A. 5招詳解linux之openEuler /centos7防火牆基本使用指南
防火牆是一種管理解決方案,用於在Linux發行版中篩選數據包,它作為iptables的前端。本指南將指導你如何為伺服器設置防火牆,並學習使用管理工具的基本知識。
注意:你使用的防火牆版本可能與本指南中的不同,或者你的伺服器配置與指南示例有細微差異。因此,某些命令在你特定配置下可能行為不同。
防火牆中的基本概念
理解防火牆工作原理前,應熟悉幾個關鍵概念。
區域
守護程序使用稱為「區域」的實體管理規則組。區域是一組規則,根據計算機連接到網路的信任級別,定義允許的流量類型。網路介面分配給區域,以指示防火牆應允許的操作。
了解預定義區域對任何網路環境都很有幫助。從信任度最低到最高,預定義區域通常包括:
在使用防火牆時,可以通過創建規則和修改區域屬性,然後將網路介面分配給合適的區域來配置規則。
永久性規則
防火牆中,規則可以作為永久規則或即時規則。默認情況下,修改當前運行的防火牆行為的規則被視為即時規則。下次啟動時,規則將恢復到原始狀態。大多數操作可以加上標志以指示應作為目標使用永久防火牆。這會影響重啟時重新載入的規則集。這種分離允許你測試規則,出現問題時重新載入。此外,加上標志可以構建一組規則,這些規則在發出重載命令時同時應用。
安裝並啟用防火牆服務
firewalld默認安裝在某些Linux發行版上,包括openEuler/CentOS 7的許多鏡像。然而,可能需要自行安裝防火牆。
驗證防火牆服務是否正在運行:
修改防火牆規則
在開始修改規則之前,了解守護程序提供的默認環境和規則很重要。
瀏覽默認設置
通過命令,可以查看當前選擇的默認區域。
驗證默認區域
通過命令,可以驗證介面是否與默認區域關聯,以及區域允許的正常操作,如DHCP客戶端和SSH遠程管理。
選擇適合介面的區域
除非已配置網路介面,否則在啟動防火牆時,每個介面都將置於默認區域。
修改介面區域
可以在會話期間使用參數將介面與區域結合使用,允許在區域之間轉換介面。修改防火牆的所有命令時,需要使用。
調整默認區域
如果所有介面由單個區域處理,則選擇最佳默認區域並將其用於配置可能更方便。
使用參數更改默認區域。這將立即更改已返回默認到新區域的任何介面。
為應用程序設置規則
向區域添加服務
最簡單的方法是將所需的服務或埠添加到使用的區域。使用命令可以獲取可用服務列表。
例如,為Web伺服器配置HTTP流量,可以通過命令允許此流量通過「公共」區域的介面。
驗證操作是否成功
使用或操作驗證規則是否生效。
測試規則後,可以使用命令將修改永久化。
現在,「公共」區域將允許埠80上的HTTP流量。如果Web伺服器配置為使用SSL/TLS,還需要添加SSL/TLS服務。可以通過命令將其添加到當前會話和永久規則集中。
創建自定義區域
雖然預定義區域對大多數用戶足夠,但自定義區域可以更准確地描述其功能。
例如,創建一個名為「公共網站」的區域用於Web伺服器,或為專用網路上的DNS服務創建一個名為「私有DNS」的區域。
在創建自定義區域時,必須將其添加到永久防火牆配置中,然後重新載入以將配置引入活動會話。通過命令創建上面討論的兩個區域。
驗證配置是否存在於永久配置中
需要重新載入防火牆以引入新區域的配置。
在測試運行配置後,如果規則符合需求,需要將規則添加到永久配置。使用命令重新應用規則。
永久應用規則後,重啟防火牆服務。
驗證介面是否分配正確的區域
並驗證區域是否提供相應服務。
至此,成功設置自定義區域。若要使某個區域成為其他介面的默認區域,請記得使用參數配置該行為。
總結
防火牆服務允許你配置可維護的規則和規則集,這些規則和規則集可以適應你的網路環境。通過使用區域在不同防火牆策略之間切換,管理員可以將埠管理抽象為更友好的服務。
B. Linux伺服器怎樣設置防火牆
一、怎樣在Linux系統中安裝Iptables防火牆?
幾乎所有Linux發行版都預裝了Iptables。您可以使用以下命令更新或檢索軟體包:
sudo apt-get install iptables
二、關閉哪些防火牆埠?
防火牆安裝的第一步是確定哪些埠在伺服器中保持打開狀態。這將根據您使用的伺服器類型而有所不同。例如,如果您運行的是Web伺服器,則可能需要打開以下埠:
網路:80和443
SSH:通常在埠22上運行
電子郵件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、還原默認防火牆規則
為確保設置無誤,我們需從一套新的規則開始,運行以下命令來清除防火牆中的規則:
iptables -F
2、屏蔽伺服器攻擊路由
我們可以運行下列標准命令來隔絕常見的攻擊。
屏蔽syn-flood數據包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS數據包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止無效數據包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打開所需埠
根據以上命令可屏蔽常見的攻擊方式,我們需要打開所需埠。下列例子,供您參考:
允許SSH訪問:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打開LOCALHOST訪問許可權:
iptables -A INPUT -i lo -j ACCEPT
允許網路流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允許SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、測試防火牆配置
運行下列命令保存配置並重新啟動防火牆:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是簡單的iptables防火牆安裝與配置過程。