包从内核流入用户空间的
3).数据包从用户空间流出的
4).进入/离开本机的外网接口
5).进入/离开本机的内网接口
二、netfilter是Linux操作系统核心层内部的一个数据模块。
三、Hook point (5条链)
数据包在Netfilter中的挂载点。数据包在网络层会经过挂载点,就有机会对数据包做操作处理。
四、规则组成
四张表+五张链+规则
这里写图片描述
1.Iptables中的4表5链:
4张表:filter表(过滤)、nat表(修改源、目标或端口)、mangle表(标记)、raw表(状态跟踪)
5条链:PRE_ROUTING(路由前)、INPUT(数据包流入口)、FORWARD(转发关卡)、OUTPUT(数据包流出口)、POST_ROUTING(路由后)
2.规则:
数据包访问控制:ACCEPT、DROP、REJECT、LOG
数据包改写:SNAT、DNAT
五、iptables命令(规则)
1.iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
这里写图片描述
-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT)
-F 清空规则链
-L 查看规则链(列出已有规则)(-n 显示IP数字 默认会反向解析成域名)
-A 在规则链末尾加新规则
-I INPUT/… num 在规则链头部加入新规则
-D INPUT/… num 删除某一规则
-s 匹配来源地址IP/MASK(!取反)
-d 匹配目标地址
-i 网卡名 匹配从这块网卡流入的数据
-o 网卡名 匹配从这块网卡流出的数据
-p 匹配协议(tcp,udp,icmp)
–dport num 匹配目标端口
–sport num 匹配来源端口
注:
1.没指定规则表默认为filter表
2.不指定规则链则指表内所有规则链
3.匹配会按照顺序(由上往下)匹配规则,保证允许规则在拒绝规则之上
4.iptables执行规则策略仅当前生效,永久生效执行service iptables save(/etc/sysconfig/iptables)
5.设置默认的策略(iptables -L 命令显示 policy里面的默认策略的”ACCEPT” 一般不要用-P命令行来改 远程登录改后会直接掉线)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
部署iptables

yum install iptables-services.x86_64 -y
systemctl stop firewalld.service 
systemctl disable firewalld.service 
systemctl start iptables.service 
systemctl enable iptables.service 
/etc/sysconfig/iptables             #策略文件

===================================================================

iptables -t filter  -nL             #查看火墙策略
iptables -F                     #临时刷掉所有策略
service iptables save               #保存策略
iptavles -A INPUT -i lo -j ACCEPT
iptables -D INPUT 4             #删除第四条
iptables -N westos              #新建策略表格
iptables -E westos linux            #改变策略表格名字
iptables -X linux               #删除表格
-P                      #策略
-p                      #协议
-I                      #插入
-j                      #动作接受还是拒绝
-R                      #修改
-s                      #数据来源
--dport                             
--sport
-o                      #出
-i                      #进
-m                      #状态
-A                      #添加

===================================================================

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -j REJECT
iptables -nL

这里写图片描述

===================================================================

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.101
iptables -t nat -nL
域用户更改密码提示拒绝访问_AD域中的ACL攻防探索
weixin_39562615的博客
11-23 3561
前言关于域内ACL的攻防近两年经常被人所提起,同时也产生了很多关于域内ACL相关的工具攻击方式,本文将会从ACL的概念谈起,然后介绍几种不同的域内攻击方式以及如何监测防御对于ACL的攻击。ACL的概念作用ACM:首先想要了解ACL首先需要了解Access Control Model(访问控制模型),根据官网(https://docs.microsoft.com/zh-cn/wind...
防火墙Firewalldiptables
2201_75444658的博客
08-01 878
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
Win7 iisreset访问被拒绝的解决办法
学留痕
02-28 3506
Windows7系统在执行IISRESET时,抛错“访问被拒绝,必须是该远程计算机的管理员才能使用此命令。请将您的用户名添加到该远程计算机的管理员本地组或者域管理员全局组中。”下面提供两种解决win7系统iisreset访问拒绝的方法: 抛弃创建用户法       直接启用administrator用户,用administrator登陆,直接使用该用户操作,抛弃自己在win7系统里面创建的
PDA访问web service时,“无法连接到远程服务器”问题的解决方法
wangygang的专栏
11-11 1万+
VS2005/2008环境下,PDA的地址栏里输入服务名(在pda的IE地址栏里输入web service下service.asmx,如http://localhost/webservice/service.asmx),运行结果正常。但访问web service本地SQL Server,结果出现异常:无法连接到远程服务器。  主要信息:未处理的“System.<span class="t_tag
phpMyAdmin访问被拒绝!
丫头的博客
07-26 1万+
浏览器中访问phpMyAdmin提示“访问被拒绝!”
26_ 防火墙工具:Firewalld iptables 详解
最新发布
Hui`s的博客
10-30 1070
Firewalld是一个动态防火墙管理工具,它提供了一个用户友好的界面来管理防火墙规则。它使用iptables作为后端来处理实际的规则,但提供了更高级的功能,如区域管理、服务端口的动态添加等。iptables是一个功能强大的防火墙工具,它允许管理员通过定义一系列的规则来控制进出Linux系统的数据包。这些规则可以基于数据包的源地址、目的地址、端口号、协议类型等条件来设置。
防火墙工具Firewalld iptables轻松搞定
知识库总结、分享
05-29 1072
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufwfirewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
iptables & firewalld & nat转发 & ssh其它功能
weixin_43690636的博客
08-09 800
1、firewalldiptables的区别 在centos7下默认使用的是firewalld,但是在工作中,大多是时间用到的是iptables,所以推荐使用iptables iptables默认每个服务都是开启的,需要拒绝才能限制;firewalld默认每个服务都是拒绝的,需要设置才能开放 iptables 服务在 /etc/sysconfig/iptables 中储存配置;而 FirewallD 将配置储存在 /usr/lib/firewalld/ /etc/firewalld/ 中的各种 XML
【130】Linux 中防火墙firewalldiptables的启动与关闭
小麦粒的Python
08-13 1723
Linux 中防火墙firewalldiptables详解 Firewalld是Linux系统自带的防火墙工具,通过管理Firewalld可以实现对netfilter进行...
配置错误 访问被拒绝 解决方案
XIZI1312的博客
10-18 1157
昨天把前一段时间写的WEB程序更新部分发给了客户,客户更新以后,发现整站报错,提示“配置错误 访问被拒绝”。在网上google了一下,发现又搜回博客园了,呵呵! 转载如下: 感谢乔本生涯 原地址在http://qiao198.cnblogs.com/archive/2005/08/11/212246.html 经常遇到这种问题,而且...
ssh 连接访问被拒绝
热门推荐
weixin_41533604的博客
08-09 3万+
问题描述: 使用ssh连接ubuntu主机报错 我的是想要将秘钥拷贝到目标主机 ssh-copy-id -i ~/.ssh/id_rsa.pub xxx@192.168.205.151 报错: ssh: connect to host 192.168.1.100 port 22: Connection refused   问题解决: 分析:     可能是因为主句没有安装open...
ADM打不开/data,或打开后无法导出里面的文件
slow_time的博客
09-12 3516
Mac下,启动终端,进入sdk的安装目录(下面这个路径时默认的,如果你安装Andoird Studio的时候没有修改的话) cd ~/Library/Android/sdk cd platform-tools ./adb root 执行完这三条命令后,ADM就会以root执行了,就能解决上述两个问题
操作文件访问被拒绝的解决办法
也许有错 专栏
12-13 3713
 对硬盘是用NTFS格式化的,操作文件时会被拒绝访问,可以用下面方法解决(如果用 FAT32 一般不会出现这种情况)选择站点文件夹在安全选项卡添加 Authenticated Users 用户,并且设置允许 修改写入这样问题就可以解决了 
文件夹访问被拒绝,您需要权限来执行操作
ETERNITY_neu的博客
01-15 1万+
      首先我描述一下我出现这个问题的原因,我出现相同错误的可以试试。我的有两台电脑,MacWindows,移动硬盘在插上Mac的时候出现了无法识别的情况,然后直接热插拔之后再Windows上进行了修复,然后每个文件夹就都提示“文件夹访问被拒绝,您需要权限来执行操作”       上网上查找了很多的办法,说添加其他的用户可以解决问题,虽然可以访问了,但每次都会询问还是很烦的。 问题解决...
AD 一般性访问拒绝
weixin_30627381的博客
09-14 299
一看就是权限不够了。 在LDAP访问时,加上用户名、密码。 给相应的用户赋权:在ad的管理控制台上右击。添加委派,选定相应用户,选定权限。 OK 转载于:https://www.cnblogs.com/jamin/archive/2011/09/14/2176383.html...
firewalldiptables
06-15
Firewalldiptables都是Linux系统中用于网络访问控制防火墙配置的工具,但它们属于不同的时代技术栈。 **1. Iptables**: - Iptables是早期Linux内核自带的一种动态包过滤防火墙,它是基于netfilter框架的。 -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值