《linux就该这么学》第十节课：第8章iptables和firewalld-白红宇

《linux就该这么学》第十节课：第8章iptables和firewalld

阅读量：5019 次

发布时间：2019-06-12

本文共 3128 字，大约阅读时间需要 10 分钟。

网卡配置：

物理机：192.168.10.1/24

服务器：192.168.10.10/24

客户端：192.168.10.20/24

1、vim /etc/sysconfig/network-scripts/ifcfg-eno16777728

2、nmtui（5和6中是setup）

3、nm-connection-editor

4、右上角点击

linux中一切都是文件

配置服务就是更改服务的配置文件

想获取服务最新配置需要重启服务

第八章

8.1、防火墙管理工具

RHEL7中firewalld取代了iptables，但是在RHEL7中两款防火墙工具都可以使用。

8.2、iptables

策略与规则连

iptables的策略条目成为规则，多条规则组成一个规则链，规则链按照数据包的位置不同分类：

PREROUTING：进行路由选择前处理数据包

INPUT：处理流入的数据包

OUTPUT：处理流出的数据包

FORWARD：处理转发的数据包

POSTROUTING：进行路由选择后处理数据包

而针对数据包处理的动作相应的有：

ACCEPT：允许流量通过

REJECT：拒绝流量通过

LOG：记录日志信息

DROP：拒绝流量通过

iptables中命令参数

iptables中有“四表五链”的概念，但这里不用了解这些概念。

iptables可根据原地址目标地址等信息由上至下依次匹配，一旦匹配会立即作出相应动作并跳出匹配列表。因此需把优先级高的策略放到前面。

-P //设置默认策略

-F //清空规则链

-L //查看规则链

-A //在规则链的末尾加入新规则

-I num // 在规则链的头部加入新规则

-D num // 删除某一条规则

-s //匹配来源地址IP/MASK，加叹号“!”表示除这个IP外

-d //匹配目标地址

-i //网卡名称匹配从这块网卡流入的数据

-o // 网卡名称匹配从这块网卡流出的数据

-p // 匹配协议，如TCP、UDP、ICMP

--dport num //匹配目标端口号

--sport num //匹配来源端口号

-j //动作匹配

8.3、firewalld

firewalld拥有给予cli和gui两种管理方式。

firewall加入了区域概念，也就是防火墙策略模板，方便在不同的场合快速切换。常见的区域有一下几种：

trusted //允许所有的数据包

home //拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关，则允许流量

internal // 等同于home区域

work //拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、ipp-client与dhcpv6-client服务相关，则允许流量

public // 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh、dhcpv6-client服务相关，则允许流量

external // 拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量

dmz //拒绝流入的流量，除非与流出的流量相关；而如果流量与ssh服务相关，则允许流量

block //拒绝流入的流量，除非与流出的流量相关

drop //拒绝流入的流量，除非与流出的流量相关

终端管理工具

firewalld的命令行是效率非常高的工作方式，CLI管理的命令行为：firewall-cmd，参数一般为长格式：

--get-default-zone //查询默认的区域名称

--set-default-zone=<区域名称> //设置默认的区域，使其永久生效

--get-zones //显示可用的区域

--get-services //显示预先定义的服务

--get-active-zones //显示当前正在使用的区域与网卡名称

--add-source= //将源自此IP或子网的流量导向指定的区域

--remove-source= //不再将源自此IP或子网的流量导向某个指定区域

--add-interface=<网卡名称> //将源自该网卡的所有流量都导向某个指定区域

--change-interface=<网卡名称> //将某个网卡与区域进行关联

--list-all //显示当前区域的网卡配置参数、资源、端口以及服务等信息

--list-all-zones //显示所有区域的网卡配置参数、资源、端口以及服务等信息

--add-service=<服务名> // 设置默认区域允许该服务的流量

--add-port=<端口号/协议> //设置默认区域允许该端口的流量

--remove-service=<服务名> //设置默认区域不再允许该服务的流量

--remove-port=<端口号/协议> //设置默认区域不再允许该端口的流量

--reload //让“永久生效”的配置规则立即生效，并覆盖当前的配置规则

--panic-on //开启应急状况模式

--panic-off //关闭应急状况模式

--permanent //若要是永久生效就加此参数

firewall-cmd的永久生效模式需要重启才可以生效，想要立即生效，需要手动执行firewall-cmd --reload 命令。

另外还有一些其他实用的参数命令：

--get-zone-of-interface=<网卡名称> //查询当前网卡所在区域

--zone //用于设置或查询区域

--list- //后面跟服务，端口等等，列出相关的查询

流量转发命令：firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

例如：firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10

firewalld中富规则是表示更详细，更细致的策略配置，可针对服务，端口等诸多信息更有针对性的策略配置，优先级也最高。

例：firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.10/24" service name="ssh" reject"

fileewalld的图形化管理工具：

1：选择运行时（Runtime）模式或永久（Permanent）模式的配置。

2：可选的策略集合区域列表。

3：常用的系统服务列表。

4：当前正在使用的区域。

5：管理当前被选中区域中的服务。

6：管理当前被选中区域中的端口。

7：开启或关闭SNAT（源地址转换协议）技术。

8：设置端口转发策略。

9：控制请求icmp服务的流量。

10：管理防火墙的富规则。

11：管理网卡设备。

12：被选中区域的服务，若勾选了相应服务前面的复选框，则表示允许与之相关的流量。

13：firewall-config工具的运行状态。

（借鉴请改动）

复习：nmtui、firewall-cmd

预习:第八章，第九章

转载于:https://www.cnblogs.com/charelee/p/10021229.html

你可能感兴趣的文章

Week4 案例分析

查看>>

Java----用正则表达式匹配Java源码中的关键字

ORACLE增删改查以及case when的基本用法

查看>>

[转]oracle10客户端PL/SQL Developer如何连接远程服务器上的oracle数据库

查看>>

HTML5 表单元素和属性

查看>>

SDUTOJ 2498 数据结构实验之图论十一：AOE网上的关键路径

2.6. Statistical Models, Supervised Learning and Function Approximation

查看>>

代码说明call和apply方法的区别 (咱们这方面讲解的少，这样的题有变式，需要举例讲解一下)...

查看>>

T-SQL 类型转换

查看>>

在eclipse中设计BPMN 2.0工作流定义的根本步骤

查看>>

Json对象与Json字符串互转(4种转换方式)

Python中sys模块sys.argv取值并判断

查看>>

【详记MySql问题大全集】四、设置MySql大小写敏感（踩坑血泪史）

查看>>

并查集

查看>>