---

一、关于火墙的基础知识

1.火墙介绍

定义：火墙是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

特性：

• 内部网络和外部网络之间的所有网络数据流都必须经过防火墙
• 只有符合安全策略的数据流才能通过防火墙
• 防火墙自身应具有非常强的抗攻击免疫力

2.火墙管理工具切换

在rhel8中默认使用的是firewalld

firewalld切换为iptables（如已有服务不需要安装步骤）

dnf install iptables-services -y
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld ##隐藏
[systemctl unmask firewalld]  ##去除隐藏
systemctl enable --now iptables

iptales 切换为 fiewalld

dnf install firewalld -y
systemctl stop iptables
systemctl disable iptables
systemctl mask iptables
systemctl enable --now firewalld

二、iptables

1. iptables 的使用

在系统中永久保存火墙策略：

vim /etc/sysconfig/iptables      ##iptables 策略记录文件

直接利用iptables命令设置策略后将策略永久保存的方法：

iptales-save > /etc/sysconfig/iptables
service iptables save

2.火墙默认策略

默认策略中的5条链

input	输入
output	输出
forward	转发
postrouting	路由之后
prerouting	路由之前

默认的3张表

表名	定义说明
filter	经过本机内核的数据（input output forward）
nat	不经过内核的数据（postrouting，prerouting,input,output）
mangle	当filter和nat表不够用时使用（input output forward postrouting，prerouting,）

iptables命令

iptables

参数		释义
-t		指定表名称
-n		不做解析
-L		查看
-A		添加策略
-p		协议
–dport		目的地端口
-s		来源
-j	（类型）	动作
	ACCEPT	允许
	DROP	丢弃
	REJECT	拒绝
	SNAT	源地址转换
	DNAT	目的地地址转换
-N		新建链
-E		更改链名称
-X		删除链
-D		删除规则
-I		插入规则
-R		更改规则
-P		更改默认规则

---

数据包状态	释义
RELATED	建立过连接的
ESTABLISHED	正在连接的
NEW	新的

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW ! -s 192.168.0.10 -p tcp --dport 22 -j ACCEPT
ptables  -A INPUT -m state --state NEW -j REJECT
service iptables  save

nat表中的 dnat 和 snat 使用方法

• snat
  iptable -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.0.20

• dnat
  iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 172.25.254.30

三、firewalld

1.关于firewalld的域

trusted      |  接受所有的网络连接
home        |  用于家庭网络，允许接受ssh mdns ipp-client samba-client dhcp-client
work        |  工作网络 ssh ipp-client dhcp-client
public      |  公共网络 ssh dhcp-client
dmz         |  军级网络 ssh
block       |  拒绝所有
drop        |  丢弃所有数据全部丢弃无任何回复
internal    |  内部网络 ssh mdns ipp-client samba-client dhcp-client
external    |  ipv4网络地址伪装转发 sshd

2.关于firewalld的设定原理及数据存储

/etc/firewalld 火墙配置目录，用来编写设定配置参数
/lib/firewalld 火墙模块目录，用来存储火墙数据

3. firewalld的管理命令

firewall-cmd --state     ##查看火墙状态
firewall-cmd --get-active-zones ##查看当前火墙中生效的域
firewall-cmd --get-default-zone ##查看默认域
firewall-cmd --list-all     ##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work ##查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted  ##设定默认域firewall-cmd --get-services    ##查看所有可以设定的服务
firewall-cmd --permanent --remove-service=cockpit  ##移除服务
firewall-cmd --reload firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域
firewall-cmd --reload
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block  ##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定域

4. firewalld的高级规则

firewall-cmd --direct --get-all-rules    ##查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.250 -p tcp --dport 22  -j REJECT

5.firewalld中的NAT

SNAT
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload DNAT
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.30
firewall-cmd --reload

如何进行Linux中的火墙策略设计优化相关推荐

1. 详细总结Linux中的火墙策略优化

   文章目录 前言 一.火墙介绍 二.火墙管理工具切换 三.iptables 1.火墙策略的永久保存 2.火墙默认策略 (1)iptables命令 (2)filter 表 (3)nat表 四.firewa ...

2. Linux中的火墙策略优化(iptables,firewalld)

   一.火墙介绍 1.netfilter 2.iptables 3.iptables | firewalld 二.火墙管理工具切换 在rhel8中默认使用的是firewalldfirewalld----- ...

3. 第七章 LINUX中的火墙策略

   火墙管理工具切换 firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld system ...

4. Linux中的火墙策略

   1.火墙介绍 netfilter iptables iptables | firewalld  这个两个工具是用来管理火墙的 dnf install iptables-services -y 安装ip ...

5. LINUX学习------3.6 Linux中的火墙策略优化

   3.6.1 火墙介绍和火墙管理工具切换 1.netfilter 2.1iptables 2.2firewalld 2.1和2.2 都是为1服务 两者不可共存,有功能上的优劣 firewalld---- ...

6. Linux中的火墙 - iptables

   Linux中的火墙 - iptables 1.火墙介绍 2.火墙管理工具切换 3.iptables 的使用 4.火墙默认策略 5.iptables命令 1.火墙介绍 1.火墙技术 防火墙技术是通过有机 ...

7. Linux系统中的火墙策略——firewalld、iptables

   文章目录 一.基本介绍 二.火墙管理工具切换 1. firewalld切换为iptablds 2. iptables切换为firewalld 三.iptables的使用 四.火墙默认策略 1. 默认策 ...

8. Linux中的火墙管理

   火墙作用 将对系统有威胁的进程阻塞,Linux火墙主要分为firewall和iptables,默认火墙为firewall 火墙的默认策略 默认的五条链 input:输入 output:输出 forwa ...

9. 从《剑与家园》中学习战斗策略设计

   开篇语: <剑与家园>是一款由莉莉丝开发的策略战棋类游戏,并采用全球同服设计.游戏经历了很多个版本的迭代,且一直还在创新的实验中,也是笔者很喜欢的一款策略游戏. 游戏支持数百个单位同屏战斗 ...

最新文章

1. DNS迭代式和递归式域名查询对比
2. 【高薪】阿联酋起源人工智能研究院诚邀优秀人才（博士）
3. 厦门“快捷贷”项目启动 最高可贷500万
4. Adobe Livecycle ES Workbench
5. Window上安装kafka
6. Python 基础 函数
7. Office与Visio同事安装兼容问题
8. mysql 命令导入sql文件导出sql文件
9. [Asp.net 开发系列之SignalR篇]专题五：SignalR支持的平台
10. Android的 EditText的inputType类型
11. java ognl 值栈_ognl-值栈基本操作
12. ArcGIS三维建模(三)
13. Flex Builder 3 正版注册码及破解版方法
14. python基础（八）：进制转换及python中的进制转换方法
15. 基于XMPP协议的Android即时通信系（http://blog.csdn.net/lnb333666/article/details/7471292）...
16. nodeBB项目的目录结构简介（nodeBB系列三）
17. 二叉树的左视图-java
18. 恒达高停车场信息管理系统的分析与设计
19. 分布电容和杂散电容_部分电容和杂散电容
20. 并发编程系列之并发编程的认识

热门文章

1. AdaptiveLasso算法
2. 东北大学继续教育学院计算机辅助数控编程,计算机辅助数控编程B卷李虎.doc离线.doc...
3. 有趣的无领导小组讨论题目_讨论困难，但同样有趣
4. 不会吧！做了两年建模师你还不清楚3D游戏角色制作过程
5. UML之教学管理系统——6、Rational Rose画包图
6. 使用rel=canonical来处理重复内容,转移权重
7. 重庆华为服务器安装步骤
8. （附源码）springboot+mysql+基于web的在线问答社区系统设计与实现 毕业设计061628
9. 快速扩张网站的十个妙招
10. 清华计算机应用复试笔试,清华计算机系复试指南（下） - 清华大学 - 王道论坛,专注于计算机考研的点点滴滴！ - Powered by Discuz!...