Firewallとiptablesの比較紹介
4585 ワード
firewall
1、Introductionはzoneを具体的に紹介する前にいくつかの関連名詞を紹介します.このいくつかの名詞zoneを理解しなければ手に入らないからです.
target:デフォルト動作、4つのオプション値があります:default、ACCEPT、%%REJECT%%、DROP、デフォルトをdefault に設定しない場合
サービス:これは前の学生が説明したように、彼はサービスと言った.
port:ポート、portを使用してserviceを通さずに直接ポートを設定できるinterface:インタフェース、ネットワークカードと理解できる
source:ソースアドレス、ipアドレスでもipアドレスセグメントでもよい
icmp-block:icmpメッセージブロックは、icmpタイプに従ってを設定することができる.
masquerade:ipアドレス偽装、すなわちソースカードアドレスに従ってNAT転送を行う.
forward-port:ポート転送rule:カスタムルールステータスの表示:firewall-cmd–stat再起動:service firewalld restart iptablesステータスの表示service iptables status
2、システム構成ディレクトリ(変更しないことを推奨)ディレクトリには定義されたネットワークサービスとポートパラメータが格納され、システムパラメータは変更できません.
受信したリクエストがどのzoneを具体的に使用するかについて、firewalldは3つの方法で判断します.
1、ソース、つまりソースアドレス2、interface、要求を受信するNIC 3、etc/firewalld/firewalld.confで構成されているデフォルトzone 3、ユーザー構成ディレクトリ
4、コマンドライン使用
1、Introductionはzoneを具体的に紹介する前にいくつかの関連名詞を紹介します.このいくつかの名詞zoneを理解しなければ手に入らないからです.
target:デフォルト動作、4つのオプション値があります:default、ACCEPT、%%REJECT%%、DROP、デフォルトをdefault に設定しない場合
サービス:これは前の学生が説明したように、彼はサービスと言った.
port:ポート、portを使用してserviceを通さずに直接ポートを設定できるinterface:インタフェース、ネットワークカードと理解できる
source:ソースアドレス、ipアドレスでもipアドレスセグメントでもよい
icmp-block:icmpメッセージブロックは、icmpタイプに従ってを設定することができる.
masquerade:ipアドレス偽装、すなわちソースカードアドレスに従ってNAT転送を行う.
forward-port:ポート転送rule:カスタムルールステータスの表示:firewall-cmd–stat再起動:service firewalld restart iptablesステータスの表示service iptables status
2、システム構成ディレクトリ(変更しないことを推奨)ディレクトリには定義されたネットワークサービスとポートパラメータが格納され、システムパラメータは変更できません.
受信したリクエストがどのzoneを具体的に使用するかについて、firewalldは3つの方法で判断します.
1、ソース、つまりソースアドレス2、interface、要求を受信するNIC 3、etc/firewalld/firewalld.confで構成されているデフォルトzone 3、ユーザー構成ディレクトリ
[root@xxx]# vim /etc/firewalld/
firewalld.conf lockdown-whitelist.xml
helpers/ services/
icmptypes/ zones/
ipsets/4、コマンドライン使用
# , ,
firewall-cmd --permanent --add-port=9527/tcp
firewall-cmd [--permanent] [--zone=zone] --list-sources
firewall-cmd [--permanent] [--zone=zone] --query-source=source[/mask]
firewall-cmd [--permanent] [--zone=zone] --add-source=source[/mask]
firewall-cmd [--zone=zone] --change-source=source[/mask]
firewall-cmd [--permanent] [--zone=zone] --remove-source=source[/mask]
#firewall-cmd
#--list-sources: zone source
#--query-source: zone source
#--add-source: source zone( , zone )
#--change-source: source zone, , --add-source
#--remove-source: source zone 查看当前所有起作用的zone firewall-cmd –get-active-zones 要将在80端口接收到tcp请求转发到8080端口可以使用下面的命令 firewall-cmd –add-forward-port=port=80:proto=tcp:toport=8080
firewall-cmd [–permanent] [–zone=zone] –list-ports
5、修改配置文件的方式添加端口
Public For use in public areas. ip, 、 ip 9527
1、必要なルールを追加し、オープンソースipは122.0.70.234、ポート514、プロトコルtcpである.
2、オープンソースipは123.60.25.14、ポート10050-10051、プロトコルtcp;3、オープンソースipは任意で、ポート9527、プロトコルtcp;
3、状態を変えずにファイアウォールを再ロードする:firewall-cmd–reload 4、ipアクセスサービスfirewall-cmd–permanent–zone=public–add-rich-rule="rule family="ipv 4"source address="192.168.0.4/24"servicename="http"accept"を設定する
iptables
iptablesコマンドはLinuxでよく使われるファイアウォールソフトウェアで、netfilterプロジェクトの一部です.直接構成したり、多くのフロントエンドやグラフィックインタフェースで構成したりすることができます.iptables -t [ ] -p --sport --dport -j -------------------------------- : raw: , : 。 mangle: (QOS), 。 net: , 。 filter: , 。 ------------------------------- : INPUT : 。 OUTPUT : 。 PORWARD : 。 PREROUTING : (DNAT)。 POSTOUTING : (SNAT)。 ------------------------------- : accept: 。 DROP: 。 REDIRECT: 、 、 。 SNAT: 。 DNAT: 。 MASQUERADE:IP (NAT), ADSL。 LOG: 。 ------------------------------- iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 22 k iptables -A OUTPUT -j ACCEPT # iptables -A INPUT -j reject # iptables -L -n -v # ------------------------------- :iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table :3 filter nat mangle COMMAND: chain: , , CRETIRIA: -j ACTION : -P : ( ) iptables -P INPUT (DROP|ACCEPT) / : iptables -P INPUT DROP 。 , Xshell , -------------------------------