【基礎(chǔ)部分】之Firewall和iptables-創(chuàng)新互聯(lián)

Firewalliptables

我們擁有十載網(wǎng)頁(yè)設(shè)計(jì)和網(wǎng)站建設(shè)經(jīng)驗(yàn),從網(wǎng)站策劃到網(wǎng)站制作,我們的網(wǎng)頁(yè)設(shè)計(jì)師為您提供的解決方案。為企業(yè)提供網(wǎng)站制作、成都網(wǎng)站制作、微信開發(fā)、微信平臺(tái)小程序開發(fā)、手機(jī)網(wǎng)站開發(fā)、HTML5、等業(yè)務(wù)。無(wú)論您有什么樣的網(wǎng)站設(shè)計(jì)或者設(shè)計(jì)方案要求,我們都將富于創(chuàng)造性的提供專業(yè)設(shè)計(jì)服務(wù)并滿足您的需求。

firewall 和 iptables 默認(rèn)只能開一個(gè)

火墻:

圖形界面形式配置火墻 firewall-config

使用命令行接口配置防火墻

查看firewalld的狀態(tài): firewall-cmd --state

查看當(dāng)前活動(dòng)的區(qū)域,并附帶一個(gè)目前分配給它們的接口列表:

# firewall-cmd --get-active-zones

查看默認(rèn)區(qū)域: # firewall-cmd --get-default-zone

查看所有可用區(qū)域: # firewall-cmd --get-zones

列出指定域的所有設(shè)置: # firewall-cmd --zone=public --list-all

列出所有區(qū)域的設(shè)置: # firewall-cmd --list-all-zones

設(shè)置默認(rèn)區(qū)域: # firewall-cmd --set-default-zone=trusted

設(shè)置網(wǎng)絡(luò)地址到指定的區(qū)域:

# firewall-cmd --permanent --zone=tursted --add-source=172.25.15.0/24

(--permanent參數(shù)表示永久生效設(shè)置,如果沒有指定--zone參數(shù),那么會(huì)加入默認(rèn)區(qū)域)

刪除指定區(qū)域中的網(wǎng)路地址:

# firewall-cmd --permanent --zone=trusted --remove-source=172.25.0.0/24

添加、改變、刪除網(wǎng)絡(luò)接口:

# firewall-cmd --permanent --zone=trusted --add-interface=eth0

# firewall-cmd --permanent --zone=trusted --change-interface=eth0

# firewall-cmd --permanent --zone=trusted --remove-interface=eth0

添加、刪除服務(wù):

# firewall-cmd --permanent --zone=public --add-service=smtp

# firewall-cmd --permanent --zone=public --remove-service=smtp

列出、添加、刪除端口:

# firewall-cmd --zone=public --list-ports

# firewall-cmd --permanent --zone=public --add-port=8080/tcp

# firewall-cmd --permanent --zone=public --remove-port=8080/tcp

重載防火墻:

# firewall-cmd --reload

(注意:這并不會(huì)中斷已經(jīng)建立的連接,如果打算中斷,可以使用 --complete-reload選項(xiàng))

比如你正在ssh連接該主機(jī),該主機(jī)重載防火墻 ssh不會(huì)斷開 仍然可以操作該主機(jī)

如果--complete-reload 則ssh會(huì)斷開。

列出所有預(yù)設(shè)服務(wù): # firewall-cmd --get-services

在/usr/lib/firewalld/services/ 中的可以查看服務(wù)名稱。注意:配置文件是以服務(wù)本身命名的

service-name. Xml 如下

【基礎(chǔ)部分】之Firewall和iptables

以http為例子

【基礎(chǔ)部分】之Firewall和iptables

默認(rèn) 端口為80 如果想改端口 可以在這里修改

Direct Rules

firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 172.25.15.10 -j REJECT

添加rule 拒絕172.25.15.10 主機(jī)訪問22端口(ssh)

firewall-cmd --direct --get-all-rules 查看所有rule

【基礎(chǔ)部分】之Firewall和iptables

firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 172.25.15.10 -j REJECT (刪除的是上面查看出來(lái)的)

firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 ! -s 172.25.15.10 -j REJECT

添加rule 拒絕除了172.25.15.10主機(jī)以外的任何主機(jī)連接

Rich Rules

使用規(guī)則

【基礎(chǔ)部分】之Firewall和iptables

firewall-cmd --remove-service=ssh (禁止訪問ssh服務(wù))

firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.15.10" accept'

允許172.25.15.10主機(jī)所有連接。

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop' (禁止 ping )

丟棄所有icmp包

端口轉(zhuǎn)發(fā):(外網(wǎng)通過端????口轉(zhuǎn)發(fā)連接內(nèi)網(wǎng))

【基礎(chǔ)部分】之Firewall和iptables

325:開啟地址轉(zhuǎn)換功能

326:訪問本機(jī)的80端口轉(zhuǎn)發(fā)到15.10主機(jī)的22端口

偽裝:(內(nèi)網(wǎng)通過ip偽裝訪問外網(wǎng))

要求:一臺(tái)單網(wǎng)卡172.25.15.10。一臺(tái)雙網(wǎng)卡作為網(wǎng)關(guān)172.25.15.11 172.25.254.115

雙網(wǎng)卡:firewall-cmd --add-masquerade

firewall-cmd --add-rich-rule=’rule family=ipv4 source address=172.25.254.115’

(地址偽裝為254.115)

則單網(wǎng)卡機(jī)器 可以ping通 254網(wǎng)段

IPTABLES

Iptables -nL 查看策略

Iptables -t filter -nL 查看filter表的策略

Iptables -t nat -nL 查看nat表的策略

Iptables -F 刷新策略(清空)

Iptables-save > /etc/sysconfig/iptables (保存修改的策略)

如何寫策略:

【基礎(chǔ)部分】之Firewall和iptables

131行: 寫入允許該主機(jī)連接任何端口

133行: 寫入允許lo回環(huán)連接任何端口

135行:拒絕所有寫入

137行:允許訪問22端口

139行:刪除INPUT里第4行

141行:插入允許訪問22端口到第三行

143行:修改拒絕訪問22端口在第三行

145行:刪除第三行策略

策略有從上至下的順序問題:拒絕所有訪問在第三行,允許訪問22端口在第四行,結(jié)果22端口不能被訪問。因?yàn)椴呗缘捻樞騿栴}

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目:【基礎(chǔ)部分】之Firewall和iptables-創(chuàng)新互聯(lián)
本文URL:http://muchs.cn/article2/dpdsoc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護(hù)、品牌網(wǎng)站制作、商城網(wǎng)站、定制開發(fā)外貿(mào)網(wǎng)站建設(shè)云服務(wù)器

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

成都網(wǎng)站建設(shè)公司