文章目录

[隐藏]

  • iptable
  • firewalld
iptable

常用参数

-P     #设置默认策略  -F     #清空规则链  -L     #查看规则链  -I <num>     #在规则链头部插入新规则  -A     #在规则链尾部加入新规则  -D <num>     #删除某一条规则  -s     #匹配来源地址 IP/MASK , 加叹号 “!”表示排除这个ip  -d     #匹配目标地址  -i <网卡名称>     #匹配从这块网卡流入的流量  -o <网卡名称>     #匹配从这块网卡流出的流量  -p     #匹配协议,如TCP,UDP,ICMP  --dport <num>    #匹配目标端口号  --sport <num>    #匹配来源端口号  

查看已有规则链

iptables -L  iptable --list  

设置默认规则链

iptables -P INPUT DROP #把INPUT规则链默认策略设置为拒绝(其他参数有ACCEPT,REJECT,LOG)  #REJECT和DROP不同的是,REJECT会在拒绝流量后回复拒绝信息,DROP是直接丢弃流量  

自定义规则

#向INPUT规则链添加允许icmp流量进入的策略规则  iptables -I INPUT -p icmp -j ACCEPT      #只允许指定网段的主机访问本机22端口,拒绝其他主机的访问  iptables -I INPUT -p tcp -s 10.0.0.1/24 --dport 22 -j ACCEPT #允许指定主机访问  iptables -A INPUT -p tcp --dport 22 -j REJECT #拒绝其他主机访问  #!!!需要注意的是iptables是根据配置的规则从下到上匹配,在头部的规则优先级更高。      #向INPUT链添加拒绝所有主机访问本机1000——2000端口的策略规则  iptables -A INPUT -p tcp --dport 1000:2000 -j REJECT  
firewalld

默认区域及规则

firewalld引入了区域的概念,类似于window的家庭网络,工作网络,公共网络,不同区域之间可以切换,且有其相应的默认规则。

常用参数

查看当前服务所使用的区域

firewall-cmd --get-default-zone  

查看指定网卡的区域

firewall-cmd --get-zone-of-interface=ens33 #查看ens33网卡的区域  

修改默认区域

firewall-cmd --set-default-zone=public #设置默认区域为public  

允许服务通过

firewall-cmd --zone=public --add-service=http #允许http协议的流量  firewall-cmd --zone=public --query-service=http #查询http是否被允许  

所有配置不加–permanent参数的话,都是临时生效,重启后恢复。

永久生效并立即生效

firewall-cmd --permanent --zone=public --remove-service=http #永久模式拒绝http流量  firewall-cmd --reloacd #重新加载配置文件  

允许端口通过

firewall-cmd --zone=public --add-port=1000-2000/tcp #允许1000到2000的端口通过  firewall-cmd --zone=public --list-ports #查询允许通过的端口  

端口转发

firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=172.0.0.5 #将本机888端口转发到172.0.0.5的22端口  

原文出处:segmentfault -> https://segmentfault.com/a/1190000019768934

本站所发布的一切资源仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如果侵犯你的利益,请发送邮箱到 [email protected],我们会很快的为您处理。
超哥软件库 » iptables与firewalld