iptables与firewalld防火墙
配置IP地址(网卡)的四种方法:
1、编辑配置文件:vim /etc/sysconfig/network-scripts/ifcfg-eno1677728,修改IPADDR的地址。
2、使用命令nmtui(RHEL7),setup(RHEL5、6)。
3、使用命令nm-connection-editor。
4、 使用系统自带图形化界面设置ip地址。
配置完以后都需要重启网卡,服务才生效,命令:systemctl restart network。
使用 iptables、firewall-cmd、firewall-config 和 TCP Wrappers 等防火墙策略配置服务,防火墙可以过滤请求的流量,还可以基于服务程序的名称对流量进行允许和拒绝操作,确保系统的安全性。
防火墙的策略:从上往下做匹配,匹配后就执行预设好的动作(不再匹配)。
防火墙的4个动作:
允许:ACCEPT 允许流量放行的操作。
拒绝:DROP 流量不能进入内网,并且对方不知道自己是否在线,返回丢包状态给访问者。
拒绝:PEJECT 流量不能进入内网,并且对方明确知道自己被拒绝。
日志:LOG 把信息记录下来,以便查看日志。
配置防火墙的四种方法:
1、iptables(使用版本:RHEL5、6、7.0、7.1)
iptables -L 查看已有的防火墙规则
iptables -F 清空所有(默认)的防火墙规则
iptables -I 优先级最高的策略
iptables -A 优先级最低的策略
iptables -I INPUT -p icmp -j REJECT 设置为REJECT拒绝访问,ping某地址时,显示无法连接到端口
iptables -D INPUT 1 删除防火墙规则的第一条策略
iptables -I INPUT -p icmp -j DROP 设置为DROP丢包状态,ping某地址时显示请求超时状态
iptables -I INPUT -p tcp --dport=22 -j REJECT 拒绝所有人访问本机22端口的策略
iptables -I INPUT -p tcp --dport=22 -s 192.168.10.x(IP地址) -j ACCEPT 拒绝所有人访问本机22端口,只允许特定IP地址访问
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=22 -j ACCEPT 对于某一个网段进行22端口号的访问控制
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=1000:2000 -j ACCEPT 允许某个网段的主机访问1000至2000端口号
2、firewalld防火墙(RHEL7.3以上使用的默认防火墙),分为firewall-cmd(命令行),firewall-config(图形化)
区域:zone防火墙规则、模板,默认情况下为:firewall-cmd --get-default-zone=public。(默认为public)
2种保存模式
runtime:当前生效,而重启后失效
permanent:当前不生效,重启后生效(也可执行firewall-cmd --reload命令立即生效)
firewall-cmd --panic-on 系统开启紧急模式,阻断一切网络连接(off为关闭);
firewall-cmd配置命令:
firewall-cmd --get-default-zone 查询当前默认区域值
firewall-cmd --permanent --zone=public --query-service=ssh 查询ssh服务是否被允许
firewall-cmd --permanent --zone=public --add-service=http 放行http服务
firewall-cmd --permanent --zone=public --remove-service=http 取消放行http服务0
firewall-cmd --permanent --zone=public --add-service=http 将http服务加入启动项,设置重启后生效,也可执行命令:firewall-cmd --reload会立即生效
firewall-cmd --permanent --zone=public --add-port=8000-9000/tcp 放行8000-9000端口
3、firewall-config图形化界面
如果不知道端口号,可以通过命令查看:cat /etc/services
4、TCP Wrappers服务的访问控制列表(rhel7)
TCP Wrappers 服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文 件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表 文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应 的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若 找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。
