建设工程申报系统网站,做网站的主要内容,石家庄搭建公司,清河网站建设设计费用目录
防火墙基本概念
Iptables讲解
Iptables表
Iptables规则链
Iptables控制类型
Iptables命令配置
firewalld讲解
Firewalld区域概念
Firewalld两种配置方法
firewall-cmd命令行基础配置
firewall-config图形化配置 防火墙基本概念 防火墙就是根据系统管理员设定的…目录
防火墙基本概念
Iptables讲解
Iptables表
Iptables规则链
Iptables控制类型
Iptables命令配置
firewalld讲解
Firewalld区域概念
Firewalld两种配置方法
firewall-cmd命令行基础配置
firewall-config图形化配置 防火墙基本概念 防火墙就是根据系统管理员设定的规则来控制数据包的进出主要是保护内网的安全 目前Linux系统的防火墙类型主要有两种分别是iptables和firewalld Iptables-静态防火墙 早期的Linux系统中默认使用的是iptables防火墙配置文件在/etc/sysconfig/iptables 主要工作在网络层 使用链式规则只可以过滤互联网的数据包无法过滤从内网到内网的数据包 Iptables只可以通过命令行进行配置 Iptables默认是允许所有需要通过拒绝去做限制 Iptables在修改了规则之后必须得全部刷新才可以生效还会丢失连接无法守护进程 Firewalld-动态防火墙 取代了之前的iptables防火墙配置文件在/usr/lib/firewalld和/etc/fiewalld中 主要工作在网络层 新增区域概念不仅可以过滤互联网的数据包也可以过滤内网的数据包 Firewalld不仅可以通过命令行进行配置也可以通过图形化界面配置 Firewalld默认是拒绝所有需要通过允许去放行 Firewalld可以动态修改单条规则动态管理规则集允许更新规则而不破环现有会话和连接可以守护进程 注意事项 iptables和firewaldl都只是linux防火墙的管理程序真正的防火墙执行者是位于内核的netfilter只不过firwalld和iptables的结果以及使用方法不一样 在配置防火墙时不建议两种配置方法结合使用建议只使用其中的一种 Iptables讲解
Iptables配置防火墙依靠四个部分实现表、规则链、规则匹配条件、控制类型组成
Iptables表 处理优先级由高到低表与表之间都是独立的 raw表 是否对某个数据包进行状态追踪包含OUTPUT、PREAUTING两个规则链 mangle表 修改数据包内容可以做流量整形、对数据包设置标记包含所有规则链 nat表 负责地址转换功能修改数据包中的源目IP地址或端口包含IN、OU、PR、PO三个规则链 filter表 负责过滤数据包对数据包时允许放行还是不允许放行包含IN、OU、FO三个规则链 Iptables规则链 什么是规则链 很多个规则组成一个规则链 数据包从上往下做匹配匹配成功就结束匹配并执行相应的控制类型建议需要将精准的策略放在上面 规则链类型 INPUT 处理入站的数据包处理目标是本机的数据包 OUTPUT 处理出站的数据包处理源是本机的数据包一般不在此链上做规则 PREROUTING 在进行路由选择前处理数据包一般用来做NAT Server POSTROUTING 在进行路由选择后处理数据包一般用来做源NAT FORWARD 处理转发的数据包处理经过本机的数据包 Iptables控制类型 ACCEPT 允许数据包通过 DROP 丢弃数据包不给对方回应一般工作时用这个 REJCET 拒绝数据包通过会给对方回应对方知道自己被拒绝 SNAT 修改数据包的源地址 DNAT 修改数据包的目的地址 MASQUERADE 伪装程一个非固定的公网IP地址 LOG 在/var/log/messages文件中记录日志信息然后将数据包传递给下一条规则 数据包到达防火墙根据下图进行匹配 iptables进行数据处理关心的是四表五链以及流量的进出 Iptables命令配置 配置iptables防火墙时需要将防火墙服务开启 systemctl start firewalld 开启防火墙 systemctl status firewalld 查看防火墙状态 Iptables命令查看防火墙 iptables -nL -t nat 查看nat表的规则链 -n 使用数字形式显示输出结果如通过IP地址 -L 查看当前防火墙有哪些策略 -t 指定查看iptables的哪个表默认是filter表 Iptables命令配置防火墙 iptables -P INPUT DROP 将INPUT规则链的默认流量更改为拒绝 -P 设置/修改默认策略 iptables -t filter -I INPUT -s 192.168.10.0/24 -j ACCEPT 在filter表下的INPUT规则链中配置规则 -I num 插入规则大写i默认在链的开头加入规则可以指定序号 -i 从这块网卡流入的数据 -o 从这块网卡流出的数据 -s 源地址加表示取反 -d 目的地址 -j 限制动作 iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT 拒绝 tcp端口号为1000~1024的数据包 -A 在链的末尾加入规则 -p 指定协议类型 --sport 源端口 --dport 目的端口 iptables -D INPUT 1 删除INPUT规则链的第一条规则 -D num 删除规则链 -R 修改规则 iptables -F 清空已有的策略 iptables-save 来保存防火墙策略 注意事项 当创建的规则内容与已有规则一致时不会覆盖原先的规则会直接加入到现有规则链中即此时此规则链下有两条一摸一样的规则只是顺序不同 以上关于防火墙的配置是runtime模式即配置成功后立即生效但是重启后会失效需要将配置保存重启后才不会失效 firewalld讲解
frewalld是服务名称firewall-cmd和firewall-config是配置工具名称
firewall-cmd 基于命令行配置
firewall-config基于图形化界面配置这两个配置方式实时同步
Firewalld区域概念 默认所有网卡都是public区域可以根据需要将网卡设置为不同的区域 Trust 信任区域 允许所有流量所有的网络连接都可以接受 Public 公共区域 仅接受ssh、dhcpv6-client服务连接默认区域 External 外部区域 仅接收ssh服务连接默认通过此区域转发的IPv4流量将会进行地址伪装 Home 家庭区域 仅接受ssh、msdns、ipp-client、samba-client、dhcpv6-client服务网络连接 Internal 内部区域 同home区域 Work 工作区域 仅接受ssh、ipp-client、dhcpv6-client服务连接 Dmz 隔离区域非军事区域 仅接收ssh服务连接 Block 限制区域 拒绝所有传入流量有回应 Drop 丢弃区域 丢弃所有传入流量无回应 数据包到达防火墙匹配规则 firewall进行数据处理只关心区域 根据数据包的源IP地址匹配根据源地址绑定区域的区域规则进行匹配如果没有绑定区域则匹配默认区域的规则根据传入的网络接口匹配进入此接口绑定区域的区域规则进行匹配如果没有绑定区域则匹配默认区域的规则绑定源地址的区域规则网卡绑定的区域规则默认区域的规则 Firewalld两种配置方法 临时配置runtime 当前生效表 立即生效重启后失效 不中断现有连接 无法修改服务配置 永久配置permanent 永久生效表 不立即生效重启后生效或者立即同步后生效 会终端现有连接 可以修改服务配置 firewall-cmd命令行基础配置 如何实现永久配置 --permanent 表示此配置加入到永久生效默认临时生效 或者在配置结束后执行此命令 firewall-cmd --runtime-to-permanent将临时更改为永久 永久配置完成后需要立即同步 firewall-cmd --reload 立即同步永久配置 查看默认区域并进行更改 firewall-cmd --get-zones 查询可用的区域 firewall-cmd --get-default-zone 查询默认区域的名称 firewall-cmd --get-active-zone 显示当前正在使用的区域与网卡名称 firewall-cmd --set-default-zonetrusted 设置默认区域为trusted区域 将网卡/子网与区域绑定允许/拒绝此子网通过 firewall-cmd --zonedrop --add-source192.168.20.0/24 将此子网与drop区域绑定拒绝从此子网发来的流量 firewall-cmd --zonetrusted--add-interfaceens160 将此网卡与trusted区域绑定允许从此网卡发来的流量 --remove-source 删除子网与区域的绑定 --change-source 更改子网与区域的绑定 配置区域允许/拒绝的协议/端口号 firewall-cmd --list-all 显示当前区域的端口号、网卡、服务等信息 --list-all-zones 显示所有区域的 firewall-cmd --get-services 列举出来当前所有被允许的协议 firewall-cmd --zonepublic --add-service http 配置public区域允许通过http协议 --remove-service ssh 拒绝通过ssh协议 --add-port123/tcp 允许通过tcp的123端口 --remove-port123/tcp 拒绝通过tcp的123端口 cat /etc/services 保存的协议类型和端口号 配置协议端口转换端口映射 firewall-cmd --permanent --zonepublic --add-forward-portport888:prototcp:toport22:toaddr192.168.10.1 将192.168.10.1主机的tcp 22端口号转为888端口号public区域接收ssh --remove-forward-port 删除此端口映射 其它配置 --panic-on 紧急模式切断一切的网络连接特殊情况去使用 --panic-off 恢复一切的网络连接 配置富规则rich更复杂、更详细的防火墙策略配置 优先级最高高于默认规则两个并不冲突 能够根据源目地址、端口号来限制用户 firewall-cmd --zonepublic --list-rich-rule 显示public区域已经配置的富规则 firewall-cmd --permanent --zonepublic --add-rich-rulerule familyipv4 source address192.168.100.1/24 service namessh accept 允许来自192.168.100.1的主机访问22端口 --add-rich-rule 添加一个富规则 --remove-ruch-rule 删除一个富规则 reject 拒绝访问 firewall-config图形化配置 安装firewall-config 配置Yum源软件仓库Linux 软件包安装_静下心来敲木鱼的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/129150924?csdn_share_tail%7B%22type%22%3A%22blog%22%2C%22rType%22%3A%22article%22%2C%22rId%22%3A%22129150924%22%2C%22source%22%3A%22m0_49864110%22%7D 安装软件 dnf install firewall-config 系统界面讲解 1选择运行时Runtime或永久Permanent模式的配置 2选择区域 3当前正在使用的区域黑色加粗 4管理当前被选中区域中的服务 5管理当前被选中区域中的端口 6设置允许被访问的协议 7设置允许被访问的端口 8开启或关闭SNAT源网络地址转换技术 9设置端口转发策略 10控制请求icmp服务的流量 11被选中区域的服务若勾选了相应服务前面的复选框则表示允许与之相关的流量 12管理防火墙的富规则 13网卡信息网卡与区域绑定信息 14子网信息子网与区域绑定信息 15查看常用的服务协议列表 16主机地址的黑白名单
