• Linux从入门到精通——firewalld和iptables


    ####firewalld和iptables###

       防火墙是内核上的一个插件

       火墙有两种:firewalld 和 iptables
       都通过iptables往内核写入数据
          

    一.firewalld

       firewall域:
       trusted home internal work public external dmz block drop
          

    1.关于iptables

       yum install iptables
       systemctl stop firewalld       ##关闭火墙
       systemctl mask firewalld.service    ##冻结火墙

       iptables -nL               ##查看服务情况,显示策略
       Chain INPUT (policy ACCEPT)
       target     prot opt source               destination        
       ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
       ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
       ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
       ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22

       REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

       Chain FORWARD (policy ACCEPT)
       target     prot opt source               destination        
       REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

       Chain OUTPUT (policy ACCEPT)
       target     prot opt source               destination        


    2.火墙的使用

       systemctl stop iptables.service        ##关闭iptables
       systemctl mask iptables.service           ##冻结iptables
       systemctl unmask firewalld.service      ##解冻firewalld   
       systemctl start firewalld.service           ##开启firewalld
          

       cmd命令:
       firewall-cmd --state           ##查看火墙运行状态
       firewall-cmd --get-active-zones     ##查看正在使用的区域
       firewall-cmd --get-default-zone     ##查看当前默认区域
       firewall-cmd --get-zones       ##查看所有可使用区域
       firewall-cmd --zone=public --list-all   ##查看public域的允许的服务和开启的端口以及地址伪装功能的状态,和一些策略
       firewall-cmd --get-services     ##查看所有能设定的服务
       firewall-cmd --list-all-zones      ##查看所有区域的所有服务和端口
       firewall-cmd --set-default-zone=dmz     ##设定当前默认区域为非军事区
          

          

          

          

    指定区域针对网段和设备进行操作:
       firewall-cmd --permanent --zone=internal --add-source=172.25.254.110    ##指定110的默认域为internal,并永久保存
       firewall-cmd --permanent --zone=internal --remove-source=172.25.254.110    ##将指定的110的域删除
       firewall-cmd --permanent --zone=internal --add-internal=eth0
            ##指定eth0这个端口的域为internal
       firewall-cmd --permanent --zone=internal --change-public=eth0
            ##更改eth0这个端口的域为public
       firewall-cmd --permanent --zone=internal --remove-interface=eth0
            ##删除eth0这个端口的域
          

          

    指定区域针对服务和端口域进行操作:
       firewall-cmd --permanent --zone=public --add-service=http
            ##在publlic域中永久设定添加http服务
       firewall-cmd --permanent --zone=public --remove-service=http
       firewall-cmd --zone=public --list-ports        
            ##列出public所有端口  
       firewall-cmd --permanent --zone=public --add-port=8080/tcp
       firewall-cmd --permanent --zone=public --remove-port=8080/tcp
          

       注意:加--permanent参数的要使设定生效需要重新加载火墙
       firewall-cmd --reload


       /etc/firewalld/zones
       可以在该目录中修改对应区域名.xml文件,来添加或删除服务,编辑完后要重启服务或重加载

       /lib/firewalld/services
       现在默认的firewalld域,系统会将etc下的默认域的文件,移动到lib下执行

       想要更改或添加服务要在etc下的文件里面改,这个是永久的;用命令添加的是暂时的,想要永久要加 --permanent,并且重启服务

       firewall-cmd --reload  ##重新加载,但是如果有程序正在运行,也不会阻止程序运行
       firewall-cmd --complete-reload  ##比较强制重新加载,但是如果有程序正在运行,就会立即阻止程序运行

    3.directory rules

       通过firewall-cmd工具,可以使用--direct选项在运行时间里增加或者移除链。
             三表五链
    访问本机的数据,经过内核的数据filter
    不经过本机内核的东西,数据转换nat
    包含所有数据(前两个所有数据)等到前两个表格不够用的时候才使用mangle

       firewall-cmd --direct --get-all-rules  ##获取全部的链
       firewall-cmd --direct --add-rule ipv4 filter INPUT 2 -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT  ##添加一条链在filter的INPUT的下面,设定源110访问22端口时是允许的
       firewall-cmd --direct --add-rule ipv4 filter INPUT 2 ! -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT    ##添加一条链在filter的INPUT的下面,设定除了源110以外的所有源访问22端口时是允许的
       firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT
       firewall-cmd --direct --remove-rule ipv4 filter INPUT 2 !  -s 172.25.254.110 -p tcp --dport 22 -j ACCEPT
          

           

    4.icmp-block

    用这个命令阻绝一个或者多个ICMP类型。ICMP类型是firewalld支持的ICMP类型之一。比如 ping 172.25.254.110 就是用的ICMP

       firewall-cmd --get-icmptypes   ##查看icmp含有的命令
       firewall-cmd --add-icmp-block=destination-unreachale  ##ping不通该主机的ip
       firewall-cmd --add-icmp-block=echo-request  ##ping不了
       firewall-cmd --add-icmp-block=echo-request --timeout=5   ##刚开始ping不通,5秒以后就能ping通

    5.地址伪装与源地址转换

       firewall-cmd --add-masquerade      ##开启地址伪装功能
          

      firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.10    ##所有通过22端口访问110主机,都会被转到10这个主机上面
          

          

       firewall-cmd --add-rich-rule="rule family=ipv4 source address=172.25.254.100 masquerade"    ##ip隐藏,比如说就是我的ip是10,我通过110这个主机的去连接100这台主机,在100这台主机上用 w -i 命令查看到的ip是110的,而不是10的
          

    6.路由器功能 masquerade

        两个在不同网络区域内的电脑,比如192想要ping通172这个网段的,需要通过一个路由器做一次地址转换

    测试前:
    (1)用desktop当作路由器
    要开通地址伪装功能,还需i要两块虚拟网卡,设定两个虚拟网卡的ip,一个为192的,另一个为172的。
    (2)用server当作测试主机
    修改server的ip为192的,并修改网关为192的
    systemctl restart network
    route -n   ##查看网关是否添加成功

    测试:
    (1)用server刚开始的时候ping 172是ping不通的
    (2)在desktop里面
       firewall-cmd --permanent --add-masquerade  ##开启地址伪装功能
       sysctl -a | grep forward  ##查看一些功能是否开启
       vim /etc/sysctl.conf
        net.ipv4.ip_forward = 1
       sysctl -p
        net.ipv4.ip_forward = 1
       firewall-cmd --reload
          

    二.iptables

    1.iptables的启用
       systemctl stop firewalld
       systemctl mask firewalld   ##冻结firewalld
       systemctl start iptables   ##如果显示冻结,用unmask先打开
       systemctl unmask iptables  
       systemctl start iptables  
          

    2.iptables的应用
       iptables -nL        ##查看所有表的情况
       iptables -t nat -nL ##查看nat表的情况
       iptables -F             ##刷新策略(仅清空链中规则)
       iptables -N redhat      ##添加自定义链名
       iptables -D redhat      ##删除自定义链下的策略
       iptables -X redhat      ##删除自定义链
       iptables -E rehdat      ##修改名称
       iptables --state        ##查看状态
       iptables -i lo          ##设置端口进来
       iptables -o eth0        ##设置从网络接口eth0出去
       iptables -s             ##source 来源
       iptables -A             ##增加
       iptables -I             ##插入 某一链表的第几行
       iptables -R             ##替换
       iptables -P             ##修改默认

           

    3.重新写入策略(数据优化)

    (1)清空原有策略,并添加新的策略并保存
       vim /etc/sysconfig/iptables  ##策略存放的路径
       iptables -F    ##(清空)刷新原有的策略
       cat /etc/sysconfig/iptables   ##查看后发现,原有策略被清空
          

           

    (2)加入新的策略
       iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
       iptables -A INPUT -m state --state new -p tcp --dport 22 -j ACCEPT
       iptables -A INPUT -m state --state new -p tcp --dport 80 -j ACCEPT
       iptables -A INPUT -m state --state new -p tcp --dport 53 -j ACCEPT
       iptables -nL    ##查看新添加的策略
       service iptables save  ##保存添加的策略
       iptables -nL    ##新策略添加成功
       cat /etc/sysconfig/iptables  ##查看策略

          

          

  • 相关阅读:
    论.Net 2.0消失的虚拟内存空间
    检查IE版本的方法
    升级.Net 4.0遇到的两个问题
    关于ID生成算法
    探秘.Net 4.0的StringBuilder实现
    关于填充DataTable的效率问题
    [已解决]请教:时间格式“2008109公元 10:43:27,AM”,这种时间格式是该怎么恢复默认设置
    请教:c#中的窗体怎么才能像c++的那窗体一样按键后可以调出输入法?
    在access中执行SQL,SQL中包含IIF,取出来的结果集字符串被截断了,请教各位大侠,这个是为什么呀?谢谢!
    请教:PL/SQL中执行to_date(to_char(a.lastupdatedate, 'YYYYMMDD HH24:MI:SS'),'YYYYMMDD HH24:MI:SS') ,上午12点整为什么格式化出来没有时分秒?
  • 原文地址:https://www.cnblogs.com/wf-aiyouwei/p/9497226.html
Copyright © 2020-2023  润新知