Linux软件防火墙策略

前言：

最近整理一些以前的学习笔记。
过去都是存储在本地，此次传到网络留待备用。

---

 

防火墙

 

• 防火墙分类：

  • 软件防火墙
  • 硬件防火墙

• 防火墙作用：

  • 隔离

• 防火墙处理接收到的访问消息规则：

  • 匹配即停止：
    1.查看客户端请求数据包中，源IP地址，查看自己所有的预设区域，那个预设区域有该源IP地址的策略，则进入哪个预设区域。
    2.如果 规则1 不符合，则进入默认的预设安全区域。

• 防火墙与selinux的关系：

      SELinux                     防火墙默认区域                  操作
  permissive(宽松)                trusted(信任)                将想要拒绝的源ip放入block/dorp
  enforcing(严格)                 block/dorp(阻塞/丢弃)         将想允许的源ip放入trusted
  

 

Linux软件防火墙

系统服务	管理工具
firewalld	firewall-cmd;firewall-config(图形)
iptales

1.预设安全区域

• 根据所在的网络场所区分，预设保护规则集

  • public :仅允许访问本机的sshd等少数几个服务。
  • trusted :允许任何访问。
  • block :阻塞任何来访请求（明确拒绝，客户端会接收到拒绝反馈）
  • drop :丢弃任何来访的数据包（直接丢弃，节省服务器资源，客户端没有反馈）

• 查看防火墙当前默认安全区域

  ]# firewall-cmd --get-default-zone    
   # firewall-命令 --获取-默认-区域
  

• 列出public全部区域规则

  ]# firewall-cmd --zone=pubilc --list-all    
   # firewall-命令 --区域=区域名 --列出-全部
  

• 修改默认安全区域

  ]# firewall-cmd --set-default-zone=block
   # firewall-命令 --设置-默认-区域=区域名
  

2.防火墙对于服务的控制

• 为区域中添加服务

  ]# firewall-cmd --zone=public --add-service=http
   # firewall-命令 --区域=区域名 --添加-服务=服务名
  

3.防火墙永久配置

• 选项：--permanent(永久)

  ]# firewall-cmd --permanent --zone=public --add-service={http,ftp}
   # firewall-cmd --reload        # 重新加载防火墙配置，每次配置完防火墙后需要重新加载
  

4.防火墙对源IP地址的控制

• 将源IP172.25.0.10加入block区域，阻塞源IP的访问。（source：源）

  ]# firewall-cmd --zone=block --add-source=172.25.0.10
  ]# firewall-cmd --reload
  

• 删除区域中的源IP地址

  ]# firewall-cmd --zone=block --remove-source=172.25.0.10
  

5.端口转发

• 端口：以数字、编号 来标识进程或程序
• 常用默认端口：http=80 ； FTP=21

   #172.25.0.11:5423 ----> 172.25.0.11(firewalld) ----> 172.25.0.11:80
   #将ip的5423端口转发到ip的80端口
  ]# firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
   # firewall-命令 --永久 --区域=区域名 --添加-转发-端口=端口=5423：协议(protocol)=tcp：给端口=80
  ]# firewall-cmd --reload
  

转载于:https://my.oschina.net/xinsui1314x/blog/3071473