admin管理员组文章数量:1642334
#######iptables的用法#######
准备工作:
iptables
-n ##不做解析
-L ##列出指定表中的策略
-A ##增加策略
-p ##网络协议
--dport ##端口号
-s ##数据来源
-j ##动作
ACCEPT ##允许
REJECT ##拒绝
DROP ##丢弃
-N ##增加链
-E ##修改链名称
-X ##删除链
-D ##删除指定策略
-I ##插入
-R ##修改策略
-P ##修改默认策略
iptables -t filter -nL ##查看filter表中的策略
iptables -F ##刷掉filter表中的所有策略,默认为filter表
[root@localhost ~]# service iptables save ##保存当前策略
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
[root@localhost ~]# iptables -A INPUT -i lo -j ACCEPT ##允许lo
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT ##允许访问22端口
[root@localhost ~]# iptables -A INPUT -s 172.25.254.6 -j ACCEPT ##允许6主机访问本机所有端口
[root@localhost ~]# iptables -A INPUT -j REJECT ##拒绝所有数据来源
[root@localhost ~]# iptables -N redhat ##增加链redhat
[root@localhost ~]# iptables -E redhat westos ##修改链redhat名为westos
iptables -X westos ##删除westos链
iptables -I INPUT -p tcp --dport 80 -j REJECT ##插入到INPUT策略的第一条
iptables -R INPUT 1 -p tcp --dport 80 -j ACCEPT ##修改第一条策略
iptables -P INPUT DROP ##修改默认策略
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A INPUT -j REJECT
[root@localhost ~]# sysctl -a |grep forward
[root@localhost ~]# echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf ##开启路由功能
[root@localhost ~]# sysctl -p ##刷新配置
net.ipv4.ip_forward = 1
[root@localhost ~]# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106 ##出路由
[root@localhost ~]# iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-dest 172.25.6.11 ##进入路由
测试结果:
##########firewalld的用法#######
1.基础知识
firewalld可以直接用协议的名称
stop停止
mask冻结弃用
iptables限制的是协议的端口
2.使用命令行接口配置防火墙
查看firewalld的状态:
# firewall-cmd --state
查看当前活动的区域,并附带一个目前分配给它们的接口列表:
# firewall-cmd --get-active-zones
查看默认区域:
# firewall-cmd --get-default-zone
查看所有可用区域:
# firewall-cmd --get-zones
列出指定域的所有设置:
# firewall-cmd --zone=public --list-all
列出所有预设服务:
# firewall-cmd --get-services
列出所有区域的设置:(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的
service-name. xml)
# firewall-cmd --list-all-zones
设置默认区域:
# firewall-cmd --set-default-zone=dmz
设置网络地址到指定的区域:
# firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24
(--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)
删除指定区域中的网路地址:
# firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24
添加、改变、删除网络接口:
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、删除服务:
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、删除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重载防火墙:
# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到
配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认
模板。
3.Direct Rules
通过 firewall-cmd 工具,可以使用 --direct 选项在运行时间里增加或者移除链。
如果不熟悉 iptables ,使用直接接口非常危险,因为您可能无意间导致防火墙被入侵。
直接端口模式适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。
直接端口模式添加的规则优先应用。
添加规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j
ACCEPT
删除规则:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j
ACCEPT
列出规则:
# firewall-cmd --direct --get-all-rules
4.添加规则:
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'
允许172.25.0.10主机所有连接。
# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
每分钟允许2个新连接访问ftp服务。
# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'
同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。
# firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24"
service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。
# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
丢弃所有icmp包
# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' --
timeout=10
当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,
规则将在指定的秒数内被激活,并在之后被自动移除。
# firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service
name="dns" audit limit value="1/h" reject' --timeout=300
拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志。
# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source
address=172.25.0.0/24 service name=ftp accept'
允许172.25.0.0/24网段中的主机访问ftp服务
# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port
to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'
转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012
5.伪装和端口转发
伪装:
# firewall-cmd --permanent --zone=< ZONE > --add-masquerade
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source
addres=172.25.0.0/24 masquerade'
端口转发:
# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=
port=80:proto=tcp:toport=8080:toaddr=172.25.0.10
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source
address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080'
本文标签: firewalld
版权声明:本文标题:firewalld的用法 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729336189a1197010.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论