Linux防火墙使用(firewalld与iptables)

news2024/11/26 22:48:58

防火墙概述

        防火墙是一种由硬件和软件组合而成,在内部网和外部网之间、专有网和公共网之间构造的保护屏障,用以保护用户资料和信息安全的一种技术

        防火墙作用在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,从而实现计算机不安全网络因素的阻断。 确保网络正常运行,保障信息安全,为用户提供良好的网络体验

        防火墙分为硬件和软件两种,硬件防火墙是由厂商设计好的主机硬件,其操作系统主要以提供数据包数据的过滤机制为主,并去掉不必要的功能。而软件防火墙则是保护系统网络安全的一套软件(或称为机制),如Linux中的Netfilter和iptables/firewalld等

        Netfilter,是一个工作在Linux内核的网络数据包处理框架,是Linux内核中的包过滤功能体系,用于分析进入主机的网络数据包,将数据包的头部数据(如硬件地址、软件地址、TCP、UDP、ICMP等)提取出来进行分析,以决定该连接为放行还是抵挡的机制,称为防火墙的“内核态”

        而我们学习的iptables与firewall则是两款不同的防火墙管理工具,真正实现防火墙功能的还是内核Netfilter

firewalld

        firewalld是从红帽7系统开始,作为iptables服务的替代品,提供更高级别的防火墙管理功能,是默认的管理防火墙配置的工具,使用iptables作为底层实现

        特点

        支持动态更新防火墙规则,可以在运行时添加、删除、修改规则,而不需要重新加载整个防火墙配置

        支持IPv4、IPv6防火墙设置以及以太网桥

        加入了区域(zone,一系列规则的集合)概念

        配置分为永久配置和运行时配置

        管理区域

        阻塞区域(block):任何传入的网络数据包都将被阻止

        工作区域(work):相信网络上的其他计算机不会损害你的计算机,只接受选定的传入连接

        家庭区域(home):相信网络上的其他计算机不会损害你的计算机,只接受选定的传入连接

        内部区域(internal):信任网络上的其他计算机不会损害你的计算机,只有选择接受传入的网络连接

        外部区域(external):不相信网络上的其他计算机不会损害你的计算机,只有选择接受传入的网络连接

        公共区域(public):在公共场所使用,你不相信网络上的其他计算机不会损害你的计算机,只接受选定的传入连接,也是默认区域

        信任区域(trusted):所有的网络连接都可以接受,该区绑定的规则(如网卡、源网段、服务等)不受防火墙阻挡,所有流量均可通过

        隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用,用于在非军事区内可公开访问但对内部网络有限制访问的计算机,只接受选定的传入连接

        丢弃区域(drop):任何传入的网络数据包被丢弃,没有应答,只可能传出网络连接

        使用命令

                服务操作命令

systemctl start firewalld        #启动服务
systemctl stop firewalld         #停止服务
systemctl restart firewalld      #重启服务    
systemctl status firewalld       #查看状态
systemctl enable firewalld       #设置开机自启动
systemctl disable firewalld      #禁用开机自启动

                区域操作命令

firewall-cmd --get-default-zone            #查看默认区域
firewall-cmd --set-default-zone=public     #设置默认区域为public区域
firewall-cmd --get-active-zone             #查看当前活动的区域
firewall-cmd --get-zones                   #查看总共可用的区域

#--list-[区域选项]        查看指定区域的选项配置,all为查看所有配置
#--zone=[区域名]          指定配置的区域,不指定则对默认区域进行设置(public区域)
firewall-cmd --list-all      #查看当前激活(active)的区域的配置
firewall-cmd --list-all --zone=work        #查看work区域的配置
firewall-cmd --list-port --zone=work        #查看work区域的端口配置

                区域配置选项 

        target        :默认目标策略,通常是允许或拒绝

        icmp-block-inversion        :ICMP阻塞反转设置,如果设置为yes,则默认允许ICMP,并通过规则来阻塞特定的ICMP消息

        interfaces        :这个区域绑定的网络接口

        sources        :对特定的源IP地址或网络配置为只允许或拒绝

        services        :允许通过此区域的服务

        ports        :允许通过此区域的特定TCP端口

        protocols        :对特定的协议设置为只允许或拒绝

        masquerade        :是否启用IP伪装(NAT)

        forward-ports        :设置端口转发规则

        source-ports        :源端口设置特定规则

        icmp-blocks        :没有阻塞的ICMP消息

        rich rules        :设置富规则(复杂的、自定义的防火墙规则)

        配置操作

#对于firewalld的配置,可以对区域内的选项进行配置
#--add-[区域选项配置]    添加(remove为删除)

#允许来自 IP 地址 192.168.221.148 的流量进入 public 防火墙区域
firewall-cmd --add-source 192.168.221.148 --zone=public
#允许来自任意地址的TCP流量通过22端口,在设置端口时建议指定协议
firewall-cmd --add-port=22/tcp
#允许来自任意地址的TCP流量通过8080到8083之间的端口
firewall-cmd --add-port=8080-8083/tcp

#--change-interface    更改该区域绑定的网络接口
#将ens33网络接口绑定到work区域,所有该接口的流量根据work区域的规则进行过滤
firewall-cmd --change-interface=ens33 --zone=work


#使用富规则配置
#使用富规则设置允许192.168.221.148设备发送到TCP端口22的数据包通过防火墙
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.221.148" port port=22 protocol="tcp" accept'

#rule        使用富规则要使用rule关键字
#family      指定Ipv4类型
#source      指定源IP
#address     源IP地址
#port        配置端口号
#port=22     指定端口号为22
#protocol    指定协议

#这里配置都是临时性的,在下一次重启服务或重新加载配置时会失效
#--permanent        设置为永久有效
#永久将ens33网络接口绑定到work区域,所有该接口的流量根据work区域的规则进行过滤
firewall-cmd --change-interface=ens33 --zone=work --permanent

iptables

        概述

        在早期的Linux系统中默认使用的就是iptables,该防火墙使用链式规则,与firewalld一样,是一款防火墙管理与配置的工具,真正实现防火墙功能的是Linux内核中的Netfilter

        iptables是一个命令行工具,只可以通过命令行进行配置,并且iptables的配置是临时的,重启系统后配置会丢失。iptables配置防火墙依靠四个部分实现,分别是:表、规则链、规则、控制类型,可以适应各种不同的网络环境和应用场景。iptables的配置实时生效,不需要重启服务

        功能

        数据包过滤:可以根据源IP地址、目标IP地址、端口号、协议类型等条件来过滤进出系统的数据包,从而实现访问控制和安全策略的限制

        网络地址转换(NAT):可以将私有网络中的IP地址转换为公网IP地址,实现内网访问外网的功能

        端口转发:可以将某个端口的数据包转发到另一个指定的端口上,用于实现服务的映射和访问控制

        防止DoS攻击:可以通过配置规则来限制来自某个IP地址或IP地址段的连接数,从而减轻系统的负载和防止拒绝服务攻击

        日志记录:可以将符合规则的数据包记录到系统日志中,用于分析和审计系统的网络流量

        表和链

        iptables的四个表是互相独立的,处理优先级为:raw—>mangle—>nat—>filter,此外每个表的作用也各不相同

        raw表:是否对数据包进行状态追踪,包含OUTPUT、PREROUTING两个规则链

        mangle表:修改数据包内容,可以做流量整型、对数据包设置标记,包含所有的规则链,但是很少使用这个表

        nat表:负责地址转换功能,用来修改数据包中的源、目标IP地址或端口,包含OUTPUT、

PREROUTING、POSTROUTING三个规则链

        filter表:负责过滤数据包,确认是否放行数据包,包含INPUT、FORWARD、OUTPUT三个规则链

        在iptables还有五条规则链,在每个规则表里有不同的规则链,每个规则链内存在不同的规则,每个规则链也有不同的作用,当数据包到达数据链时,从上而下匹配规则,如果没有匹配到,就会执行规则链默认的控制类型

        PREROUTING:在进行路由选择前处理数据包

        POSTROUTING:在进行路由选择后处理数据包

        INPUT:处理入站的数据包,也就是目标是本机的数据包

        OUTPUT:处理出站的数据包,也就是处理从本机发出的数据包

        FORWARD:处理转发的数据包,也就是处理经过本机的数据包

        iptables对于数据包的处理流程可以参考下图

        iptables的控制类型

        ACCEPT:允许通过

        DROP:直接丢弃,不给出任何回应

        REJECT:拒绝通过,并给出回应,对方可以知道被拒绝

        SNAT:修改数据包的源地址

        DNAT:修改数据包的目标地址

        LOG:记录日志信息,然后传给下一条规则继续匹配

        使用

        在CentOS7中,默认使用firewalld防火墙,因此需要先安装iptables,而且两者只能同时使用一个,在使用前要先关闭firewalld

systemctl stop firewalld         #关闭firewalld

yum -y install iptables-services iptables        #安装iptables

systemctl start iptables                #启动服务
systemctl enable iptables               #设置开机自启动


#-t    指定表,如果不指定,默认是filter表    -v    查看规则表详细信息
#-n    使用数字形式显示输出结果        -L    查看当前防火墙有哪些策略(规则)
iptables -t raw -nL            #查看raw表下的信息

#-F    清空表中所有的策略
iptables -t raw -F            #清空raw表中所有的策略

        配置规则

#-A    在指定链的末尾添加一条规则        -I    在指定链中插入一条规则,默认在第一行添加
#-p    指定协议类型                    -j    指定控制类型

#在filter表的INPUT链第三条规则前添加规则,拒绝所有udp协议的数据包,这里如果链中没有三条或更多的规则
#则会在链的末尾添加,
iptables -t filter -I INPUT 3 -p udp -j REJECT

#-s    指定源地址或网段        -d    指定目的地址        -i    指定入站网卡    -o    指定出站网卡

#丢弃来自192.168.221.150主机并且通过ens33网卡进入的数据包,这里需要两个条件同时满足
iptables -t filter -A INPUT -s 192.168.221.150 -i ens33 -j DROP

#拒绝目标地址为192.168.221网段的IP的主机并且由本机ens33网络接口进行转发的数据包
iptables -t filter -A FORWARD -d 192.168.221.0/24 -o ens33 -j REJECT

#--sport    指定源端口            --dport    指定目标端口
# :    表示一个端口范围           -m multiport --sports 多端口匹配
#丢弃所有来自30到40端口范围的数据包
iptables -t filter -A FORWARD --sport  30:40 -j DROP
#拒绝所有目标端口为40的数据包
iptables -t filter  -A FORWARD --dport 40 -j REJECT


#-D    删除规则
#删除filter表中INPUT链的第三条规则,如果不存在该规则,则会提示命令失败
iptables -t  filter -D INPUT 3

#-P    设置规则链默认策略
#如果数据包没有匹配到INPUT链的任何被允许通过的规则,就会被拒绝
iptables  -t filter INPUT -P REJECT

        iptables扩展

#-m      指定扩展模块
#string模块
#丢弃由本机发送的含有字符串kcce的数据包
iptables -t filter -A  OUTPUT  -m string --algo kmp  --string  "www.kcce.com" -j DROP

#multiport
#拒绝所有发送到(12,34,56,78,90)端口的数据包
iptables -t filter -A OUTPUT -m multiport --dports  12,34,56,78,90 -j REJECT  

        iptables导出与导入

        由于iptables的配置时临时的,所以可以导出配置,再下次重启服务后再导入进行使用

iptables-save            #会将当前iptables的规则输出到终端

iptables-save > /iptables.txt    #使用重定向将规则配置写入文件中

iptable-restore          #导入规则配置

iptables-restore /iptables.txt    #从iptables.txt导入规则配置

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1903583.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SSRF靶场通关合集

目录 前言 SSRF总结 1.pikachu 1.1SSRF(curl) 1.1.1http协议 1.1.2 file协议查看本地文件 1.1.3 dict协议扫描内网主机开放端口 1.2 SSRF(file_get_content) 1.2.1 file读取本地文件 1.2.2 php://filter/读php源代码 2.DoraBox靶场 前言 最近…

[终端安全]-3 移动终端之硬件安全(TEE)

(参考资料:TrustZone for V8-A. pdf,来源ARM DEVELOPER官网) TEE(Trusted Execution Environment,可信执行环境)是用于执行敏感代码和处理敏感数据的独立安全区域;以ARM TrustZone为…

一.2.(3)放大电路的图解分析方法和微变等效电路分析方法;

放大电路的主要分析方法:图解法、微变等效电路法 这里以共射放大电路为例 (1) 图解法: 1.静态分析 首先确定静态工作点Q,然后根据电路的特点,做出直流负载线,进而画出交流负载线,最后,画出各极电流电压的波形。求出最大不失真输出电压。 估算IBQ,然后根据数据手册里…

『大模型笔记』《Pytorch实用教程》(第二版)

『大模型笔记』《Pytorch实用教程》(第二版) 文章目录 一. 《Pytorch实用教程》(第二版)1.1 上篇1.2 中篇1.3 下篇1.4 本书亮点1.5 本书内容及结构二. 参考文献🖥️ 配套代码(开源免费):https://github.com/TingsongYu/PyTorch-Tutorial-2nd📚 在线阅读(开源免费)…

WebAssembly场景及未来

引言 从前面的文章中,我们已经了解了 WebAssembly(WASM) 的基本知识,演进历程,以及简单的使用方法。通过全面了解了WebAssembly的设计初衷和优势,我们接下来要知道在什么样的场景中我们会使用 WASM 呢&…

多表查询sql

概述:项目开发中,在进行数据库表结构设计时,会根据业务需求及业务模块之间的关系,分析并设计表结构,由于业务之间相互关联,所以各个表结构之间也存在着各种联系,分为三种: 一对多多对多一对一 一、多表关系 一对多 案例:部门与…

昇思25天学习打卡营第17天 | K近邻算法实现红酒聚类

内容介绍: K近邻算法(K-Nearest-Neighbor, KNN)是一种用于分类和回归的非参数统计方法,是机器学习最基础的算法之一。它正是基于以上思想:要确定一个样本的类别,可以计算它与所有训练样本的距离&#xff0…

nacos-sdk-python——Python版本Nacos客户端

Nacos(Naming and Configuration Service)是阿里巴巴开源的一款动态服务发现、配置管理和服务管理平台。它主要用于解决微服务架构中服务发现和配置管理的问题,提供了一站式解决方案。以下是 Nacos 的几个关键功能: 服务发现和健康…

Ubuntu24.04清理常见跟踪软件tracker

尽量一天一更,不刷视频,好好生活 打开系统监视器,发现开机有个tracker-miner-fs-fs3的跟踪程序,而且上传了10kb的数据。 搜索知,该程序会搜集应用和文件的信息。 删除tracker 显示带tracker的apt程序 sudo apt lis…

人脸识别打卡系统一站式开发【基于Pyqt5的C/S架构】

人脸识别打卡系统 1、运用场景 课堂签到,上班打卡,进出门身份验证。 2、功能架构 人脸录入,打卡签到,声音提醒,打卡信息导出: 3、技术栈 python3.8,sqlite3,opencv,face_recognition,PyQt5,csv 第三方库: asgiref==3.8.1 click==8.1.7 colorama==0.4.6 co…

Mobile ALOHA: 你需不需要一个能做家务的具身智能机器人

相信做机器人的朋友最近一段时间一定被斯坦福华人团队这个Mobile ALOHA的工作深深所震撼,这个工作研究了一个能做饭,收拾衣服,打扫卫生的服务机器人,完成了传统机器人所不能完成的诸多任务,向大家展示了服务机器人的美…

Java实现一个库存详情系统

本人详解 作者:王文峰,参加过 CSDN 2020年度博客之星,《Java王大师王天师》 公众号:JAVA开发王大师,专注于天道酬勤的 Java 开发问题中国国学、传统文化和代码爱好者的程序人生,期待你的关注和支持!本人外号:神秘小峯 山峯 转载说明:务必注明来源(注明:作者:王文峰…

Apache Seata配置管理原理解析

本文来自 Apache Seata官方文档,欢迎访问官网,查看更多深度文章。 本文来自 Apache Seata官方文档,欢迎访问官网,查看更多深度文章。 Apache Seata配置管理原理解析 说到Seata中的配置管理,大家可能会想到Seata中适配…

阶段三:项目开发---大数据开发运行环境搭建:任务8:安装配置Redis

任务描述 知识点:安装配置Redis 重 点: 安装配置Redis 难 点:无 内 容: Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可…

4. 小迪安全v2023笔记 javaEE应用

4. 小迪安全v2023笔记 javaEE应用 ​ 大体上跟随小迪安全的课程,本意是记录自己的学习历程,不能说是完全原创吧,大家可以关注一下小迪安全。 若有冒犯,麻烦私信移除。 默认有java基础。 文章目录 4. 小迪安全v2023笔记 javaEE应…

文心智能体平台快速创建一个HY(Lisp)编程小助手

现在可以在文心智能体平台,使用文心一言创建各种智能体了!创建步骤如下: 创建知识库 可以使用本地上传的方式来提交,鼠标移动到”查看模板“,可以下载”知识库外链上传示例模版.xlsx“,按照模板里的格式&…

调制信号识别系列 (一):基准模型

调制信号识别系列 (一):基准模型 说明:本文包含对CNN和CNNLSTM基准模型的复现,模型架构参考下述两篇文章 文章目录 调制信号识别系列 (一):基准模型一、论文1、DL-PR: Generalized automatic modulation classification method b…

android之蓝牙遥控器新增键值

文章目录 简述连接蓝牙代码流程总结简述 使用android 10平台来适配蓝牙遥控器新增的键值 连接蓝牙 当使用遥控器与蓝牙进行配对成功后,就可以通过getevent获取蓝牙打印的信息,如下所示 其中000700a0是发送过来的协议(0007)和码值(00a0)的组合。0xfa是驱动定义好的值,如果…

100359.统计X和Y频数相等的子矩阵数量

1.题目描述 给你一个二维字符矩阵 grid,其中 grid[i][j] 可能是 X、Y 或 .,返回满足以下条件的子矩阵数量: 包含 grid[0][0]X 和 Y 的频数相等。至少包含一个 X。 示例 1: 输入: grid [["X","Y",…

suricata7 rule加载(二)加载header

suricata7.0.5 alert http any any -> [192.168.1.27,1.192.137.27] 80 (msg:“HTTP Request Example”; flow:established,to_server; http.method; content:“POST”; http.uri; content:“query.php”; bsize:>9; http.protocol; content:“HTTP/1.1”; bsize:8; http…