08 Iptables与Firewalld防火墙
配置网卡的方法
1、vim /etc/sysconfig/network-scripts/ifcfg-eno1677728
systemctl restart network
2、nmtui
3、nm-connection-editor
允许放行 ACCEPT
拒绝 REJECT
拒绝 DROP
日志 LOG
iptables -L 列出所有规则
iptables -F 清空匹配规则
iptables -A 写到规则后面
iptables -P INPUT DROP 修改匹配规则
iptables -I INPUT -s 192.168.10.1/24 -p tcp --dport 22 -j ACCEPT 插入匹配规则前面
iptables -D INPUT 2 删除策略 第二条
从上往下匹配 匹配到就会结束
禁止端口号
--dport 22
--dport 80
--dport 22:80
[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
zone 快速变更防火墙策略
firewalld中常用的区域名称及策略规则
| trusted | 允许所有的数据包 |
|---|---|
| home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
| internal | 等同于home区域 |
| work | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量 |
| public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
| external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
| block | 拒绝流入的流量,除非与流出的流量相关 |
| drop | 拒绝流入的流量,除非与流出的流量相关 |
RUNTIME 当前生效模式 当前生效,重启后立即失效
PERMANENT 永久生效 当前不生效,重启或者firewall-cmd --reload生效
firewall-cmd --zone=public --query-service=ssh
firewall-cmd --zone=public --add-service=ssh 添加到服务列表中
firewall-cmd --permanent --zone=public -add -service=http 重启之后生效
Linux系统中的一切都是文件
部署一个服务就是在在修改配置文件
修改过后记得重启
添加到开机启动项中
firewall-cmd --zone=public --add-port=8080-8280/tcp
firewall-cmd --list-ports
firewall-cmd --permanet --zone=public --add-rich-rule=" rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
SNAT 源地址转换协议
/etc/hosts.allow 白名单
/etc/hosts.deny 黑名单
