千家信息网

请输入关键字词

热门搜索排行

最新搜索排行

导航: 首页 > 服务器 >

Linux防火墙与iptables

发表于:2025-02-06 作者:千家信息网编辑
千家信息网最后更新 2025年02月06日,Firewalld简介支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具支持IPv4、IPv6防火墙设置以及以太网桥支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式(1)运行时配
千家信息网最后更新 2025年02月06日Linux防火墙与iptables

Firewalld简介

  • 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具
  • 支持IPv4、IPv6防火墙设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式
    (1)运行时配置
    (2)永久配置

    netfilter
  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的"内核态"
    Friewalld/iptables
  • Centos7默认的管理防火墙规则的工具(Firewalld)
  • 称为Linux防火墙的"用户态"

Friewalld和iptables的区别

iptables
四表五链!!!(重要)
链就是位置:共有五个,进路由(PRUROUTING)、进系统(INPUT)、转发(FORWORD)、出系统(OUTPUT)、出路由(POSTROUTING);表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。
表当中包含多个链,链当中包含多个规则!
具体的四表:

  • filter表:过滤数据包
  • Nat表:用于网络地址转换(IP、端口)
  • Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
  • Raw表:决定数据包是否被状态跟踪机制处理
    具体的五链:
  • INPUT链:进来的数据包应用此规则链中的策略
  • OUTPUT链:外出的数据包应用此规则链中的策略
  • FORWARD链:转发数据包时应用此规则链中的策略
  • PREROUTING链:对数据包作路由选择前应用此链中的规则(所有的数据包进来的时候先有这个链处理)
  • POSTROUTING链:对数据包作路由选择前应用此链中的规则(所有的数据包出来的时候先有这个链处理)
    iptables 【-t 表名】选项 【链名】【条件】【-j 控制类型】
  • -p 设置默认策略:iptables
  • -P:INPUT (DROP|ACCEPT)
  • -F:清空规则链
  • -L:查看规则链
  • -A:在规则链的末尾加入新规则
  • -I:num 在规则链的头部加入新规则
  • -D:删除某一条规则
  • -s:匹配来源地址IP/MASK,加" !"表示除了这个ip外
  • -d:匹配目标地址
  • -i:网卡名称 匹配从这块网卡流入的数据
  • -o:网卡名称 匹配从这块网卡流出的数据
  • -p:匹配协议如tcp、udp、icmp
  • --dport num 匹配目标端口号
  • --sport num 匹配来源端口号

    默认的所有端口存放在public区域中。
    访问权限由高到低。高权限访问低权限。


运行时配置

  • 实时生效,并持续至firewalld重新启动或重新加载配置
  • 不中断先有连接
  • 不能修改服务配置
    永久配置
  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

    图形化界面操作不做过多介绍,字符界面操作:
    [root@localhost~]#systemctl 选项 firewalld选项:start stop restart status

    防火墙管理操作

  • firewall-cmd命令
  • 支持全部防火墙特性
  • 对于状态和查询模式,命令只返回状态,没有其他输出
  • --permanent参数:携带该参数表示永久配置,否则表示运行时配置
  • [--zone=]选项:不携带此选项表示针对默认区域操作,否则针对指定区域操作
    查询Firewalld状态
    systemctl status firewalld

    firewall-cmd-reload重新加载firewalld的配置

    显示网络连接或接口的默认区域

    firewall-cmd --get-default-zone


    设置网络连接或接口的默认区域为internal

    firewall-cmd --set-default-zone=internal


    显示已激活的所有区域

    firewall-cmd --get-active-zones


    显示ens33接口绑定的区域

    firewall-cmd --get-zone-of-interface=ens33


    为ens33接口绑定work区域

    firewall-cmd --zone=work --add-interface=ens33


    为work区域更改啊绑定的网络接口ens33

    firewall-cmd --zone=work --change-interface=ens33

    为work区域删除绑定的网络接口ens33

    firewall-cmd --zone=work --remove-interface=ens33

    显示左右区域及规则

    firewall-cmd --list-all-zones

    显示internal区域的所有规则

    firewall-cmd ---zones=internal --list-all

    现在默认区域的所有规则

    firewall-cmd --list-all





很赞哦!
规则 区域 数据 配置 防火墙 防火 接口 网络 应用 路由 状态 策略 网卡 支持 服务 地址 权限 永久 处理 查询 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 网络安全小妙招幼儿 张江科技互联网研发 网络安全挑战赛时间 什么叫服务器优化 本地服务器和云服务器哪个安全 谨防网络安全怎么做PPT 软件开发的资格证书 势行软件开发有限公司 数据库配置文件表 光猫移动华为怎幺改成打印服务器 甘肃网络安全等级保护网 hp塔式服务器维修报价 网络安全手抄宝贝 新教育和网络安全 诺亚方舟海贼王服务器 nba2k22服务器怎么样 网络安全证书文案励志 git如何设置服务器 安卓软件开发规范 互联网科技让人类越来越懒 顺义区加工软件开发怎么样 荆州百事通网络技术服务 菏泽网络安全等级 少数民族软件开发政策 我的世界服务器活跃度指令 湖北绿色软件开发 链接至官方任意服务器失败 日程管理数据库设计 网络安全执法的案例 网络安全的保护方法

相关文章

0