《Linux就该这么学》第8章 Iptables与Firewalld防火墙
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了《Linux就该这么学》第8章 Iptables与Firewalld防火墙,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含3702字,纯文字阅读大概需要6分钟。
内容图文
8.1 防火墙管理工具
1、防火墙的作用:防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在企业内网和外部公网之间流动了。
2、相关的服务:iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。
8.2 Iptables
8.2.1 策略与规则链
1、简介:
(1)防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规则,否则谁都能进来,防火墙也就失去了防范的作用。
2、iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
①在进行路由选择前处理数据包(PREROUTING);
②处理流入的数据包(INPUT);
③处理流出的数据包(OUTPUT);
④处理转发的数据包(FORWARD);
⑤在进行路由选择后处理数据包(POSTROUTING)。
2、iptables服务的术语:
ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。
注解:“允许流量通过”和“记录日志信息”都比较好理解,这里需要着重讲解的是REJECT和DROP的不同点。就DROP来说,它是直接将流量丢弃而且不响应;REJECT则会在拒绝流量后再回复一条“您的信息已经收到,但是被扔掉了”信息,从而让流量发送方清晰地看到数据被拒绝的响应信息。
8.2.2 基本的命令参数
学习要求:iptables是一款基于命令行的防火墙策略管理工具,具有大量参数,学习难度较大,无需深入学习,只需要掌握常用的参数并做到灵活搭配即可,这就足以应对日常工作了。
iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。(匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。)
8.3 Firewalld
简介:
1、firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
2、相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。
3、区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
firewalld中常见的区域名称(默认为public)以及相应的策略规则如表8-2所示。
1、终端管理工具
命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。(能用Tab来补齐命令)
firewall-cmd命令中使用的参数以及作用
2、图形管理工具
1、具体功能:
(1):选择运行时(Runtime)模式或永久(Permanent)模式的配置。
(2):可选的策略集合区域列表。
(3):常用的系统服务列表。
(4):当前正在使用的区域。
(5):管理当前被选中区域中的服务。
(6):管理当前被选中区域中的端口。
(7):开启或关闭SNAT(源地址转换协议)技术。
(8):设置端口转发策略。
(9):控制请求icmp服务的流量。
(10):管理防火墙的富规则。
(11):管理网卡设备。
(12):被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关的流量。
(13):firewall-config工具的运行状态。
8.4 服务的访问控制列表
简介:Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。
TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。
在配置TCP Wrappers服务时需要遵循两个原则:
(1)编写拒绝策略规则时,填写的是服务名称,而非协议名称;
(2)建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果。
内容总结
以上是互联网集市为您收集整理的《Linux就该这么学》第8章 Iptables与Firewalld防火墙全部内容,希望文章能够帮你解决《Linux就该这么学》第8章 Iptables与Firewalld防火墙所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。