RedHat学习笔记28--防火墙管理工具及iptables
本系列博客是笔者在学习刘遄的《Linux就该这样学》的笔记,个人觉得这是一本很好的书,很值得我们去学习。因为笔者是自学,可能有些问题了解的层面没有那么深,各位大牛在看到笔者写的内容有错漏,望指出并给出建议,感激不尽!
- 防火墙管理工具
防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,否则丢弃;
iptables服务:把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理;
firewalld服务:把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 - iptables–策略与规则链
防火墙从上至下顺序读取配置策略规则,在找到匹配项后立即结束匹配工作,并去执行匹配项中定义的行为(放行或阻止);
如果读取完所有的策略规则后没有匹配项, 则执行默认的策略;
防火墙策略规则设置:“通”(放行)和"堵"(阻止);
a.当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁也进不来;
b.当防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来;
iptables服务把用于处理或过滤流量的策略条目称为规则,多条规则组成一个规则链;
规则链依据数据包处理位置分类:
a.在进行路由选择前处理数据包(PREROUTING);
b.处理流入的数据包(INPUT);
c.处理流出的数据包(OUTPUT);
d.处理转发的数据包(FORWARD);
e.在进行路由选择后处理数据包(POSTROUTING);
iptables服务中处理匹配到的流量的动作:
a.允许流量通过(ACCEPT);
b.拒绝流量通过(REJECT);
c.记录日志信息(LOG);
d.拒绝流量通过(DROP);
DROP和REJECT:
DROP直接将流量丢弃且不响应;
REJECT在拒绝流量后会给出一个响应。 - iptables基本命令参数
iptables命令根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables根据策略规则预设的动作来处理这些流量;
注:把较为严格、优先级较高的策略规则放到前面;
参数 | 作用 |
---|---|
-P | 设置默认策略 |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾加入新规则 |
-I num | 在规则链的头部加入新规则 |
-D num | 删除某一条规则 |
-s | 匹配来源地址IP/MASK,加感叹号"!"表示除这个IP外 |
-d | 匹配目标地址 |
-i 网卡名称 | 匹配从这块网卡流入的数据 |
-o 网卡名称 | 匹配从这块网卡流出的数据 |
-p | 匹配协议,如TCP、UDP、ICMP |
–dport num | 匹配目标端口号 |
–sport num | 匹配来源端口号 |
# 1.查看防火墙规则链
iptables -L# 2.清空已有防火墙规则
iptables -F
iptables -L# 3.把INPUT规则链的默认策略设置为拒绝
iptables -P INPUT DROP
iptables -L# 4.向INPUT规则链中添加允许ICMP流量进入的策略规则
iptables -I INPUT -p icmp -j ACCEPT
ping -c 4 192.168.1.102# 5.删除允许ICMP流量的策略,把默认策略设置为允许
iptables -D INPUT 1
iptables -P INPUT ACCEPT
iptables -L# 6.将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,
# 拒绝来自其他所有主机的流量
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A tcp --dport 22 -j REJECT
iptables -L# 7.向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
iptables -I INPUT -p tcp --dport 12345 -j REJECT
iptables -I INPUT -p udp --dport 12345 -j REJECT# 8.向INPUT规则链中添加拒绝192.168.1.110主机访问本机80端口的策略规则
iptables -I INPUT -p tcp -s 192.168.1.110 --dport 80 -j REJECT
iptables -L# 9.向INPUT规则链中添加拒绝所有主机访问本机1000-1024端口的策略规则
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
iptables -L# 10.保存配置好的防火墙规则,并重启规则
iptables-save
iptables-restore
RedHat学习笔记28--防火墙管理工具及iptables相关推荐
- Vue3学习笔记- NPM包管理工具
导语 这篇分享是关于Vue3 系列的学习知识的整理的开始,能够对大家学习带来帮助.也是对自己能力的一种提升. 学习大纲 认识NPM 安装NPM 使用NPM NPM中级用法 了解package.js ...
- redhat8版防火墙管理工具( iptables/firewalld)
iptables与firewalld 四种动作:ACCEPT 允许REJECT 明确拒绝DROP 不理睬 丢弃LOG 记录数据包类型: PREROUTING INPUT OUTPUT FOREARD ...
- RHCE redhat学习笔记
RHRE redhat学习笔记,完善中---- 第一章 Linux系统介绍及安装 1.Linux 介绍 1.1 linux 发展史 1.2 开源许可证 1.3 关闭系统命令 2 系统安装 2.1 系统 ...
- Git学习笔记:标签管理以及GItHub
前言 在补习python的时候主要参考的是廖雪峰的教程Python教程,在学习完后准备完成期末作业时,遇到了一个技术难题,需要初步掌握git,因此开始了git的学习. 本教程参考廖雪峰的Git教程 G ...
- linux软件包管理解析,linux学习笔记_09_软件包管理解析.doc
linux学习笔记_09_软件包管理解析 软件包管理 软件包分类 源码包(C语言编写的源代码) linux主要由C语言来写. 源码包可以用写字板打开 脚本安装包:源码包进行再开发的源码包(提供安装界面 ...
- Linux 学习笔记3 权限管理 定时任务 网络配置 进程、软件包管理
权限管理 linux组的介绍 在linux中的每个用户必须属于一个组,不能独立于组外.在linux中每个文件有所有者.所在组.其它组的概念. 1.所有者 2.所在组 3.其它组 4.改变用户所在的组 ...
- 文件和存储管理学习笔记-动态磁盘管理
Server 2008 R2 文件和存储管理学习笔记-动态磁盘管理 基本磁盘是包含基本分区.扩展分区或逻辑驱动器的一种物理磁盘 动态磁盘提供了基本磁盘不提供的一些高级功能,创建无限数量卷.跨越多个磁盘 ...
- Git学习笔记:分支管理3
前言 在补习python的时候主要参考的是廖雪峰的教程Python教程,在学习完后准备完成期末作业时,遇到了一个技术难题,需要初步掌握git,因此开始了git的学习. 本教程参考廖雪峰的Git教程 G ...
- Git学习笔记:分支管理(2)
前言 在补习python的时候主要参考的是廖雪峰的教程Python教程,在学习完后准备完成期末作业时,遇到了一个技术难题,需要初步掌握git,因此开始了git的学习. 本教程参考廖雪峰的Git教程 G ...
最新文章
- Latex 实时排版工具
- JavaScript二(第一个js程序)
- 双边滤波(bilateral filter)彩色图 matlab实现代码
- Linux的换网变化IP进行固定IP
- android 7调用摄像头,Android调用摄像头拍照(兼容7.0)
- Java创建一个学生类
- 收到字节 Offer,月薪 45k,揭秘面试流程及考点
- .net中所用到的编码名称和对应的代码页(Encoding.GetEncoding) .
- java程序设计教程课后题,一文轻松搞定
- python3.7.2安装与pycharm_Python3和PyCharm安装与环境配置【图文教程】
- php mysql link_php与mysql连接
- Failed to restart docker.service: Unit is masked.真正的解决办法
- .NET之EntityFramework框架运用
- (实用工具分享)网页尺寸测量工具Page Ruler
- html 选择题代码,JS实现简单的选择题测评系统代码思路详解(demo)
- OriginPro 2021 设置成中文(软件自带)
- 对象的15位、18位中国大陆身份证号码解析、验证工具
- configure: error: GD build test failed. Please check the config.log
- 通过CC逻辑控制芯片(CC Logic)HUSB320,简单实现接口升级
- 通过Dig来学DNS
热门文章
- 【探索 Kubernetes|作业管理篇 系列 15】DaemonSet 的”过人之处“
- Tor--anonymity network介绍(PPT)
- 链路追踪 SkyWalking 源码分析 —— Agent 插件体系
- 虹科NVH诊断案例 | 雷克萨斯GS 300传动系统振动问题
- Nuclei——一款基于YAML语法模板的快速漏洞扫描工具
- 名片管理系统——python实现
- 中通打印助手-查快递
- 继获得1100万美元投资后,Fincy将增招50位“战略型”人才
- 无人机倾斜摄影图像地理配准-随笔
- Android G.711音频编解码