Linux 防火墙管理

最新推荐文章于 2025-08-08 20:58:41 发布
原创 最新推荐文章于 2025-08-08 20:58:41 发布 · 510 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

一些服务器设备必须暴露公网IP,很容易遭到攻击。配置硬件或软件防火墙,只开放可以访问的端口,拒绝其他不合法的IP的请求,包括端口扫描。甚至拒绝ping。将大大提升服务器的安全。

基本概念

典型的防火墙设置有两个网卡:一个流入,一个流出。iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。
通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下:
iptables [-t table] command [match] [target]

基本配置方案

1、最便捷最救急的方案
修改 /etc/sysconfig/iptables获得最基本的防火墙配置。把/etc/sysconfig/iptables修改为如下:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

意思是先拒绝所有INPUT和FORWARD,即输入和跳转,放开所有的OUTPUT,即往外发送数据时不做任何拦截,然后放开22、80、21、23端口。如果还需要对外开放数据库的访问,就把数据库的端口打开。

2、高级的个性化配置方案
利用iptables进行配置… 待续…

防火墙服务管理

关闭和启动防火墙服务:
1) 永久性生效,Linux系统重启后不会复原
开启: chkconfig iptables on
关闭: chkconfig iptables off
2) 即时生效,Linux系统重启后复原
开启: service iptables start
关闭: service iptables stop
3)查看当前防火墙的状态:
service iptables status
或者
iptables -L
4)保存配置让规则随系统启动
service iptables save
使用iptables修改防火墙配置如果没有保存,则在下次服务器重启的时候会丢失,所以需要这个命令保存。
5)配置文件
/etc/sysconfig/iptables
默认如下:

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

修改SHH端口号

rpm -qa|grep ssh   // 确认ssh有被安装
cd /etc/ssh
vi sshd_config
进入vi后键入:/Port 进行查找,查找到之后把光标移到这一行,键入 yy,然后Shift+p进行复制,出现如下两行,把其中一行的#号去掉,然后修改新端口号。
#Port 22
#Port 22
譬如修改为22123,设置好之后如下图,wq保存退出。
/etc/init.d/sshd restart  //  重启ssh
!注意自己的防火墙配置,端口变更后,防火墙也得变更。
最后自己的ssh客户端就可以试试新端口的连接了。
linux 防火墙配置规则
divlee的博客
08-27 5971
基础知识Linux系统内核内建了netfilter防火墙机制。Netfilter(数据包过滤机制),所谓的数据包过滤,就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的,效率常高。我们可以通过iptables命令来设置netfilter的过滤机制。i
LINUX防火墙(原书第3版).pdf
09-22
Linux防火墙的配置和管理也有许多工具,如iptables命令行工具、图形界面工具如FirewallD和UFW等。这些工具可以帮助用户更简单、更直观地管理防火墙规则Linux防火墙是一种常有效的网络安全工具,通过合理配置...
iptables 使用
weixin_34345560的博客
04-19 452
原文链接 本文介绍25个常用的iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 ipta...
linux防火墙iptables原理及使用
weixin_30629653的博客
06-13 427
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“...
linux防火墙iptables常用规则(屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链)
热门推荐
jamlin456的博客
09-15 1万+
一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 iptables的filter表中有三种链:INPUT, FORWARD和OUTPUT。默认的链策略是ACCEPT,你可以将它们设置成DROP。 iptables -P INPUT DROP iptables -P FORWARD DRO
Linux防火墙管理工具 — IPtables
AKA陈先生的博客
06-25 1564
IPtables的主要的工作模块netfilter,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;iptables是IPtables防火墙管理工具而已,真正实现防火墙功能的是netfilter,我们配置了iptables规则后,netfilter通过这些规则来进行防火墙过滤等操作。— 修改数据包内容,用来做流量整形的,给数据包设置标记。,直接操作Linux内核的netfilter子系统,针对IP数据包,体现在对包内的IP地址、端口等信息的处理上。
Linux防火墙管理
h294590501的专栏
06-13 1168
Linux防火墙管理防火墙类似于一个安全卫士管家,它能对你访问别人电脑, 别人访问你的电脑,进行拦截并处理,有的阻止,有的放行,有的转发。 ​ 在默认情况下,Linux系统的防火墙状态是打开的,已经启动, CentOS 7默认使用的是firewall作为防火墙。 用户根据需求在/etc/sysconfig/firewalld配置文件中来配置防火墙, 控制本机的“出、入”网络访问行为,其对行为的配置...
linux 防火墙管理-firewalld
wsuyixing的博客
02-26 1280
对 firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务作为防火墙配置管理工具。“firewalld”是firewall daemon。它提供了一个动态管理防火墙,带有一个常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。有命令行界面(CLI)和图形界面(GUI).这里主要讲解CLI方式。 本篇对firewalld的原理和操作进行概述
Linux防火墙管理HTTP和HTTPS流量
weixin_73725158的博客
11-11 561
例如,可以使用iptables-save命令将当前规则保存到文件中,或者使用iptables-persistent包来自动保存和恢复规则。综上所述,通过合理配置Linux防火墙规则,可以显著提高HTTP和HTTPS服务的安全性,保护服务器免受恶意访问和数据泄露的风险。在配置防火墙规则时,还可以考虑其他安全策略,如记录所有被拒绝的入站连接,以便于后续的安全审计和威胁分析。这些命令利用firewalld预定义的服务,永久性地允许HTTP和HTTPS服务通过,并在之后重新加载防火墙规则以应用更改。
Linux基础服务管理 防火墙
2301_76768069的博客
11-24 1030
今天的主要内容是防火墙命令供大家参考,更多内容将会为大家持续加载!!!
linux iptables 防火墙管理
lihui12356的博客
09-11 1236
硬件防火墙 ---------功能强大、性能好、但是成本高软件防火墙 ---------系统防火墙 iptables、firewalld、ufw(ubantu)iptables防火墙Linux系统防火墙的一种 Centos7以前版本系统的默认防火墙
基于WEB的LINUX防火墙管理系统的设计与实现.pdf
09-06
"基于WEB的LINUX防火墙管理系统的设计与实现" 本文主要介绍基于WEB的LINUX防火墙管理系统的设计与实现。该系统基于Linux内核的netfilter/iptables包过滤系统,旨在提供一个完善和强大的防火墙系统。然而,netfilter...
基于Web模式的Linux防火墙管理.pdf
09-06
基于Web模式的Linux防火墙管理.pdf
防火墙管理器::red_heart:Linux防火墙管理
02-09
防火墙管理器 产品特点 Linux强化 作者 姓名:Prajwal Koirala 网站: 学分 开源社区 执照 版权所有:copyright: 该项目是无牌的。
基于linux防火墙设计与实现-毕业设计
08-28
随着 Internet 的飞速发展,网络已是人类生活不可缺少的重要成分,信息时代给 人类的生活带来极大便利的...所以最终选择在 Linux 环境下基于 netfilter/iptables 防火墙设计技术实现 包过滤型软件防火墙的设计与应用。
Linux 下用select实现串口数据读取方法
luoqice的博客
08-08 257
Linux 系统里,我们可以借助selectpoll或者epoll这些 I/O 多路复用机制达成串口数据读取的触发方式。这些机制能够让程序在特定文件描述符(像串口设备文件描述符)有数据可读时得到通知,进而进行数据读取操作,而不是像轮询方式那样持续调用read函数。
LINUX 85 SHElL if else 前瞻 实例
czhc1140075663的博客
08-05 574
判断用户是否存在id userid $user变量。
linux-文件系统
最新发布
2501_92004703的博客
08-08 794
固态硬盘 ssd Solid State Drive --》容量小、速度快、价格高 --》高磁盘IO的生产环境 --》数据库 --》 6000MB/s。转速 —》光盘转动的速度 --》5400/7200 rpm -->rate per minute -->一分钟的转速 --》150MB/s左右。格式化会导致磁盘分区里的数据丢失 --》形成一个文件系统 --》一套管理分区空间的方法 --》软件 --》运行在内核里。跨文件系统(分区),不能创建硬链接 --》因为每个分区的inode编号是独立进行的。
搭建私有 Linux 镜像仓库
qq_31292011的博客
08-06 494
统一管理软件包版本,确保环境一致性。:减少外网带宽消耗,提升下载速度。:减少重复下载,节省带宽成本。:内网环境下的安全软件分发。:支持无外网环境的软件安装。
Linux防火墙管理与安全配置指南
本文将围绕Linux防火墙展开攻略,讲解其相关知识点。 Linux防火墙主要通过Netfilter和iptables来实现。Netfilter是Linux内核中的一个数据包过滤框架,而iptables则是一个用户空间的应用程序,它通过一系列规则来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值