Linux 第八节(防火墙 )

-------------------iptables--------------------------

RHEL 5 6 7.0 7.1 iptable

RHEL 8 firewall

FORWARD

PREROUTING

POSTSROUTING

-a

-i

iptables -L   //显示规则链所有信息

iptables -F   // 清空防火墙策略

iptables -P INPUT DROP

iptables -I INPUT -P icmp -j ACCEPT    //添加一条允许策略

1.ACCEPT  允许流量

2.DROP      丢包拒绝流量

3. REJECT  回应拒绝流量

4.LOG        保存到日志文件中

iptables -D INPUT 1   //删除一条策略

iptables -P INPUT ACCPET   //允许所有

iptables -I INPUT  REJET  //拒绝所有

iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport=22 -j REJECT  //拒绝192.168.10.0/24这个网段

iptables -I INPUT -p tcp -s 192.168.10.100 -- dport=80 -j REJECT  //拒绝192.168.10.100的80端口

---------------------firewall-------------------------

zone 区域 模板

public 当前正常使用的区域，要使用策略生效，必须配置在这个区域

trusted  允许据此有的数据包

drop   拒绝流入的流量，除非与流出的流量相关

firewall-cmd   命令行配置

firewall-config   图形化配置

firewall-cmd --get-default-zone   // 获取当前区域名称

firewall-cmd --get-zone-of interface=eno16777728    //查看网卡对应的区域

firewall-cmd --set-default-zone=dmz    //修改当前区域为DMZ区域

firewall-cmd --panic-on   //开启紧急模式，断开网络连接

firewall-cmd --panic-off  //关闭紧急模式，恢复网络连接

RUNTIME    当前生效，重启不生效（默认）

PERMANENT  当前不生效，重启生效

firewall-cmd --zone=public --query -service=ssh   //查看协议是否放行

firewall-cmd --zone=public --add -service=https  //将https协议加入放行

firewall-cmd --permanet --zone=public --add -service=https   //将https协议加入允许永久放行

firewall-cmd --raload   //重载防火墙配置

firewall-cmd --permanet --zone=public --add -forward-port=888:proto=tcp:toport=22:toaddr=192.168.10.10

//允许22端口访问

firewall-cmd --permanet --zone=public --add -rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name "ssh reject"