搜索到
2
篇与
的结果
-
Centos7安装firewalld防火墙及常用的基本操作 如果centos7有安装iptables防火墙及其他防火墙先关掉或者卸载掉,没有就忽略。关闭iptablessystemctl stop iptables安装firewalldyum install -y firewalld开启防火墙systemctl start firewalld查看防火墙状态systemctl status firewalld重启防火墙systemctl restart firewalld设置防火墙开机自启systemctl enable firewalld关闭防火墙开机自启systemctl disable firewalld查看预定义区域firewall-cmd --get-zones查看每个区域的详细信息firewall-cmd --list-all-zones区域简介:区域默认规则block拒绝流入的流量,除非与流出的流量相关dmz拒绝流入的流量,除非与流出的流量相关;如果流量与ssh服务相关,则允许流量drop拒绝流入的流量,除非与流出的流量相关external拒绝流入的流量;除非与流出的流量相关;如果流量与ssh服务相关,则允许流量home拒绝流入的流量;除非与流出的流量相关;如果流量与ssh,mdns,ipp-client,amba-client,dhcpv6-client服务相关,则允许流量internal等同于home区域public拒绝流入的流量;除非与流出的流量相关;如果流量与ssh,dhcpv6-client服务相关,则允许流量trusted允许所有的数据包流入与流出work拒绝流入的流量;除非与流出的流量相关;如果流量与ssh,ipp-client,dhcpv6-client服务相关,则允许流量创建自定义区域firewall-cmd --permanent --new-zone=testing注意: --permanent选项不能少查看默认区域firewall-cmd --get-default-zone查看网卡关联的区域firewall-cmd --get-zone-of-interface=eth0注意: 一张网卡只能关联一个区域修改默认区域# #修改默认区域为`trusted` # firewall-cmd --set-default-zone=trusted success # firewall-cmd --get-default-zone trusted # firewall-cmd --get-zone-of-interface=eth0 trusted # #还原 # firewall-cmd --set-default-zone=public success # firewall-cmd --get-default-zone public # firewall-cmd --get-zone-of-interface=eth0 public修改网卡关联的区域方法1:先删除现有关联区域,再添加目标关联区域(因为同一时间,一张网卡只能关联一个区域,所以要先添加再删除)# firewall-cmd --remove-interface=eth0 --zone=public success # firewall-cmd --get-zone-of-interface=eth0 no zone ## 设置eth0关联区域为trusted # firewall-cmd --add-interface=eth0 --zone=trusted success # firewall-cmd --get-zone-of-interface=eth0 trusted方法2:## 设置eth0关联区域为public # firewall-cmd --change-interface=eth0 --zone=public success # firewall-cmd --get-zone-of-interface=eth0 public查看当前活动区域及绑定的接口和源# firewall-cmd --get-active-zones public interfaces: eth0 -
Centos7安装iptables防火墙及常用的基本操作 1· 如果centos7有安装firewalld防火墙及其他防火墙先关掉或者卸载掉,没有就忽略。关闭firewalldsystemctl stop firewalld安装iptablesyum install -y iptables启动iptablessystemctl start iptables.service停止iptablessystemctl stop iptables.service设置开机自启systemctl enable iptables.service关闭开机自启systemctl disable iptables.service2· 用下面的命令先放行ssh的22端口,(一般默认都放行的)。iptables -A INPUT -p tcp --dport 22 -j ACCEPT3· iptables的表和链配置iptables时,不指定表,就是使用filter表。可以向规则链中加入很多规则,数据包进入该链时,从上向下匹配,匹配即停止,开始应用规则。如果全都不匹配,则应用默认规则。4· 查看iptables默认规则,(--line 列出序号)。iptables -nL --linefilter中的三条链• INPUT:(入站)数据包的目标地址是自己,则进入INPUT链• OUTPUT:(出站)数据包的源地址是自己,则进入OUTPUT链• FORWARD:(转发)数据包穿过自己,则进入FORWARD链常用的ACTION:DROP:丢弃REJECT:明示拒绝ACCEPT:接受如下图,默认都是ACCEPT– 可以设置默认拒绝,然后明确允许– 也可以设置默认允许,然后明确拒绝注意:通过ssh连接的话,一定要先用上面的命令先把22放行,才执行下面的命令。设置INPUT链默认拒绝,然后明确允许。iptables -P INPUT DROP5· 在INPUT链放行某个端口示例,比如放行TCP80端口,iptables -A INPUT -p tcp --dport 80 -j ACCEPT6· 在INPUT链放行某个端口示例,比如放行UDP4500端口,iptables -A INPUT -p udp --dport 4500 -j ACCEPT7· 在INPUT链删除某一条规则示例,比如删掉下图的TCP80端口。iptables -D INPUT 5然后再查询iptables规则,TCP80就没有了。iptables -nL --line8· iptables -A INPUT 是添加规则到链的结尾。9· iptables -I INPUT 2 指定位置插入规则,插入到规则链的第2条,越靠前的规则优先级越高。10· 插入一条规则示例,比如将TCP80插入到INPUT链的第一条。iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT11· 禁ping的示例,将规则插到INPUT链的第一条,DROP是直接丢弃。就ping不通了。iptables -I INPUT 1 -p icmp -j DROP12· 允许ping的示例,将规则插到INPUT链的第一条,ACCEPT是接受。就可以ping通。iptables -I INPUT 1 -p icmp -j ACCEPT13· 匹配网络状态,发出的数据然后返回给你数据也得允许进入。iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT14· 放行多个端口或者连续的端口,比如放行不连续的端口22,80,443,8000,放行连续端口500:600端口(放行500到600之间的连续端口)iptables -A INPUT -p tcp -m multiport --dport 22,80,443,8000,500:600 -j ACCEPT15· 保存iptables配置,如果不保存,重启机器或者重启iptables后之前添加的规则就没有了。service iptables save
