2. 程式人生 > >iptables防火牆策略

iptables防火牆策略

阿新 發佈:2019-01-23


開啟防火牆:

systemctl start firewalld

firewall-config   &     圖形介面管理

watch -n 1 firewall-cmd --list-all  監控這個策略

permanent:永久,需要重啟/重新載入,不會失效  例如:firewall-cmd --permanent--add-service=http

runtime:執行,重啟會失效

dmz:非軍事區域

drop:丟棄

trusted:信任的,完全開放的

public:公共的 (一般用這個)

不加--permenent的都是臨時的,重啟會失效

加了的要重啟才會生效

firewall-cmd --state

檢視防火牆狀態

firewall-cmd --get-active-zones

檢視防火牆管理的裝置

eth0/1

firewall-cmd --get-default-zone

檢視生效的域

firewall-cmd --get-active-zones

檢視網路裝置所在的域

firewall-cmd --get-zones

檢視所有的域

firewall-cmd --zone=public --list-all

檢視public域中生效的策略

firewall-cmd --get-services

防火牆可以直接配置的服務

 firewall-cmd --list-all-zones

檢視所有的域的所有生效策略

不同網段的防火牆策略:以http為例:

安裝http

eth0和eht1放到不同的域上,兩個域的策略不同,會使瀏覽器訪問不同ip的時候,有不同的結果

注意 eht0和eth1必須在不同的網段

firewall-cmd --set-default-zone=dmz

將域改為dmz

firewall-cmd --permanent --change-interface=eth1 --zone=trusted

直接將eth1從原來的域轉到trusted這個域

firewall-cmd --add-service=http

firewall-cmd --remove-service=http

新增刪除服務(預設的域)

firewall-cmd --add-port=8080/tcp

firewall-cmd --remove-port=8080/tcp

新增/刪除介面

firewall-cmd --add-interface=eth0

firewall-cmd --remove-interface=eth0

新增/刪除裝置

firewall-cmd --add-source=192.168.33.172

新增信任主機

允許主機上的所有資料包通過

若後面加--zone=zmd

就是給zmd 這個域新增以上裝置/介面/服務

指定禁止ip主機訪問:

firewall-cmd --permanent --add-source=192.168.33.172 --zone=block

拉黑指定主機,然後過載防火牆規則

firewall-cmd --reload

已經連的不會斷開

firewall-cmd --complete-reload

已經連的也會斷開

192.168.33.170ssh測試登陸192.168.33.168  登陸不了

firewall-cmd --permanent --remove--source=192.168.33.172 --zone=block

從黑名單裡搞出來

 埠轉接:

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.33.172

當年有人連線本機的22號埠時,轉接到7號主機的22號埠

firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.33.172

刪除這個SNAT

iptables:與firewall只能同時使用其中一個

systemctl stop firewalld.service

systemctl disabled firewalld.service

systemctl mask firewalld.service

 遮蔽火牆

yum install iptables-server

iptables -t filter -L 

檢視 iptables

iptables -F

刷空iptables策略

service iptables save

過載iptables

新增幾條策略:

    iptables -A INPUT l -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    iptables -A INPUT -s 192.168.33.172 -p tcp -m tcp --dport 22 -j ACCEPT
    iptables -A INPUT  -p tcp --dport 80 -j ACCEPT
    
   iptables -A INPUT -j REJECT

  檢視策略
    iptables -nL


-i lo 表示從迴環地址進來的

-t 指定表

-L 列出表

-A:新增

-j 動作

-s 來源

-p 協議

--dport 埠

-D 刪除鏈裡面的策略

-X 刪除鏈

-E 給鏈改名

-P 更改預設的策略(ACCEPT/DROP)

 

相關推薦

CentOS_6.5配置iptables防火牆策略

###############配置filter表防火牆################清除預設表filter中的所有規則鏈的規則iptables -F#清除預設表filter中使用者自定鏈中的規則iptables -X#儲存iptables配置service iptable

centOS7-iptables防火牆策略設定

公司的客戶主要為國家公安機關和政府等事業單位,今天領導突然說伺服器被客戶檢測出漏洞,需要增加防火牆策略,由於之前伺服器都部署在內部網裡,所以防火牆都關了,臨時抱佛腳,配置一下首先centOS 7預設是 firewalld防火牆,這個防火牆的功能更加強大,還有圖形化管理頁面,但

iptables防火牆策略

 開啟防火牆: systemctl start firewalld firewall-config   &     圖形介面管理 watch -n 1 firewall-cmd --list-all  監控這個策略 permanent:永久,需要重啟/重新載

Linux--防火牆策略 iptables(續)

****************************************************************************************************

Linux環境下iptables防火牆基本用法演示

一、簡單新增 兩臺裝置,防火牆關閉,防火牆規則很乾淨,網路通暢。 當啟用防火牆後,iptables -vnL顯示出所有規則,但我們不使用預設規則,清空規則,自己定義 1、iptable -t filter -A INPUT -s 192.168.239.70 -j DROP(末尾新增),設定

iptables防火牆基本概念及用法

                         &nb

zabbix監控iptables防火牆狀態之是否有丟棄的包(攻-擊)

概述 之前有介紹通過saltstack統一管理線上防火牆規則,並且是在預設規則為DROP策略下,即意味著,如果沒有明確允許開放或允許出去訪問,則防火牆會拒絕請求;特別是在線上防火牆改造時,可能由於歷史原因不知道開放了那些服務,也不知道機器上的服務是否有出去請求的情況下,此時需要記錄防火牆訪問日誌,並檢視是否

系統安全保護與防火牆策略

SELinux模式的切換 enforcing(強制)permissive(寬鬆)disabled(禁用)與disabled模式相關的切換都需要重啟getenforce ----檢視模式臨時切換:setenforce 1|0 (1-強制,0-寬鬆)永久配置:/etc/selinux/config  

五分鐘徹底學會iptables防火牆--技術流ken

  iptables簡介   IPTABLES 是與最新的 3.5 版本 Linux核心整合的 IP 資訊包過濾系統。如果 Linux 系統連線到因特網或 LAN、伺服器或連線 LAN 和因特網的代理伺服器, 則該系統有利於在 Linux 系統上更好地控制 IP 資訊包過濾和防火牆配

Linux之Iptables防火牆相關概念和基本操作

iptables概念 一、 iptables的前身叫ipfirewall(核心1.x時代),這是一個作者從freeBSD上移植過來的,能夠工作在核心當中的,對資料包進行檢測的一款簡易訪問控制工具。但是ipfirewall工作功能極其有限(它需要將所有的規則都放進核心當中,這樣規則才能

iptables防火牆配置

iptables命令: 列出iptables規則:iptables -L -n 列出iptables規則並顯示規則編號:iptables -L -n --line-numbers 列出iptables nat表規則(預設是filter表):ip

iptables防火牆 filter表控制 擴充套件匹配 nat表典型應用

NSD SECURITY DAY04 案例1:iptables基本管理 案例2:filter過濾和轉發控制 案例3:防火牆擴充套件規則 案例4:配置SNAT實現共享上網 1 案例1:iptables基本管理 1.1 問題 本案例要求練習iptables命令的使用,

關於iptables防火牆的介紹和使用

目錄 1.Netfileter/iptables(以下簡稱iptables)防火牆簡介 unix/linux自帶的開源,且基於包過濾的防火牆工具

配置iptables防火牆

linux下IPTABLES配置詳解   -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 24000 -j ACCEPT -A RH-Firewall-1-INPUT -s 121.10.

04: iptables防火牆 filter表控制 擴充套件匹配 nat表典型應用

Top NSD SECURITY DAY04 1 案例1:iptables基本管理 1.1 問題 本案例要求練習iptables命令的使用,按照要求完成以下任務: 關閉firewalld,開啟iptables服務 檢視防火牆規則 追加、插入防火牆規則 刪除

CentOS7安裝iptables防火牆

CentOS7預設的防火牆不是iptables,而是firewalle. 1、安裝iptable iptable-service #先檢查是否安裝了iptables service iptables status #安裝iptables yum install -y ip

iptables防火牆只允許指定ip連線指定埠、訪問指定網站

                需要開80埠,指定IP和區域網 下面三行的意思: 先關閉所有的80埠 開啟ip段192.168.1.0/24端的80口 開啟ip段211.123.16.123/24端ip段的80口 # iptables -I INPUT -p tcp --dport 80 -j DROP #

iptables防火牆的安裝與初始化配置(CentOS)

iptables是Linux上常用的防火牆軟體,下面給大家說一下iptables的安裝、清除iptables規則、iptables只開放指定埠、iptables遮蔽指定ip、ip段及解封、刪除已新增的iptables規則、設定iptables開機啟動等ipta

iptables策略路由實現VPN感興趣流的截獲

感興趣流是VPN的術語,說的是需要進行保護的流量,也就是說需要進入VPN隧道的流量,然則仔細推敲之後,發現基於IP層加密的VPN這麼使用“流”的概念是有問題的,因為對於IP,根本不存在流的概念,實質在於IP協議根本就沒有方向。即使這樣,本文還是介紹了一種全網互通的感興趣流的截獲技術。下面是一個拓撲圖:可以看出

一個典型的iptables防火牆配置

2011-02-17 周海漢 2011.2.17 機房安全是必須考慮的事情。一些伺服器裝置必須暴露公網IP,很容易遭到攻擊。配置硬體或軟體防火牆,只開放可以訪問的埠,拒絕其他不合法的IP的請求,包括埠掃描。甚至拒絕ping。將