本文共 3439 字,大约阅读时间需要 11 分钟。
1.netfilter(网络过滤器)
2.iptables 3.iptables与firewalld在rhel8中默认使用的是firewalld
firewalld----->iptablesdnf install iptables-services -ysystemctl stop firewalldsystemctl disable firewalld systemctl mask firewalld systemctl enable --now iptables
iptales -------> fiewalld systemctl stop iptablessystemctl disable iptablessystemctl mask iptablessystemctl enable --now firewalld
/etc/sysconfig/iptables ##iptables 策略记录文件
永久保存策略 iptales-save > /etc/sysconfig/iptables service iptables saveiptables | 作用 |
---|---|
-t | #指定表名称 |
-n | #不做解析 |
-L | #查看 |
-A | #添加策略 |
-p | #协议 |
–dport | #目的地端口 |
-s | #来源 |
-j | #动作 |
{ #ACCEPT | #允许 |
#DROP | #丢弃 |
#REJECT | #拒绝 |
#SNAT | #源地址转换 |
#DNAT } | #目的地地址转换 |
-N | #新建链 |
-E | #更改链名称 |
-X | #删除链 |
-D | #删除规则 |
-I | #插入规则 |
-R | #更改规则 |
-P | #更改默认规则 |
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPTiptables -A INPUT -m state --state NEW -i lo -j ACCEPTiptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPTiptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPTiptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPTiptables -A INPUT -m state --state NEW ! -s 192.168.0.10 -p tcp --dport 22 -j ACCEPTiptables -A INPUT -m state --state NEW -j REJECTservice iptables save4. nat表中的dnat snat snat
iptable -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.0.20dnat
iptables -t nat -A PREROUTING -i ens160 -j DNAT --to-dest 172.25.254.30
systemctl stop iptables systemctl disable iptablessystemctl mask iptables systemctl unmask firewalldsystemctl enable --now firewalld
区域 | 策略规则 |
---|---|
trusted | ##接受所有的网络连接 |
home | ##用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client |
work | ##工作网络 ssh ipp-client dhcp-client |
public | ##公共网络 ssh dhcp-client |
dmz | ##军级网络 ssh |
block | ##拒绝所有 |
drop | ##丢弃 所有数据全部丢弃无任何回复 |
internal | ##内部网络 ssh mdns ipp-client samba-client dhcp-client |
external | ##ipv4网络地址伪装转发 sshd |
/etc/firewalld ##火墙配置目录
/lib/firewalld ##火墙模块目录firewall-cmd --state ##查看火墙状态firewall-cmd --get-active-zones ##查看当前火墙中生效的域firewall-cmd --get-default-zone ##查看默认域firewall-cmd --list-all ##查看默认域中的火墙策略firewall-cmd --list-all --zone=work ##查看指定域的火墙策略firewall-cmd --set-default-zone=trusted ##设定默认域firewall-cmd --get-services ##查看所有可以设定的服务firewall-cmd --permanent --remove-service=cockpit ##移除服务firewall-cmd --reload firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域firewall-cmd --reload firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加指定域的网络接口firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定域
firewall-cmd --direct --get-all-rules ##查看高级规则firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp --dport 22 -j ACCEPT
SNAT
firewall-cmd --permanent --add-masqueradefirewall-cmd --reload
DNAT
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.30firewall-cmd --reload
转载地址:http://vdzrf.baihongyu.com/