防火墙（firewalld与iptables）_Lucky__Strike的博客-CSDN博客
防火墙（firewalld与iptables）
Lucky__Strike
于 2017-12-04 12:09:09 发布
52840
收藏
94
分类专栏：
防火墙
伪装
端口转发
版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
本文链接：https://blog.csdn.net/weixin_40658000/article/details/78708375
版权
防火墙
同时被 3 个专栏收录
1 篇文章
1 订阅
订阅专栏
伪装
1 篇文章
0 订阅
订阅专栏
端口转发
1 篇文章
0 订阅
订阅专栏
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1）Netfilter：数据包过滤机制 2）TCP Wrappers：程序管理机制 关于数据包过滤机制有两个软件：firewalld与iptables 关于两者的不同介绍如下： 1 2 iptables通过控制端口来控制服务，而firewalld则是通过控制协议来控制端口 我们这里先对firewalld做实验。Iptables和firewalld只能开一个。 在学习之前先对iptables firewalld 内核之间的关系有一个了解。
（一） （1）firewalld
安装：
[root@route ~]# yum install firewalld
[root@route ~]# systemctl start firewalld
[root@route ~]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since 日 2017-12-03 21:12:02 EST; 49s ago
Main PID: 2362 (firewalld)
CGroup: /system.slice/firewalld.service
└─2362 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
12月 03 21:12:02 route systemd[1]: Started firewalld - dynamic firewall daemon.
12月 03 21:12:45 route systemd[1]: Started firewalld - dynamic firewall daemon.
[root@route ~]# systemctl enable firewalld
[root@route ~]# firewall-cmd --state
running ##查看火墙状态
（2）firewalld的图形化管理：
root@route ~]# firewall-config &
其中左下角是软件管理的域，有以下几种：
Configuration有临时设定（runtime）和永久（permanent）设定两种，临时设定reload后会恢复原状态，而永久不会。 每个域后由管理的服务，端口等等： 这里注意，public为火墙默认的域。 （3）firewall的命令行接口配置防火墙 Firewalld-cmd是命令，firewalld-config是图形。 查看活跃区域，默认区域，所有区域：
更改默认区域
测试：将默认区域改为publilc，测试:本来public只允许sshh和dhcpv6-client，现在我们用ftp测试。 安装vsftpd和lftp,并开启： 在ftp服务端：
在ftp客户端： 测试结果：ftp客户端访问被拒绝。 注意：用firewall-cmd –list-all 显示的就是默认区域的接口（interfaces），源（sources），服务（services）端口（ports）伪装开关（masquerade）（转发接口）Forward-ports 。
列出服务：
此时可以更改服务相关配置，服务的配置文件都是.xml结尾： ‘ –将来源IP172.25.254.250设置为trust
删除：
–将eth0添加到trusted中，注意：得先将eth0从public中删除：
–实验：下面时对接口做的工作，现在初始情况是：eth0与eth1处在public域中，现在假设eth0为外网开放接口，eth1为内网开放接口，现在将eth1加入trusted中，内部网络可以访问。 先将eth1加入到trusted中：
然后在trusted中加入http服务：
publlic域默认为ssh连接与dhcpv6-client所以eth0并不具有连网功能： eth0：172.25.254.136 eth1:172.25.254.236,注意：现实生活中通常是两个不同的网段。
—实验：我们可以将来源ip为172.25.254.79的所有包拒绝：
此时未生效，需要加载，有两种方式：
注意:若此时179主机通过ssh连接上了服务端，若用complete，则会中断现有连接，若使用–reload，则不会中断现有连接。
（4）firewalld的direct-rules
firewall-cmd –-direct –get-all-rules ##列出规则
firewall-cmd –-direct –add-rule ipv4 filter INPUT 0 ! -s 172.25.254.79 -p tcp –dport 80 -j ACCEPT ##添加规则
firewall-cmd –-direct –remove-rule ipv4 filter INPUT 0 ! -s 172.25.254.79 -p tcp –dport 80 -j ACCEPT ##删除规则
比如：不让79主机访问80端口的请求响应：
（5）端口转发与地址伪装：
在防火墙服务器上将伪装打开：
当79端口登陆主机时，将79伪装
当访问本机22端口时，将其转到236这个主机上：
测试查看;用79主机ssh连接136主机：
登陆的是236主机：
查看登陆者，登陆者是136。79主机被伪装起来了
（二）iptables 首先得保持一个纯净的环境，将firewalld关闭。安装iptables
(1）理论基础：当主机收到一个数据包后，数据包先在内核空间中处理，若发现目的地址是自身，则传到用户空间中交给对应的应用程序处理，若发现目的不是自身，则会将包丢弃或进行转发。
(2）iptables实现防火墙功能的原理是：在数据包经过内核的过程中有五处关键地方，分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING，称为钩子函数，iptables这款用户空间的软件可以在这5处地方写规则，对经过的数据包进行处理，规则一般的定义为“如果数据包头符合这样的条件，就这样处理数据包”。 iptables中定义有表，分别表示提供的功能，有filter表（实现包过滤）、nat表（实现网络地址转换）、mangle表（实现包修改）、raw表（实现数据跟踪），这些表具有一定的优先级：raw–>mangle–>nat–>filter 下面是数据包流向图： 数据包先经过PREOUTING，由该链确定数据包的走向：
1 目的地址是本地，则发送到INPUT，让INPUT决定是否接收下来送到用户空间，流程为①--->②;
2 若满足PREROUTING的nat表上的转发规则，则发送给FORWARD，然后再经过POSTROUTING发送出去，流程为： ①--->③--->④--->⑥
3 主机发送数据包时，流程则是⑤--->⑥
(3）iptables的规则书写：
基本语法：iptables [-t 表] [操作命令] [链][规则匹配器][-j 目标动作]
iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface] [-p tcp,udp.icmp,all] [-s ip/nerwork] [–sport ports] [-d ip/network] [–dport ports] [-j ACCEPT DROP REJECT REDIRECT MASQUERADE LOG DNAT SNAT MIRROR QUEUE RETURN MARK]
常用操作命令： -A 在指定链尾部添加规则 -D 删除匹配的规则 -R 替换匹配的规则 -I 在指定位置插入规则
例：iptables -I INPUT 1 –dport 80 -j ACCEPT
（将规则插入到filter表INPUT链中的第一位上） -L/S 列出指定链或所有链的规则 -F 删除指定链或所有链的规则 -N 创建用户自定义链
例：iptables -N allowed -X 删除指定的用户自定义链 -P 为指定链设置默认规则策略，对自定义链不起作用
例：iptables -P OUTPUT DROP -Z 将指定链或所有链的计数器清零 -E 更改自定义链的名称
例：iptables -E allowed disallowed -n ip地址和端口号以数字方式显示
例：iptables -Ln 常见规则匹配器 说明 -p tcp|udp|icmp|all 匹配协议，all会匹配所有协议 -s addr[/mask] 匹配源地址 -d addr[/mask] 匹配目标地址 –sport port1[:port2] 匹配源端口(可指定连续的端口） –dport port1[:port2] 匹配目的端口(可指定连续的端口） -o interface
匹配出口网卡，只适用FORWARD、POSTROUTING、OUTPUT。
例：iptables -A FORWARD -o eth0 -i interface
匹配入口网卡，只使用PREROUTING、INPUT、FORWARD。 –icmp-type 匹配icmp类型（使用iptables -p icmp -h可查看可用的ICMP类型） –tcp-flags mask comp
匹配TCP标记，mask表示检查范围，comp表示匹配mask中的哪些标记。
例：iptables -A FORWARD -p tcp –tcp-flags ALL SYN，ACK -j ACCEPT
（表示匹配SYN和ACK标记的数据包） 目标动作 说明 ACCEPT 允许数据包通过 DROP 丢弃数据包 REJECT 丢弃数据包，并且将拒绝信息发送给发送方 SNAT
源地址转换（在nat表上）
例：iptables -t nat -A POSTROUTING -d 192.168.0.102 -j SNAT –to 192.168.0.1 DNAT
目标地址转换（在nat表上）
例：iptables -t nat -A PREROUTING -d 202.202.202.2 -j DNAT –to-destination 192.168.0.102 REDIRECT
目标端口转换（在nat表上）
例：iptables -t nat -D PREROUTING -p tcp –dport 8080 -i eth2.2 -j REDIRECT –to 80 MARK
将数据包打上标记
例：iptables -t mangle -A PREROUTING -s 192.168.1.3 -j MARK –set-mark 60
实验： 1）显示filter表所有链的规则，默认为filter表 如上，可以看到filter三条链 2）查看net表的
3）注意一点：火墙设置的策略好坏会影响到传输速率的快慢，因为火墙规则读取是有先后顺序的。
(4)NAT Net Address Trancelate：网络地址转换 SNAT（源地址转换）是指在数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的IP，这样，接收方就认为数据包的来源是被替换的那个IP的主机 DNAT（目标地址转换），就是指数据包从网卡发送出去的时候，修改数据包中的目的IP，表现为如果你想访问A，可是因为网关做了DNAT，把所有访问A的数据包的目的IP全部修改为B，那么，你实际上访问的是B 下面我们来模拟以下两个转换： 1）SNAT： 实验准备： 双网卡主机： 单网卡主机： IP：
GATEWAY： 注意：这里双网卡主机类似于路由器的功能。所以单网卡主机的网关必须是和本机ip处于同一网段而且是和双网卡主机上的一块网卡IP相同。
接下来我们在单网卡主机上ping网关，检查实验环境：
说明双网卡主机网卡来良好。
在进行SNAT之前我们的单网卡主机是不能连接不同网段的172.25.79.250这台主机的 。
我们要用单网卡主机来连不同网段的主机，必须要做SNAT。在双网卡主机上做防火墙规则书写：
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.79.136
查看火墙规则：
这时还有个net表的ip转发功能未开启，将其开启：
[root@route ~]# sysctl -a | grep ip_forward
net.ipv4.ip_forward = 0
[root@route ~]# vim /etc/sysctl.conf
[root@route ~]# sysctl -p
net.ipv4.ip_forward = 1
此时在单网卡主机ping不同网段的主机，发现可以：
SNAT：局域网共享一个公网IP接入lnternel， 好处如下： 1、保护内网用户安全，因为公网地址总有一些人恶意扫描，而内网地址在公网没有路由所以无法被扫描，能被扫描的只有防火墙这一台，这样就减少了被攻击的可能。 2、Ipv4地址匮乏，很多公司只有一个ipv4地址，但是却有几百个用户需要上网，这个时候就需要使用SNAT。 3、省钱，公网地址付费，使用SNAT只需要一个公网ip就可以满足几百人同时上网。
DNAT ： 我们在双网卡主机（route）上书写规则： 从eth1接口经来的数据包我们将其目标地址转为172.25.254.11这台主机上
我们在172.25.254.79主机上测试: 用ssh连接172.25.254.136:
但是却是登陆的172.25.254.11这台主机： 实现了目的地转换。
DNAT的用途： DNAT：向internel发布内网服务器 在内网中有服务器，如果想让公网用户访问有有两种方法。 1  配置双网卡，一网卡对内，一网卡对外；一般是高访问量的web服务器，为了避免占用网关的流量才这样做，使用不是很广泛。 2  内网web服务器，或是ftp服务器，为了用户在公网也可以访问，有不想买公网ip地址，采用DNAT方案。
Lucky__Strike
关注
关注
25
点赞
94
收藏
打赏
评论
防火墙（firewalld与iptables）
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1）Netfilter：数据包过滤机制 2）TCP Wrappers：程序管理机制 关于数据包过滤机制有两个软件：firewalld与iptables 关于两者的不同介绍如下： 1 2 iptables通过控制端口来控制服务，而firewalld则是通过控制协议来控制
复制链接
扫一扫
专栏目录
浅析Firewalld与Iptables
lilygg的博客
06-08
1万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。
1）Netfilter：数据包过滤机制
2）TCP Wrappers：程序管理机制
关于数据包过滤机制有两个软件：firewalld与iptables
关于两者的不同介绍如下：
firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter...
Linux内网渗透基础篇
最新发布
m0_61506558的博客
11-08
639
(一）本机基本信息。iptables -L 查看防火墙配置
查看防火墙状态：systemctl status firewalld service iptables status暂时关闭防火墙:systemctl stop firewalld service iptables stop永久关闭防火墙：systemctl disable firewalld
chkconfig iptables off重启防火墙：systemctl enable firewalld
service iptab
评论 3
您还未登录，请先
登录
后发表或查看评论
Firewalld详解
meltsnow的博客
03-11
9234
1.简介
在RHEL7里有几种防火墙共存：firewalld、iptables、ebtables，默认是使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables等。——iptables的具体配置在下一章博客中会详细介绍，本章主要介绍Firewalld
Firewalld与iptables对比
firewalld 是 iptables 的前端控制器
iptabl...
win10神州网信版配置防火墙
鲨鱼胃的博客
11-07
603
win10的神州网信版没有防火墙功能，打开控制面板也没有防火墙的选项，但是再服务里防火墙却是运行的。在组策略里也看不到防火墙，查看防火墙和网络保护也没有相关设置，“允许应用通过防火墙”这里也不能点击。1、按Win+R键，输入Firewall.cpl后，点击确定。2、点击防火墙选项。
Linux就该这么学—Nine Iptables与Firewalld防火墙
木子~忘忧的博客
07-27
748
防火墙管理工具
防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制，然后防火墙使用预先定制的策略规则监控出入的流量，若流量与某一条策略规则相匹配，则执行相应的处理，反之则丢弃。这样一来，就可以保证仅有合法的流量在企业内网和外部公网之间流动了。
在RHEL 7系统中，firewalld防火墙取代了iptables防火墙。iptables与firewalld都不是真正的防火墙，它们都只...
linux firewalld与iptables的区别
06-13
885
firewalld 与 iptables的比较：
1，firewalld可以动态修改单条规则，动态管理规则集，允许更新规则而不破坏现有会话和连接。而iptables，在修改了规则后必须得全部刷新才可以生效；
2，firewalld使用区域和服务而不是链式规则；
3，firewalld默认是拒绝的，需要设置以后才能放行。而iptables默认是允许的，需要拒绝的才去限制；
4，firewalld自身...
firewalld和iptables区别
航行博客
06-26
1616
在RHEL7里有几种防火墙共存：firewalld、iptables、ebtables，默认是使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables等。
firewalld跟iptables比起来至少有两大好处：
1、firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效；
2、firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。
linux 防火墙 firewall 和iptables详解
weixin_43740680的博客
03-20
451
一、防火墙简介
介绍： 防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统，是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的管理防火墙的两种方式 ： ...
iptables和firewall
weixin_42637022的博客
04-20
72
iptables
iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
-A表示添加，INPUT表示添加的位置
-D表示删除
-s表示源，192.168.1.0/24表示数据包中源ip是192.168.1.0/24网段将会被匹配
-p表示协议，tcp就表示匹配的协议是tcp将会被匹配
--dport表示目的端口 22就表示目的端口是22将会被匹配
-j表示动作 ACCEPT就表示接受（允许），REJECT表示拒绝
iptables
linux中iptables与firewall
qq_23898493的博客
11-15
1603
学习目标：
iptables与firewall常用命令以及区别
内容：
iptables
##基本介绍
iptables只是Linux防火墙的管理工具，位于/sbin/iptables。真正实现防火墙功能的是 netfilter，它是Linux内核中实现包过滤的内部结构。
##常用命令
##修改防火墙操作方法
vi /etc/sysconfig/iptables
#添加以下内容
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACC
Linux中的火墙：firewall和iptables
dddxxy的博客
06-05
3084
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所...
iptables与firewalld防火墙
m0_62948770的博客
08-14
1611
认识安全的重要性，学习iptables和firewalld
iptables & firewalld & nat转发 & ssh其它功能
weixin_43690636的博客
08-09
376
1、firewalld和iptables的区别
在centos7下默认使用的是firewalld，但是在工作中，大多是时间用到的是iptables，所以推荐使用iptables
iptables默认每个服务都是开启的，需要拒绝才能限制；firewalld默认每个服务都是拒绝的，需要设置才能开放
iptables 服务在 /etc/sysconfig/iptables 中储存配置；而 FirewallD 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML
【企业级iptalbes防火墙】【四表五链】【iptables操作参数详解】
mingqing的博客
10-03
1169
文章目录企业级iptalbes防火墙我们在公司使用 netfilter 做的事情iptables工作原理分类iptables工作流程iptables概念iptables 表和链四个表：**2、五个链**四表五链iptables操作参数详解参数使用**iptables语法**##### 查看添加删除规则**
企业级iptalbes防火墙
Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具，它的功能十分强大，使用非常灵活
Linux中防火墙firewalld、iptables随笔
mah888的博客
06-08
594
细说firewalld和iptables
在RHEL7里有几种防火墙共存：firewalld、iptables、ebtables，默认是使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables等。
firewalld跟iptables比起来至少有两大好处：
1、firewalld可以动态修改单条规则，而不需要像iptables那样，在修改了规则后必须得全部刷新才可以生效；
2、firewalld在使用上要比iptables人性化很多，即使不明白“五张表五条链”而且对
iptables防火墙和firewalld防火墙
qq_32812063的博客
06-08
476
防火墙
Linux下iptables防火墙配置详解
夜影风个人空间
05-04
797
Linux下iptables防火墙配置详解
iptables与Firewall基本使用
晚昏丶
06-10
100
两种防火墙
Linux防火墙Firewall和Iptables的使用
Masterheaven的博客
09-23
72
Linux防火墙Firewall和Iptables的使用
Linux中有两种防火墙软件，ConterOS7.0以上使用的是firewall，ConterOS7.0以下使用的是iptables，本文将分别介绍两种防火墙软件的使用。
Firewall
开启防火墙：
systemctl start firewalld
关闭防火墙：
systemctl stop firewalld
查看防火墙状态：
systemctl status firewalld
设置开机启动：
systemctl en
“相关推荐”对你有帮助么？
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
©️2022 CSDN
皮肤主题：大白
设计师：CSDN官方博客
返回首页
Lucky__Strike
CSDN认证博客专家
CSDN认证企业博客
码龄5年
暂无认证
84
原创
61万+
周排名
135万+
总排名
17万+
访问
等级
2141
积分
59
粉丝
53
获赞
14
评论
187
收藏
私信
关注
热门文章
防火墙（firewalld与iptables）
52840
Linux 虚拟机的安装与软件安装
18611
10个最经典的 MySQL 数据库运维案例
14072
Linux的批量部署自动安装脚本（kickstart）
9938
/etc/fstab 参数详解及如何设置开机自动挂载
8986
分类专栏
linux-逻辑卷
1篇
文件服务器ftp
1篇
www服务相关-nginx
1篇
www
1篇
数据库
数据库运用
1篇
rpm
1篇
dns
1篇
bind
1篇
man命令
ddns
1篇
bond-team
1篇
防火墙
1篇
伪装
1篇
端口转发
1篇
samba
1篇
文件服务器
1篇
samba企业案例
1篇
NFS文件服务器
1篇
自动挂载autofs
1篇
iscsi
1篇
pxe
python
4篇
while
1篇
if-else
1篇
python例题
1篇
元组
2篇
列表
1篇
rhel7
1篇
虚拟主机
1篇
parted命令
1篇
mbr与gpt分区
1篇
python练习题
1篇
ldirectord
1篇
fence
1篇
nginx
2篇
apache
1篇
最新评论
10个最经典的 MySQL 数据库运维案例
旺仔OO糖:
真干货！！！！
高性能http加速器-varnish
克豪:
膜拜技术大佬,来我博客指点江山吧
10个最经典的 MySQL 数据库运维案例
WgRui:
有用
/etc/fstab 参数详解及如何设置开机自动挂载
今年上半年:
我睡不着了，就仔细看了一下
python 元组
weixin_45364420:
对我这个小白很有帮助，非常感谢╰(*´︶`*)╯
您愿意向朋友推荐“博客详情页”吗？
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
运维监控篇Zabbix简单的性能调优
MySQL主从复制下log_bin_trust_function_creators的解决
shell脚本
2018年64篇
2017年35篇
目录
目录
分类专栏
linux-逻辑卷
1篇
文件服务器ftp
1篇
www服务相关-nginx
1篇
www
1篇
数据库
数据库运用
1篇
rpm
1篇
dns
1篇
bind
1篇
man命令
ddns
1篇
bond-team
1篇
防火墙
1篇
伪装
1篇
端口转发
1篇
samba
1篇
文件服务器
1篇
samba企业案例
1篇
NFS文件服务器
1篇
自动挂载autofs
1篇
iscsi
1篇
pxe
python
4篇
while
1篇
if-else
1篇
python例题
1篇
元组
2篇
列表
1篇
rhel7
1篇
虚拟主机
1篇
parted命令
1篇
mbr与gpt分区
1篇
python练习题
1篇
ldirectord
1篇
fence
1篇
nginx
2篇
apache
1篇
目录
评论 3
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
打赏作者
Lucky__Strike
你的鼓励将是我创作的最大动力
¥2
¥4
¥6
¥10
¥20
输入1-500的整数
余额支付
(余额：-- )
扫码支付
扫码支付：¥2
获取中
扫码支付
您的余额不足，请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明：
1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、C币套餐、付费专栏及课程。
余额充值