设计本网站是用什么做的,松江新城建设集团有限公司网站,关于动物的网站建设策划书,装修合同范本最新版iptables iptables 是一款基于命令行的防火墙策略管理工具 四种防火墙策略#xff1a; ACCEPT#xff08;允许流量通过#xff09; 流量发送方会看到响应超时的提醒#xff0c;但是流量发送方无法判断流量是被拒绝#xff0c;还是接收方主机当前不在线 REJECT#xff08… iptables iptables 是一款基于命令行的防火墙策略管理工具 四种防火墙策略 ACCEPT允许流量通过 流量发送方会看到响应超时的提醒但是流量发送方无法判断流量是被拒绝还是接收方主机当前不在线 REJECT拒绝流量通过 流量发送方会看到端口不可达的响应 LOG 记录日志信息 DROP拒绝流量通过 iptables 中常用的参数以及作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址 IP/MASK 加叹号“ ! ”表示除这个 IP 外 -d 匹配目标地址 -i 网卡名称 匹配从这块网卡流入的数据 -o 网卡名称 匹配从这块网卡流出的数据 -p 匹配协议如 TCP 、 UDP 、 ICMP --dport num 匹配目标端口号 --sport num 匹配来源端口号 实验 把INPUT规则链的默认策略设置为拒绝 [rootlinuxprobe~]# iptables -P INPUT DROP 向INPUT链中添加允许ICMP流量进入的策略 [rootlinuxprobe~]# iptables -I INPUT -p icmp -j ACCEPT 将INPUT链设置为只允许指定网段的主机访问本机的22端口 [rootlinuxprobe~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[rootlinuxprobe~]# iptables -A INPUT -p tcp --dport 22 -j REJECT 向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则 [rootlinuxprobe~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT 想让配置的防火墙策略永久生效还要执行保存命令 [rootlinuxprobe~]# iptables-save
firewalld firewalld服务是默认的防火墙配置管理工具它拥有 基于 CLI命令行界面和基于 GUI 图形用户界面的两种管理方式。 firewalld 中常用的区域名称及策略规则 trusted 允许所有的数据包 home 拒绝流入的流量除非与流出的流量相关而如果流量与 ssh 、 mdns 、 ipp-client 、 smba-client、 dhcpv6-client 服务相关则允许流量 internal 等同于 home 区域 work 拒绝流入的流量除非与流出的流量相关而如果流量与 ssh 、 ipp-client 与 dhcpv6-client 服务相关则允许流量 public 拒绝流入的流量除非与流出的流量相关而如果流量与 ssh 、 dhcpv6-client 服务相关 则允许流量 external 拒绝流入的流量除非与流出的流量相关而如果流量与 ssh 服务相关则允许流量 dmz 拒绝流入的流量除非与流出的流量相关而如果流量与 ssh 服务相关则允许流量 block 拒绝流入的流量除非与流出的流量相关 drop 拒绝流入的流量除非与流出的流量相关 基于CLI命令行界面 firewall-cmd 是 firewalld 防火墙配置管理工具的 CLI 命令行界面版本,它的参数一般都是 以“长格式”来提供的。 firewall-cmd 命令中使用的参数以及作用 --get-default-zone 查询默认的区域名称 --set-default-zone 区域名称 设置默认的区域使其永久生效 --get-zones 显示可用的区域 --get-services 显示预先定义的服务 --get-active-zones 显示当前正在使用的区域与网卡名称 --add-source 将源自此 IP 或子网的流量导向指定的区域 --remove-source 不再将源自此 IP 或子网的流量导向某个指定区域 --add-interface 网卡名称 将源自该网卡的所有流量都导向某个指定区域 --change-interface网卡名称 将某个网卡与区域进行关联 --list-all 显示当前区域的网卡配置参数、资源、端口以及服务等信息 --list-all-zones 显示当前区域的网卡配置参数、资源、端口以及服务等信息 --add-service 服务名 设置默认区域允许该服务的流量 --add-port 端口号 / 协议 设置默认区域允许该端口的流量 --remove-service 服务名 设置默认区域不再允许该服务的流量 --remove-port 端口号 / 协议 设置默认区域不再允许该端口的流量 --reload 让“永久生效”的配置规则立即生效并覆盖当前的配置规则 --panic-on 开启应急状况模式 --panic-off 关闭应急状况模式 使用 firewalld 配置的防火墙策略默认为 运行时Runtime模式 又称为当前生效模式而且会随着系统的重启而失效。如果想让 配置策略一直存在就需要使用 永久Permanent模式 了方法就是在用 firewall-cmd 命令 正常设置防火墙策略时添加--permanent 参数 Runtime当前立即生效重启后失效。 Permanent当前不生效重启后生效。 实验
查看firewalld服务当前所使用的区域。
[rootlinuxprobe~]# firewall-cmd --get-default-zone
public
查询指定网卡在firewalld服务中绑定的区域。
[rootlinuxprobe~]# firewall-cmd --get-zone-of-interfaceens160
public
把网卡默认区域修改为external,并在系统重启后生效。
[rootlinuxprobe~]# firewall-cmd --permanent --zoneexternal --change-interfaceens160
The interface is under control of NetworkManager, setting zone to external.
success
[rootlinuxprobe~]# firewall-cmd --permanent --get-zone-of-interfaceens160
external
把firewalld服务的默认区域设置为public。
[rootlinuxprobe~]# firewall-cmd --set-default-zonepublic
Warning: ZONE_ALREADY_SET: public
success
[rootlinuxprobe~]# firewall-cmd --get-default-zone
public
[rootlinuxprobe~]# firewall-cmd --get-zone-of-interfaceens160
externa
启动和关闭firewalld防火墙服务的应急状况模式。
[rootlinuxprobe~]# firewall-cmd --panic-on
success
[rootlinuxprobe~]# firewall-cmd --panic-off
success
查询SSH和HTTPS协议的流量是否允许放行。
[rootlinuxprobe~]# firewall-cmd --zonepublic --query-servicessh
yes
[rootlinuxprobe~]# firewall-cmd --zonepublic --query-servicehttps
no
把HTTPS协议的流量设置为永久允许放行并立即生效。
[rootlinuxprobe~]# firewall-cmd --permanent --zonepublic --add-servicehttps
success
[rootlinuxprobe~]# firewall-cmd --zonepublic --query-servicehttps
no
把HTTP协议的流量设置为永久拒绝并立即生效。
[rootlinuxprobe~]# firewall-cmd --permanent --zonepublic --remove-servicehttp
Warning: NOT_ENABLED: http
success
[rootlinuxprobe~]# firewall-cmd --reload
success
把访问8080和8081端口的流量策略设置为允许但仅限当前生效。
[rootlinuxprobe~]# firewall-cmd --zonepublic --add-port8080-8081/tcp
success
[rootlinuxprobe~]# firewall-cmd --zonepublic --list-ports
8080-8081/tcp
把原本访问本机888端口的流量转发到22端口要且求当前和长期均有效。
firewall-cmd --permanent -zone区域,--add-forward-portport源端口号:proto 协议:toport目标端口号:toaddr目标IP地址
[rootlinuxprobe~]# firewall-cmd --permanent --zonepublic --add-forward-portport888:prototcp:toport22:toaddr192.168.10.10
success
[rootlinuxprobe~]# firewall-cmd --reload
success
富规则的设置 富规则也叫复规则表示更细致、更详细的防火墙策略配置它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有针对性的策略配置。它的优先级在所有的防火墙策略中也是最高的。 拒绝 192.168.10.0/24 网段的所有用户访问本机的 ssh 服务 22 端口 [rootlinuxprobe~]# firewall-cmd --permanent --zonepublic --add-rich-rulerule familyipv4 source address192.168.10.0/24 service namessh reject
success
[rootlinuxprobe~]# firewall-cmd --reload
success 在客户端使用 ssh 命令尝试访问 192.168.10.10 主机的 ssh 服务 22 端口 [rootclient A~]# ssh 192.168.10.10
Connecting to 192.168.10.10:22...
Could not connect to 192.168.10.10 (port 22): Connection failed. 基于 GUI图形用户界面 firewall-config是 firewalld 防火墙配置管理工具的 GUI图形用户界面版本几 乎可以实现所有以命令行来执行的操作 #yum install firewall-config #下载工具
#firewall-config #使用 linux系统中firewalld防火墙管理工具firewall-config: http://t.csdnimg.cn/26a6yhttp://t.csdnimg.cn/26a6y
