Firewall和iptables
我們擁有十載網(wǎng)頁設(shè)計(jì)和網(wǎng)站建設(shè)經(jīng)驗(yàn),從網(wǎng)站策劃到網(wǎng)站制作,我們的網(wǎng)頁設(shè)計(jì)師為您提供的解決方案。為企業(yè)提供網(wǎng)站制作、成都網(wǎng)站制作、微信開發(fā)、微信平臺(tái)小程序開發(fā)、手機(jī)網(wǎng)站開發(fā)、HTML5、等業(yè)務(wù)。無論您有什么樣的網(wǎng)站設(shè)計(jì)或者設(shè)計(jì)方案要求,我們都將富于創(chuàng)造性的提供專業(yè)設(shè)計(jì)服務(wù)并滿足您的需求。firewall 和 iptables 默認(rèn)只能開一個(gè)
火墻:
圖形界面形式配置火墻 firewall-config
使用命令行接口配置防火墻
查看firewalld的狀態(tài): firewall-cmd --state
查看當(dāng)前活動(dòng)的區(qū)域,并附帶一個(gè)目前分配給它們的接口列表:
# firewall-cmd --get-active-zones
查看默認(rèn)區(qū)域: # firewall-cmd --get-default-zone
查看所有可用區(qū)域: # firewall-cmd --get-zones
列出指定域的所有設(shè)置: # firewall-cmd --zone=public --list-all
列出所有區(qū)域的設(shè)置: # firewall-cmd --list-all-zones
設(shè)置默認(rèn)區(qū)域: # firewall-cmd --set-default-zone=trusted
設(shè)置網(wǎng)絡(luò)地址到指定的區(qū)域:
# firewall-cmd --permanent --zone=tursted --add-source=172.25.15.0/24
(--permanent參數(shù)表示永久生效設(shè)置,如果沒有指定--zone參數(shù),那么會(huì)加入默認(rèn)區(qū)域)
刪除指定區(qū)域中的網(wǎng)路地址:
# firewall-cmd --permanent --zone=trusted --remove-source=172.25.0.0/24
添加、改變、刪除網(wǎng)絡(luò)接口:
# firewall-cmd --permanent --zone=trusted --add-interface=eth0
# firewall-cmd --permanent --zone=trusted --change-interface=eth0
# firewall-cmd --permanent --zone=trusted --remove-interface=eth0
添加、刪除服務(wù):
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、刪除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重載防火墻:
# firewall-cmd --reload
(注意:這并不會(huì)中斷已經(jīng)建立的連接,如果打算中斷,可以使用 --complete-reload選項(xiàng))
比如你正在ssh連接該主機(jī),該主機(jī)重載防火墻 ssh不會(huì)斷開 仍然可以操作該主機(jī)
如果--complete-reload 則ssh會(huì)斷開。
列出所有預(yù)設(shè)服務(wù): # firewall-cmd --get-services
在/usr/lib/firewalld/services/ 中的可以查看服務(wù)名稱。注意:配置文件是以服務(wù)本身命名的
service-name. Xml 如下
以http為例子
默認(rèn) 端口為80 如果想改端口 可以在這里修改
Direct Rules
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 172.25.15.10 -j REJECT
添加rule 拒絕172.25.15.10 主機(jī)訪問22端口(ssh)
firewall-cmd --direct --get-all-rules 查看所有rule
firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 22 -s 172.25.15.10 -j REJECT (刪除的是上面查看出來的)
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 22 ! -s 172.25.15.10 -j REJECT
添加rule 拒絕除了172.25.15.10主機(jī)以外的任何主機(jī)連接
Rich Rules
使用規(guī)則
firewall-cmd --remove-service=ssh (禁止訪問ssh服務(wù))
firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.15.10" accept'
允許172.25.15.10主機(jī)所有連接。
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop' (禁止 ping )
丟棄所有icmp包
端口轉(zhuǎn)發(fā):(外網(wǎng)通過端????口轉(zhuǎn)發(fā)連接內(nèi)網(wǎng))
325:開啟地址轉(zhuǎn)換功能
326:訪問本機(jī)的80端口轉(zhuǎn)發(fā)到15.10主機(jī)的22端口
偽裝:(內(nèi)網(wǎng)通過ip偽裝訪問外網(wǎng))
要求:一臺(tái)單網(wǎng)卡172.25.15.10。一臺(tái)雙網(wǎng)卡作為網(wǎng)關(guān)172.25.15.11 172.25.254.115
雙網(wǎng)卡:firewall-cmd --add-masquerade
firewall-cmd --add-rich-rule=’rule family=ipv4 source address=172.25.254.115’
(地址偽裝為254.115)
則單網(wǎng)卡機(jī)器 可以ping通 254網(wǎng)段
IPTABLES
Iptables -nL 查看策略
Iptables -t filter -nL 查看filter表的策略
Iptables -t nat -nL 查看nat表的策略
Iptables -F 刷新策略(清空)
Iptables-save > /etc/sysconfig/iptables (保存修改的策略)
如何寫策略:
131行: 寫入允許該主機(jī)連接任何端口
133行: 寫入允許lo回環(huán)連接任何端口
135行:拒絕所有寫入
137行:允許訪問22端口
139行:刪除INPUT里第4行
141行:插入允許訪問22端口到第三行
143行:修改拒絕訪問22端口在第三行
145行:刪除第三行策略
策略有從上至下的順序問題:拒絕所有訪問在第三行,允許訪問22端口在第四行,結(jié)果22端口不能被訪問。因?yàn)椴呗缘捻樞騿栴}
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。
本文題目:【基礎(chǔ)部分】之Firewall和iptables-創(chuàng)新互聯(lián)
本文URL:http://jinyejixie.com/article2/dpdsoc.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護(hù)、品牌網(wǎng)站制作、商城網(wǎng)站、定制開發(fā)、外貿(mào)網(wǎng)站建設(shè)、云服務(wù)器
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容