第八章 iptables 与firewalld 防火墙 第8天 7月27日

  • iptables实际上也只是防火墙的配置工具而已。实际上,一个服务,如果可以称的上分析过滤流量,那么就可以称的上为防火墙。

    • iptables和内核的netfilter 网络过滤器来进行处理。
    • 基于的甄别信息?

      • 源目地址
      • 端口号
      • 协议
      • 应用
    • firewalld 交给内核层面的nftables包过滤框架来处理。
  • 策略以及规则链

    • 策略是由一条条规则组成的。
    • 规则链是一条条规则从上往下形成链条。防火墙识别规则从上往下识别,只匹配第一条符合的规则,其余放弃。
    • 两种基本策略。

      • 全部允许,就需要配置黑名单。
      • 全部拒绝,就需要配置白名单。
    • DROP和REJECT的区别。

      • DROP:直接抛弃,不返回相应。
      • REJECT:返回拒绝信息。
  • 防火墙根据规则链的不同处理包的方法如下

    • 在进行路由选择前处理数据包(PREROUTING);
    • 处理流入的数据包(INPUT);
    • 处理流出的数据包(OUTPUT);
    • 处理转发的数据包(FORWARD);
    • 在进行路由选择后处理数据包(POSTROUTING)。
  • Input规则链是最需要被控制的。

    • 当然在当前形式下,流出的包控制也很重要。
  • 包除了被防火墙识别外,还可以别防火墙操作。

    • Accept 接受
    • Reject 拒绝并回复
    • Drop 直接丢弃包
    • Log 记录日志信息
  • iptable的基本命令参数

    • 什么是四表五链?
    • iptables可以根据以下信息来进行匹配

      • 源地址
      • 目的地址
      • 传输协议
      • 服务类型
    • 防火墙策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。
  • 使用的基本命令

    • iptables -L 显示已有的防火墙规则链
    • iptables -F 清空已有的防火墙规则链
    • iptables -P INPUT DROP 把input的默认规则设置为丢包并拒绝。

      • 规则链的默认拒绝动作只能是DROP,而不能是REJECT。
    • iptables -I INPUT -p icmp -j ACCEPT 设置默认ping规则可以到达
    • iptables -D INPUT1 删除刚刚加入的ping规则,

      • iptables -P INPUT ACCEPT 并把默认策略改成允许
    • iptables -I INPUT -s 192.168.122.0/24 -p tcp --dport 22 -j ACCEPT 允许本机IP地址段访问本机的22端口

      • iptables -A INPUT -p tcp --dport 22 -j REJECT 并拒绝来自其他所有主机的流量
    • 一定要把允许流量放在拒绝的前面,要不然会无法访问。
    • iptables -I INPUT -p tcp --dport 12345 -j REJECT 添加拒绝所有人通过12345端口访问的规则

      • iptables -I INPUT -p udp --dport 12345 -j REJECT 潜台词,UDP和TCP是主要的两种流量
    • iptables -I INPUT -p tcp --dport 1000:1024 -j REJECT 添加拒绝地址访问某个端口段的信息

      • iptables -I INPUT -p udp --dport 1000:1024 -j REJECT 继续添加UDP
  • service iptables save

    • 永久保存,使防火墙策略生效
  • firewalld Dynamic Firewall Manager of Linux systems Linux系统动态防火墙管理器。

    • firewalld其中d有守护进程的意思。

      • 优势:
      • 动态更新
      • 区域技术 针对不同的区域,实现不同的策略
    • 针对生产环境的不同,实现不同的策略。设置好区域集合切换就可以了。
    • ?
      ?

    • 管理工具

      • 终端管理工具firewall-cmd是firewalld的CLI命令行界面版本。使用长命令。可以使用代码补全。
      • 代码补全很好用。TAB
      • 防火墙工具有两种模式

        • Runtime模式:当前生效模式,重启后失效。
        • Permanent模式:永久模式,重启后有效。使用方法,增加--permanent参数。

          • 但也只是重启后生效
          • 如何立即生效?使用 firewall-cmd --reload命令
      • 查询当前防火墙使用哪个区域?firewall-cmd --get-default-zone
      • 查询当前网卡在哪个区域里?firewall-cmd --get-zone-of-interface=virbr0
      • 更改当前网卡区域为external 

        • firewall-cmd --permanent --zone=external --change-interface=virbr0
        • 注意当前和永久的区域是不同的

          • firewall-cmd --get-zone-of-interface=virbr0
          • firewall-cmd --permanent --get-zone-of-interface=virbr0
      • 把firewalld服务当前默认设置为public

        • firewall-cmd --set-default-zone=public
        • firewall-cmd --get-default-zone
      • 启动/关闭防火墙的应急模式 慎用,会阻断一切链接

        • firewall-cmd --panic-on
        • firewall-cmd --panic-off
      • 查询区域public是否支持相应的流量

        • irewall-cmd --zone=public --query-service=ssh
        • firewall-cmd --zone=public --query-service=http
      • 把firewalld 服务中请求HTTPS 协议的流量设置为永久允许,并立即生效

        • firewall-cmd --zone=public --add-service=https
        • firewall-cmd --permanent --zone=public --add-service=https
        • firewall-cmd --reload
      • 把firewall服务中的http协议流量设置为永久拒绝,并立即生效。

        • firewall-cmd --permanent --zone=public --remove-service=http
        • firewall-cmd --reload
      • 把在firewalld 服务中访问8080 和8081 端口的流量策略设置为允许,但仅限当前生效.

        • firewall-cmd --zone=public --add-port=8080-8081/tcp
        • firewall-cmd --zone=public --list-ports 查看端口段。
      • 把原本访问本机888 端口的流量转发到22 端口,要且求当前和长期均有效:

        • 格式:firewall-cmd --permanent --zone=<区域> --add-forward-port=port= < 源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
        • firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.122.1
        • firewall-cmd --reload
    • firewall的富规格编辑。

      • 好处:可以针对系统服务,源端口,源地址和目标地址等诸多信息进行更有针对性的配置。优先级在所有的防火墙策略中也是最高的。
      • 拒绝192.168.10.0/24 网段的所有用户访问本机的ssh 服务(22 端口)

        • firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
    • 图形管理工具

      • firewall-config
      • ?
        ?

      • 在使用firewall-config 工具配置完防火墙策略之后,无须进行二次确认,因为只要有修改内容,它就自动进行保存。
    • SNAT Source Networt Address Translate

      • ·主要作用:地址转换,适合内网。
    • 服务访问控制列表

      • TCP Wrappers ,默认的流量监控程序,能根据来访的主机地址和目标的服务程序来作出允许或拒绝操作。

        Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP 协议的流量过滤工具,而TCP Wrappers 服务则是能允许或禁止Linux 系统提供服务的防火墙,从而在更高层面保护了Linux 系统的安全运行

        ?
        ?

      • 两个配置文件 /etc/hosts.allow /etc/hosts.deny

        • 先匹配allow,再匹配deny,如果两个都没匹配到,则默认放行。

        ?
        ?

原文地址:https://www.cnblogs.com/Black-cat0987/p/12064549.html

时间: 2024-11-29 09:02:10

第八章 iptables 与firewalld 防火墙 第8天 7月27日的相关文章

第7章 Iptables与Firewalld防火墙。

第7章 Iptables与Firewalld防火墙. Chapter7_听较强节奏的音乐能够让您更长时间的投入在学习中. <Linux就该这么学> 00:00/00:00 104:01 204:13 304:12 402:47 502:57 605:39 702:52 803:55 903:59 1003:59 1102:56 1203:44 1303:19 1403:08 章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall

第8章 Iptables与Firewalld防火墙

章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall-cmd与图形化工具firewall-config. 本章节基于数十个防火墙需求,使用规则策略完整演示对数据包的过滤.SNAT/SDAT技术.端口转发以及负载均衡等实验. 不光光学习iptables命令与firewalld服务,还新增了Tcp_wrappers防火墙服务小节,简单配置即可保证系统与服务的安全. 本章目录结构 [收起] 8.1 了解防火墙管理工具 8.2 Ipta

iptables 与 firewalld 防火墙

保障数据的安全性是继保障数据的可用性之后最为重要的一项工作.防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用. 1.防火墙管理工具 相较于企业内网,外部的公网环境更加恶劣,罪恶丛生.在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤.防火墙策略可以基于流量的源目地址.端口号.协议.应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃.

Nine Iptables与Firewalld防火墙

防火墙管理工具 防火墙策略可以基于流量的源目地址.端口号.协议.应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃.这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了. 在RHEL 7系统中,firewalld防火墙取代了iptables防火墙.iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务.iptables服务会把配置好的防

Iptables与Firewalld防火墙

首先Linux系统中配置IP地址方式:1.命令vim /etc/sysconfig/network-scripts/ifcfg-eno16777728下,修改网络属性,保存并退出即可.2.nmtui(类似DOS编辑器)中修改网络属性.3.命令nm-connection-editor(图形化界面)中编辑网络属性通过以上3种方法编辑好网络属性后,需要用命令systemctl restart network对网络服务进行重启.另外,通过图形界面可以设置.编辑好后,可以利用本机ping一下连通性. 防火

RHCE 第12节课 iptables与firewalld防火墙

firewalld是红帽RHEL7中默认支持的新一代防火墙管理工具,它是一种基于zone域的概念的防火墙,能做到根据不同的域来管理防火墙规则,根据不同的场景来应用.有两种配置方式,一种是CLI 一种是图形化界面,命令行的方式比较繁琐,需要多加练习. 原文地址:https://blog.51cto.com/12331786/2455545

linux学习8章-iptables与firewalld防火墙

2019年12月1日 配置网卡的4种方式 1.编辑网卡配置文件 vim /etc/sysconfig/network-soript/ifofg-eno..... 配置完后systemctl restart network重启网卡 2.nmrui (最小化安装推荐) RHEL5和RHEL6系统中使用 setup 命令 RHEL7系统中使用 nmtui 命令 3.nm-connection-editor (图形化界面) 4.小齿轮 (图形化界面) 原文地址:https://www.cnblogs.c

CentOS 7.0 关闭firewalld防火墙指令 及更换Iptables防火墙

CentOS 7.0 关闭firewalld防火墙指令 及更换Iptables防火墙 时间:2014-10-13 19:03:48  作者:哎丫丫  来源:哎丫丫数码网  查看:11761  评论:2 service firewalld stop 1. Disable Firewalld Service. [root@rhel-centos7-tejas-barot-linux ~]# systemctl mask firewalld 2. Stop Firewalld Service. [ro

防火墙iptables以及firewalld的用法

安全技术 入侵检测与管理系统(Intrusion Detection Systems)IDS:特点是不阻断任何网络访问,量化.定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措 施和安全决策依据.一般采用旁路部署方式 v 入侵防御系统(Intrusion Prevention System)IPS:以透明模式工作,分析数据包的内容如:溢出攻击.拒绝服务攻击.木马.蠕虫.系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全,一般采用在