如何进行Linux中的火墙策略设计优化
Linux中的火墙策略设计
- 一、关于火墙的基础知识
- 1.火墙介绍
- 2.火墙管理工具切换
- 二、iptables
- 1. iptables 的使用
- 2.火墙默认策略
- 三、firewalld
- 1.关于firewalld的域
- 2.关于firewalld的设定原理及数据存储
- 3. firewalld的管理命令
- 4. firewalld的高级规则
- 5.firewalld中的NAT
一、关于火墙的基础知识
1.火墙介绍
定义:火墙是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
特性:
- 内部网络和外部网络之间的所有网络数据流都必须经过防火墙
- 只有符合安全策略的数据流才能通过防火墙
- 防火墙自身应具有非常强的抗攻击免疫力
2.火墙管理工具切换
在rhel8中默认使用的是firewalld
firewalld切换为iptables(如已有服务不需要安装步骤)
dnf install iptables-services -y
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld ##隐藏
[systemctl unmask firewalld] ##去除隐藏
systemctl enable --now iptables
iptales 切换为 fiewalld
dnf install firewalld -y
systemctl stop iptables
systemctl disable iptables
systemctl mask iptables
systemctl enable --now firewalld
二、iptables
1. iptables 的使用
在系统中永久保存火墙策略:
vim /etc/sysconfig/iptables ##iptables 策略记录文件
直接利用iptables命令设置策略后将策略永久保存的方法:
iptales-save > /etc/sysconfig/iptables
service iptables save
2.火墙默认策略
默认策略中的5条链
input | 输入 |
output | 输出 |
forward | 转发 |
postrouting | 路由之后 |
prerouting | 路由之前 |
默认的3张表
表名 | 定义说明 |
---|---|
filter | 经过本机内核的数据(input output forward) |
nat | 不经过内核的数据(postrouting,prerouting,input,output) |
mangle | 当filter和nat表不够用时使用(input output forward postrouting,prerouting,) |
iptables命令
iptables
参数 | 释义 | |
---|---|---|
-t | 指定表名称 | |
-n | 不做解析 | |
-L | 查看 | |
-A | 添加策略 | |
-p | 协议 | |
–dport | 目的地端口 | |
-s | 来源 | |
-j | (类型) | 动作 |
ACCEPT | 允许 | |
DROP | 丢弃 | |
REJECT | 拒绝 | |
SNAT | 源地址转换 | |
DNAT | 目的地地址转换 | |
-N | 新建链 | |
-E | 更改链名称 | |
-X | 删除链 | |
-D | 删除规则 | |
-I | 插入规则 | |
-R | 更改规则 | |
-P | 更改默认规则 |
数据包状态 | 释义 |
---|---|
RELATED | 建立过连接的 |
ESTABLISHED | 正在连接的 |
NEW | 新的 |
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW ! -s 192.168.0.10 -p tcp --dport 22 -j ACCEPT
ptables -A INPUT -m state --state NEW -j REJECT
service iptables save
nat表中的 dnat 和 snat 使用方法
snat
iptable -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.0.20dnat
iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 172.25.254.30
三、firewalld
1.关于firewalld的域
trusted | 接受所有的网络连接
home | 用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
work | 工作网络 ssh ipp-client dhcp-client
public | 公共网络 ssh dhcp-client
dmz | 军级网络 ssh
block | 拒绝所有
drop | 丢弃所有数据全部丢弃无任何回复
internal | 内部网络 ssh mdns ipp-client samba-client dhcp-client
external | ipv4网络地址伪装转发 sshd
2.关于firewalld的设定原理及数据存储
/etc/firewalld 火墙配置目录,用来编写设定配置参数
/lib/firewalld 火墙模块目录,用来存储火墙数据
3. firewalld的管理命令
firewall-cmd --state ##查看火墙状态
firewall-cmd --get-active-zones ##查看当前火墙中生效的域
firewall-cmd --get-default-zone ##查看默认域
firewall-cmd --list-all ##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work ##查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted ##设定默认域firewall-cmd --get-services ##查看所有可以设定的服务
firewall-cmd --permanent --remove-service=cockpit ##移除服务
firewall-cmd --reload firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域
firewall-cmd --reload
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定域
4. firewalld的高级规则
firewall-cmd --direct --get-all-rules ##查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.250 -p tcp --dport 22 -j REJECT
5.firewalld中的NAT
SNAT
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload DNAT
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.30
firewall-cmd --reload
如何进行Linux中的火墙策略设计优化相关推荐
- 详细总结Linux中的火墙策略优化
文章目录 前言 一.火墙介绍 二.火墙管理工具切换 三.iptables 1.火墙策略的永久保存 2.火墙默认策略 (1)iptables命令 (2)filter 表 (3)nat表 四.firewa ...
- Linux中的火墙策略优化(iptables,firewalld)
一.火墙介绍 1.netfilter 2.iptables 3.iptables | firewalld 二.火墙管理工具切换 在rhel8中默认使用的是firewalldfirewalld----- ...
- 第七章 LINUX中的火墙策略
火墙管理工具切换 firewalld----->iptables dnf install iptables-services -y systemctl stop firewalld system ...
- Linux中的火墙策略
1.火墙介绍 netfilter iptables iptables | firewalld 这个两个工具是用来管理火墙的 dnf install iptables-services -y 安装ip ...
- LINUX学习------3.6 Linux中的火墙策略优化
3.6.1 火墙介绍和火墙管理工具切换 1.netfilter 2.1iptables 2.2firewalld 2.1和2.2 都是为1服务 两者不可共存,有功能上的优劣 firewalld---- ...
- Linux中的火墙 - iptables
Linux中的火墙 - iptables 1.火墙介绍 2.火墙管理工具切换 3.iptables 的使用 4.火墙默认策略 5.iptables命令 1.火墙介绍 1.火墙技术 防火墙技术是通过有机 ...
- Linux系统中的火墙策略——firewalld、iptables
文章目录 一.基本介绍 二.火墙管理工具切换 1. firewalld切换为iptablds 2. iptables切换为firewalld 三.iptables的使用 四.火墙默认策略 1. 默认策 ...
- Linux中的火墙管理
火墙作用 将对系统有威胁的进程阻塞,Linux火墙主要分为firewall和iptables,默认火墙为firewall 火墙的默认策略 默认的五条链 input:输入 output:输出 forwa ...
- 从《剑与家园》中学习战斗策略设计
开篇语: <剑与家园>是一款由莉莉丝开发的策略战棋类游戏,并采用全球同服设计.游戏经历了很多个版本的迭代,且一直还在创新的实验中,也是笔者很喜欢的一款策略游戏. 游戏支持数百个单位同屏战斗 ...
最新文章
- DNS迭代式和递归式域名查询对比
- 【高薪】阿联酋起源人工智能研究院诚邀优秀人才(博士)
- 厦门“快捷贷”项目启动 最高可贷500万
- Adobe Livecycle ES Workbench
- Window上安装kafka
- Python 基础 函数
- Office与Visio同事安装兼容问题
- mysql 命令导入sql文件导出sql文件
- [Asp.net 开发系列之SignalR篇]专题五:SignalR支持的平台
- Android的 EditText的inputType类型
- java ognl 值栈_ognl-值栈基本操作
- ArcGIS三维建模(三)
- Flex Builder 3 正版注册码及破解版方法
- python基础(八):进制转换及python中的进制转换方法
- 基于XMPP协议的Android即时通信系(http://blog.csdn.net/lnb333666/article/details/7471292)...
- nodeBB项目的目录结构简介(nodeBB系列三)
- 二叉树的左视图-java
- 恒达高停车场信息管理系统的分析与设计
- 分布电容和杂散电容_部分电容和杂散电容
- 并发编程系列之并发编程的认识
热门文章
- AdaptiveLasso算法
- 东北大学继续教育学院计算机辅助数控编程,计算机辅助数控编程B卷李虎.doc离线.doc...
- 有趣的无领导小组讨论题目_讨论困难,但同样有趣
- 不会吧!做了两年建模师你还不清楚3D游戏角色制作过程
- UML之教学管理系统——6、Rational Rose画包图
- 使用rel=canonical来处理重复内容,转移权重
- 重庆华为服务器安装步骤
- (附源码)springboot+mysql+基于web的在线问答社区系统设计与实现 毕业设计061628
- 快速扩张网站的十个妙招
- 清华计算机应用复试笔试,清华计算机系复试指南(下) - 清华大学 - 王道论坛,专注于计算机考研的点点滴滴! - Powered by Discuz!...