百度360必应搜狗淘宝本站头条
linux 远程linux 文件命令linux 是什么查看文件 linux删除文件 linux
当前位置:网站首页 > 技术文章 > 正文

系统防火墙七天进修-第二天:linux系统防火墙配置

ahcoder 2025-03-12 11:43 11 浏览

在 Linux 环境中,防火墙的配置与管理是系统安全的重要组成部分。常用的防火墙工具包括iptablesfirewalld。以下是防火墙配置与管理的详细说明和示例。

1.iptables基础

iptables 是 Linux 下的包过滤工具,用于配置防火墙规则。

1.1 基本概念

  • 表(Table)iptables 包含多个表,常用的有 filternatmangle
  • 链(Chain):每个表包含多个链,如 INPUTOUTPUTFORWARD
  • 规则(Rule):定义在链中的具体规则,决定如何处理数据包。

1.2 常用命令

  • 查看规则:
iptables -L -n -v
  • 清空规则:
iptables -F
  • 保存规则:
iptables-save > /etc/iptables/rules.v4
  • 恢复规则:
iptables-restore < /etc/iptables/rules.v4

1.3 示例规则

  • 允许 SSH 流量:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  • 允许 HTTP 流量:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  • 允许已建立的连接:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  • 默认阻止所有流量:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

2.firewalld基础

firewalld 是 Linux 下的动态防火墙管理工具,支持区域(Zone)和服务(Service)的概念。

2.1 基本概念

  • 区域(Zone):定义网络接口的信任级别,如 publicinternal
  • 服务(Service):预定义的服务规则,如 httpssh

2.2 常用命令

  • 查看当前区域:
firewall-cmd --get-default-zone
  • 查看所有区域:
firewall-cmd --get-zones
  • 查看允许的服务:
firewall-cmd --list-services
  • 添加服务:
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload
  • 添加端口:
firewall-cmd --zone=public --add-port=8080/tcp --permanent
firewall-cmd --reload

2.3 示例配置

  • 允许 SSH 和 HTTP 流量:
firewall-cmd --zone=public --add-service=ssh --permanent
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --reload

3. 防火墙配置示例

3.1 使用iptables配置防火墙

#!/bin/bash
# 配置 iptables 防火墙

# 清空现有规则
iptables -F

# 允许 SSH 流量
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 允许 HTTP 和 HTTPS 流量
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

# 允许已建立的连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 默认阻止所有流量
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 保存规则
iptables-save > /etc/iptables/rules.v4

echo "iptables configuration completed."

3.2 使用firewalld配置防火墙

#!/bin/bash
# 配置 firewalld 防火墙

# 允许 SSH 流量
firewall-cmd --zone=public --add-service=ssh --permanent

# 允许 HTTP 和 HTTPS 流量
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=public --add-service=https --permanent

# 重新加载防火墙配置
firewall-cmd --reload

echo "firewalld configuration completed."

4. 防火墙管理

4.1 查看防火墙状态

  • 使用 iptables
iptables -L -n -v
  • 使用 firewalld
firewall-cmd --state

4.2 启用/禁用防火墙

  • 使用 iptables
# 启用
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# 禁用
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
  • 使用 firewalld
# 启用
systemctl start firewalld
systemctl enable firewalld

# 禁用
systemctl stop firewalld
systemctl disable firewalld

4.3 日志与监控

  • 查看 iptables 日志:
tail -f /var/log/messages | grep iptables
  • 查看 firewalld 日志:
journalctl -u firewalld

5. 总结

  • iptables 是 Linux 下的包过滤工具,适合高级用户和复杂配置。
  • firewalld 是动态防火墙管理工具,适合初学者和简单配置。
  • 通过编写脚本,可以自动化配置和管理防火墙规则。
  • 定期查看日志和监控防火墙状态,可以提高网络安全性。

通过掌握 iptablesfirewalld 的使用,你可以在 Linux 环境中有效地配置和管理防火墙,保护系统免受网络攻击。

相关推荐

ARM64内核内存布局图(ARM64内核内存布局图解)

ARM64架构处理器采用48位物理寻址机制,最大可以寻找到256TB的物理地址空间。对于目前的应用来说已经足够了,不需要扩展到64位的物理地址寻址。虚拟地址也同样最大支持48位支持,所以在处理器的架构...

ARM64 linux 调试串口通信(ARM64 linux 调试串口通信实验报告)

ARM64linux调试串口通信随着国产机普及很多工作也转移到了新平台上,以前调试设备用的笔记本电脑也换成新国产ARM64架构的了。本文以绿联CM204USB-A转RJ45Console调试线...

Gentoo Linux 终止对 Itanium IA-64 体系的支持

GentooLinux是最后几个继续维护Itanium(IA-64)架构构建的Linux发行版之一,但现在这些已停产的英特尔处理器正在逐步淘汰。由于Linux6.7内核放弃了对Itan...

如何检查 Linux 系统是 32 位还是 64 位?这9个命令查的又快又准!

在Linux系统中,位数(bit)通常指的是CPU架构的位宽,即CPU一次能够处理的数据量。32位系统和64位系统在内存寻址能力、计算性能和软件支持上存在显著差异:「32位系统」:...

调出好画面!带你玩转飞凌嵌入式AM62x开发板的显示接口

来源:飞凌嵌入式官网“显示”是嵌入式开发板最为重要的功能之一,能够支持更多种类、更高规格的显示接口,意味着它能够应对的使用场景也更加广泛。每一款嵌入式开发板在出厂前都会做屏幕调试,但在客户的实际项目开...

带你玩转AM62x开发板的显示接口——LVDS的显示和修改方式

此前小编已为大家介绍过OK6254-C开发板的RGB显示和修改方式,今天将继续为大家介绍OK6254-C开发板的LVDS显示和修改方式。话不多说,我们进入正题。1、LVDS接口规格飞凌嵌入式OK62...

AM335x继任者?AM6254性能解析(am2361p)

飞凌嵌入式FET6254-C核心板基于TISitaraTMAM62x系列工业级处理器设计开发,采用ARMCortex-A53架构,主频最高可达1.4GHz;并集成了丰富的接口,可广泛应用于的工...

如何在 Linux 发行版中安装微信和 QQ?

很多人因为工作沟通的原因需要用到微信和QQ,那么如何在Linux发行版中安装微信和QQ呢?以下是一些尝试的解决方法。QQ上一个版本的QQLinux版还是在2009年,而在现在,基于N...

MySQL:物理备份工具XBK(mysql 备份方案)

XBK的优缺点:XBK(PerconaXtraBackup)优点:1.免费2.热备:备份期间不阻塞innodb和XtraDB表,但会阻塞Myisam表3.物理备份:备份恢复快XBK缺点:1.不支持远...

AMD锐龙9 9950X CPU AIDA64跑分曝光:比7950X最高快45%

IT之家6月26日消息,Anandtech论坛网友igor_kavinski本周一发布帖子,分享了AMD旗舰锐龙99950X处理器的AIDA64基准测试跑分,与当前基于Z...

qemu linux内核(5.10.209)开发环境搭建

版本信息宿主机:ubuntu20.04.6LTS(FocalFossa)虚拟机:ubuntu20.04.6LTS(FocalFossa)安装宿主机的步骤省略,和一般的在vmware中安...

iPhone 7成刷机神器,成功运行乌班图、Linux、安卓

在智能机刚开始流行的时候,很多手机发烧友都喜欢刷机,当时民间大神们制作了特别多优化的ROM。后来随着手机硬件的逐步提升,以及厂商们对系统的大力优化,让大家对于刷机的兴趣也越来越少。不知道大家还记得这部...

12 款最佳免费开源 Linux 渲染器 | 火狐浏览器 130.0 版本更新

12款最佳免费开源Linux渲染器Linux的一大优势在于其拥有丰富的开源软件,可以满足艺术家、摄影师、动画师和设计师的需求。凭借价格低廉的硬件、免费的软件以及少量的才能和灵感,任何人都可以创...

Linux中xargs 命令详解与实用场景

xargs是Linux系统中常用的命令行工具之一,它能够从标准输入构造参数列表并传递给其他命令使用,是处理批量数据操作时的重要利器。一、xargs的基本语法xargs[OPTION]...[C...

Linux 磁盘扩容(非LVM)方式(linux扩容lvm磁盘容量)

今天接到一个客户的需求,CentOS的/分区容量太小了,OA系统所有的数据都在这下面,由于当时前同事给客户安装系统时采用了标准分区,而不是LVM逻辑卷,所以不支持在线扩容。df-hT查看磁盘使...

一周热门
最近发表
标签列表