linux中firewall与iptables防火墙服务

火墙
firewall-cmd --state 查看火墙的状态
firewall-cmd --get-active-zones 目前所处的域
firewall-cmd --get-default-zone 查看默认的域
firewall-cmd --get-zones 查看所有的域

fiewall-cmd --zone=public ---list-all 查看pubic这个域里的具体信息

firewall-cmd --get-services 查看可以添加的服务
firewall-cmd --list-all-zones 查看所有域的具体信息
实验ji
firewall-cmd --set-default-zone=public 设置默认域为punblic

firewall-cmd --add-source=172.25.254.203 -zone=trusted                   此时对于172.25.254.203域为trusted就是完全信任
firewall-cmd --remove-source=172.25.254.203 --zone=trusted            移除这个设置

首先创建个新的网卡,配置成不同网段的ip新的接口eth1
firewall-cmd --remve-interface-eth1 --zone=public                            移除新的网卡的默认的public域
firewall-cmd --add-intreface=eth1 --zone=trusted                               把eth1的域设置为trusted
firewall-cmd --get-active-zones                                                           查看目前所处的域,会发现有两个

/etc/firewalld 系统默认的设置,可以修改
/lib/firewalld 系统所有的设置

firewall-cmd  --permanent  --add-port=8080/tcp
firewall-cmd  --add-service=http
也可以
vim /etc/firewalld/zones/public.xml  设置
而xml又取决于当前域的设置
 
无论以那种方式修改都需要重载。
firewall-cmd --reload 完成当前任务后重载

firewall-cmd --complete-reload 终止当前任务并重载
-----------------------
三表五链
firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.204 -p tcp --dport 22 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.204 -p tcp --deport 22 -j ACCEPT

地址转换

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.125

firewall-cmd --add-masquerade

firewall-cmd --list-all

firewall-cmd --add-masquerade

firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.103 masquerade

vim /etc/sysctl.conf

net.ipv4.ip_forward=1

客户端

设置ip为192.168.0.3,网关为192.168.0.103

在客户端通过ssh连接172.25.254.3,查看登陆172.25.254.3的用户为172.25.254.103

firewall-cmd --add-icmp=block=echo-request timeout=10

-----------------

iptables

iptables -nL       显示策略

iptables -F         清除策略

iptables -A INPUT -i lo -j ACCEPT

iptables  -A  INPUT  -i   lo  -j  ACCEPT

iptables -A INPUT -s 172.25.254.250 -j ACCEPT    ##添加

iptables -I INPUT 2 -s 172.25.254.250 -p tcp --dport 22 -j ACCEPT    ##插入

iptables -R INPUT 2 -s 172.25.254.250 -p tcp --dport 22 -j DROP    ##修改

iptables -D INPUT 2    ##删除

iptables -P INPUT DROP    ##修改默认策略

iptables -P INPUT DROP

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ##访问过的,正在访问的可以访问

iptables -A INPUT -i lo -m state --state NEW -j ACCEPT ##接受访问本地回环网络

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT    ##接受访问22端口

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT    ##接受访问80端口

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT    ##接受访问53端口

iptables -A INPUT -j REJECT    ##拒绝其他访问

创建新的链

iptables  -N  westos

更改链名

iptables  -E westos HELLO

删除链

iptables -X HELLO

原文地址:https://www.cnblogs.com/zhengyipengyou/p/9498748.html

时间: 2024-11-05 14:40:51

linux中firewall与iptables防火墙服务的相关文章

Linux下的配置iptables防火墙增强服务器安全

Linux下的配置iptables防火墙增强服务器安全 实验要求 iptables常见概念 iptables服务器安装及相关配置文件 实战:iptables使用方法 例1:使用iptables防火墙保护公司web服务器 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 例3:限制某些IP地址访问服务器 例4:使用DNAT功能把内网web服务器端口映射到路由器外网 实验环境 iptables服务端:xuegod-63   IP:192.168.1.63 iptables客户端:x

Linux -- 系统安全之Iptables防火墙(1)

Linux iptables防火墙介绍: 一.防火墙的概述 (一).防火墙的简介 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性.它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务.它可以根据网络传输的类型决定IP包是否可以传进或传出内部网. 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作.如果都不满足,则将数据

Linux中的堡垒--iptables

iptables的构成(四表五链)     表         filter:过滤数据包         nat :转换数据包的源或目标地址         mangle:用来mangle包,改变包的属性         raw:用来不让iptables做数据包的链接跟踪处理,主要是提高性能 *优先级:raw>mangle>nat>filter(请注意优先级) 链         INPUT:对进入主机的数据包进行修改         OUPTUT:从主机向外发送的数据包进行修改    

Linux -- 系统安全之Iptables防火墙(2)

一.iptables防水墙的实现方式及iptables命令的格式 iptables防火墙介绍 netfilter/iptables是Linux系统提供的一个非常优秀的防火墙工具,它完全免费.功能强大.使用灵活.占用系统资源少,可以对经过的数据进行非常细致的控制.本节首先介绍有关iptables防火墙的基本知识,包括netfilter框架.iptables防火墙结构与原理.iptables命令格式等内容. netfilter框架 Linux内核包含了一个强大的网络子系统,名为netfilter,它

Linux中的ftp文件传输服务

实验要求: 一.构建可匿名访问的ftp服务器 1.匿名用户能下载和上传文件到pub目录中. 2.本地用户登录ftp后禁锢在自己的宿主目录中,并禁止本人名账户访问ftp. 3.所有上传的文件都去除非宿主位读写权限,使用ftp命令验证效果. 二.构建虚拟用户服务器 1.添加benet.班级名.本人名三个虚拟账户. 2.Benet用户只允许下载文件,班级名账户可以下载上传文件,本人账户可以下载上传文件和目录并可以删除.修改文件和目录的名称. 3.服务器最多允许1000个并发连接,每个ip最多可以同时连

linux中手工编译安装httpd服务全操作过程

实验目的:使用手工编译的方式搭建httpd服务.有时候我真的很想吐槽51cto,因为我不知道好多人发表的一些关于自己的一些观点或者说是言论,为什么会有那么多的访问量,而我发表了42篇博客,每篇博客都是我一字一字打出来的关于实际操作的经验,为什么我上不了推荐博客?我实在不甘心... 实验步骤:共享源代码安装包.解压缩源代码内容../configure配置各种参数项.make编译.make install安装.然后就是配置httpd的主配置文件内容,下面是详细步骤. 首先是准备工作,如下图所示把这几

Linux中如何搭建一个ftp服务服务器-超详细

ftp工作是会启动两个通道: 控制通道 , 数据通道 在ftp协议中,控制连接均是由客户端发起的,而数据连接有两种模式:port模式(主动模式)和pasv(被动模式) PORT模式: 在客户端需要接收数据时,ftp_client(大于1024的随机端口)-PORT命令->ftp_server(21)  发送PORT命令,这个PORT命令包含了客户端是用什么端口来接收数据(大于1024的随机端口),在传送数据时,ftp_server将通过自己的TCP 20 端口和PORT中包含的端口建立新的连接来

linux中配合IS-IS搭建DHCP服务让客户机自动获取IP地址

实验目的:首先是配置上次发表IS-IS的部分配置过程,然后结合两台linux虚拟机,一台DHCP服务器,一台客户机,让客户机自动获取IP,使用DHCP给他保留的特定的IP地址,然后测试能够和另外一台添加的PC机互联互通. 实验过程:首先配置路由器的IP地址和IS-IS协议.RIP协议.并设置路由重分发. 然后配置linux-1的DHCP服务器以及配置文件. 然后配置linux-2的网卡参数为自动获取IP地址. 最后使用VPCS配置C1的IP地址测试和linux-2客户机的互通性.下面是详细过程.

基础运维:iptables防火墙入门到掌握

一.简介 IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统.如果 Linux 系统连接到因特网或 LAN.服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置.防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中.在数据包过滤表中,规则被分组放在我们所谓的链(chain)中.而netfilter/iptables IP