iptables防火墙策略



打开防火墙：

systemctl start firewalld

firewall-config   &     图形界面管理

watch -n 1 firewall-cmd --list-all  监控这个策略

permanent:永久，需要重启/重新加载，不会失效  例如：firewall-cmd --permanent--add-service=http

runtime:运行，重启会失效

dmz:非军事区域

drop：丢弃

trusted：信任的，完全开放的

public：公共的 (一般用这个)

不加--permenent的都是临时的，重启会失效

加了的要重启才会生效

firewall-cmd --state

查看防火墙状态

firewall-cmd --get-active-zones

查看防火墙管理的设备

eth0/1

firewall-cmd --get-default-zone

查看生效的域

firewall-cmd --get-active-zones

查看网络设备所在的域

firewall-cmd --get-zones

查看所有的域

firewall-cmd --zone=public --list-all

查看public域中生效的策略

firewall-cmd --get-services

防火墙可以直接配置的服务

 firewall-cmd --list-all-zones

查看所有的域的所有生效策略

不同网段的防火墙策略：以http为例：

安装http

将eth0和eht1放到不同的域上，两个域的策略不同，会使浏览器访问不同ip的时候，有不同的结果

注意 eht0和eth1必须在不同的网段

firewall-cmd --set-default-zone=dmz

将域改为dmz

firewall-cmd --permanent --change-interface=eth1 --zone=trusted

直接将eth1从原来的域转到trusted这个域

 

 

 

firewall-cmd --add-service=http

firewall-cmd --remove-service=http

添加删除服务（默认的域）

 

firewall-cmd --add-port=8080/tcp

firewall-cmd --remove-port=8080/tcp

添加/删除接口

firewall-cmd --add-interface=eth0

firewall-cmd --remove-interface=eth0

添加/删除设备

firewall-cmd --add-source=192.168.33.172

添加信任主机

允许主机上的所有数据包通过

若后面加--zone=zmd

就是给zmd 这个域添加以上设备/接口/服务

指定禁止ip主机访问：

firewall-cmd --permanent --add-source=192.168.33.172 --zone=block

拉黑指定主机，然后重载防火墙规则

firewall-cmd --reload

已经连的不会断开

firewall-cmd --complete-reload

已经连的也会断开

192.168.33.170ssh测试登陆192.168.33.168  登陆不了

firewall-cmd --permanent --remove--source=192.168.33.172 --zone=block

从黑名单里搞出来

 端口转接：

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.33.172

当年有人连接本机的22号端口时，转接到7号主机的22号端口

firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.33.172

删除这个SNAT

iptables：与firewall只能同时使用其中一个

systemctl stop firewalld.service

systemctl disabled firewalld.service

systemctl mask firewalld.service

 屏蔽火墙

yum install iptables-server

iptables -t filter -L 

查看 iptables

 

iptables -F

刷空iptables策略

service iptables save

重载iptables

添加几条策略：

    iptables -A INPUT l -p tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    iptables -A INPUT -s 192.168.33.172 -p tcp -m tcp --dport 22 -j ACCEPT
    iptables -A INPUT  -p tcp --dport 80 -j ACCEPT
    
   iptables -A INPUT -j REJECT

  查看策略
    iptables -nL

-i lo 表示从回环地址进来的

-t 指定表

-L 列出表

 

-A:添加

-j 动作

-s 来源

-p 协议

--dport 端口

-D 删除链里面的策略

-X 删除链

-E 给链改名

-P 更改默认的策略（ACCEPT/DROP）