先收藏一篇好的防火牆介紹地址:iptables介紹
學習總結
查看防火牆規則
iptables -L
清空防火牆規則
iptables -F
允許來自192.168.10.1/24網段訪問tcp 22端口
iptables -I INPUT -s 192.168.10.1/24 -p tcp --dport 22 -j ACCEPT
刪除某條策略
iptables -D INPUT 策略序號
禁止訪問端口號12345
# iptables -I INPUT -p tcp --dport 1234 -j REJECT
# iptables -I INPUT -p udp --dport 1234 -j REJECT
允許所有
# iptables -P INPUT ACCEPT
服務firewalld
firewall-cmd 命令行配置工具
firewall-config 圖形化配置工具
zone的含義就是防火牆模板
- public 默認使用
- drop 拒絕所有
- trusted 允許所有
查看當前系統默認的zone,設置默認zone爲work
# firewall-cmd --get-default-zone
public
# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
# firewall-cmd --set-default-zone=work
Warning: ZONE_ALREADY_SET: work
runtime 當前生效,重啓後失效
permanent 當前不生效,重啓後永久生效
切斷網絡連接
firewall-cmd --panic-on
恢復網絡連接
firewall-cmd --panic-off
# firewall-cmd --zone=public --query-service=ssh
yes
# firewall-cmd --zone=public --query-service=https
no
# firewall-cmd --zone=public --query-service=http
no
# firewall-cmd --zone=public --add-service=http
success
# firewall-cmd --zone=public --query-service=http
yes
開啓public這個zone的https服務,並且重啓後永久生效。
通過reload立即生效。
# firewall-cmd --permanent --zone=public --add-service=https
success
# firewall-cmd --reload
success
拒絕某個服務
# firewall-cmd --zone=public --query-service=http
no
# firewall-cmd --zone=public --add-service=http
success
# firewall-cmd --zone=public --query-service=http
yes
# firewall-cmd --zone=public --remove-service=http
success
# firewall-cmd --zone=public --query-service=http
no
基於端口號的開啓和拒絕
# firewall-cmd --zone=public --query-port=80/tcp
no
# firewall-cmd --zone=public --add-port=80/tcp
success
# firewall-cmd --zone=public --query-port=80/tcp
yes
# firewall-cmd --zone=public --remove-port=80/tcp
success
# firewall-cmd --zone=public --query-port=80/tcp
no
端口轉發
# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
# firewall-cmd --reload
success
富規則
只拒絕192.168.10.0/244的ssh服務
# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.1/24" service name="ssh" reject"
success