A. 5招详解linux之openEuler /centos7防火墙基本使用指南
防火墙是一种管理解决方案,用于在Linux发行版中筛选数据包,它作为iptables的前端。本指南将指导你如何为服务器设置防火墙,并学习使用管理工具的基本知识。
注意:你使用的防火墙版本可能与本指南中的不同,或者你的服务器配置与指南示例有细微差异。因此,某些命令在你特定配置下可能行为不同。
防火墙中的基本概念
理解防火墙工作原理前,应熟悉几个关键概念。
区域
守护程序使用称为“区域”的实体管理规则组。区域是一组规则,根据计算机连接到网络的信任级别,定义允许的流量类型。网络接口分配给区域,以指示防火墙应允许的操作。
了解预定义区域对任何网络环境都很有帮助。从信任度最低到最高,预定义区域通常包括:
在使用防火墙时,可以通过创建规则和修改区域属性,然后将网络接口分配给合适的区域来配置规则。
永久性规则
防火墙中,规则可以作为永久规则或即时规则。默认情况下,修改当前运行的防火墙行为的规则被视为即时规则。下次启动时,规则将恢复到原始状态。大多数操作可以加上标志以指示应作为目标使用永久防火墙。这会影响重启时重新加载的规则集。这种分离允许你测试规则,出现问题时重新加载。此外,加上标志可以构建一组规则,这些规则在发出重载命令时同时应用。
安装并启用防火墙服务
firewalld默认安装在某些Linux发行版上,包括openEuler/CentOS 7的许多镜像。然而,可能需要自行安装防火墙。
验证防火墙服务是否正在运行:
修改防火墙规则
在开始修改规则之前,了解守护程序提供的默认环境和规则很重要。
浏览默认设置
通过命令,可以查看当前选择的默认区域。
验证默认区域
通过命令,可以验证接口是否与默认区域关联,以及区域允许的正常操作,如DHCP客户端和SSH远程管理。
选择适合接口的区域
除非已配置网络接口,否则在启动防火墙时,每个接口都将置于默认区域。
修改接口区域
可以在会话期间使用参数将接口与区域结合使用,允许在区域之间转换接口。修改防火墙的所有命令时,需要使用。
调整默认区域
如果所有接口由单个区域处理,则选择最佳默认区域并将其用于配置可能更方便。
使用参数更改默认区域。这将立即更改已返回默认到新区域的任何接口。
为应用程序设置规则
向区域添加服务
最简单的方法是将所需的服务或端口添加到使用的区域。使用命令可以获取可用服务列表。
例如,为Web服务器配置HTTP流量,可以通过命令允许此流量通过“公共”区域的接口。
验证操作是否成功
使用或操作验证规则是否生效。
测试规则后,可以使用命令将修改永久化。
现在,“公共”区域将允许端口80上的HTTP流量。如果Web服务器配置为使用SSL/TLS,还需要添加SSL/TLS服务。可以通过命令将其添加到当前会话和永久规则集中。
创建自定义区域
虽然预定义区域对大多数用户足够,但自定义区域可以更准确地描述其功能。
例如,创建一个名为“公共网站”的区域用于Web服务器,或为专用网络上的DNS服务创建一个名为“私有DNS”的区域。
在创建自定义区域时,必须将其添加到永久防火墙配置中,然后重新加载以将配置引入活动会话。通过命令创建上面讨论的两个区域。
验证配置是否存在于永久配置中
需要重新加载防火墙以引入新区域的配置。
在测试运行配置后,如果规则符合需求,需要将规则添加到永久配置。使用命令重新应用规则。
永久应用规则后,重启防火墙服务。
验证接口是否分配正确的区域
并验证区域是否提供相应服务。
至此,成功设置自定义区域。若要使某个区域成为其他接口的默认区域,请记得使用参数配置该行为。
总结
防火墙服务允许你配置可维护的规则和规则集,这些规则和规则集可以适应你的网络环境。通过使用区域在不同防火墙策略之间切换,管理员可以将端口管理抽象为更友好的服务。
B. Linux服务器怎样设置防火墙
一、怎样在Linux系统中安装Iptables防火墙?
几乎所有Linux发行版都预装了Iptables。您可以使用以下命令更新或检索软件包:
sudo apt-get install iptables
二、关闭哪些防火墙端口?
防火墙安装的第一步是确定哪些端口在服务器中保持打开状态。这将根据您使用的服务器类型而有所不同。例如,如果您运行的是Web服务器,则可能需要打开以下端口:
网络:80和443
SSH:通常在端口22上运行
电子邮件:110(POP3),143(IMAP),993(IMAP SSL),995(POP3 SSL)。
1、还原默认防火墙规则
为确保设置无误,我们需从一套新的规则开始,运行以下命令来清除防火墙中的规则:
iptables -F
2、屏蔽服务器攻击路由
我们可以运行下列标准命令来隔绝常见的攻击。
屏蔽syn-flood数据包:
iptables -A INPUT -p tcp ! –syn -m state –state NEW -j DROP
屏蔽XMAS数据包:
iptables -A INPUT -p tcp –tcp-flags ALL ALL -j DROP
阻止无效数据包:
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
3、打开所需端口
根据以上命令可屏蔽常见的攻击方式,我们需要打开所需端口。下列例子,供您参考:
允许SSH访问:
iptables -A INPUT -p tcp -m tcp -dport 22 -j ACCEPT
打开LOCALHOST访问权限:
iptables -A INPUT -i lo -j ACCEPT
允许网络流量:
iptables -A INPUT -p tcp -m tcp -dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 443 -j ACCEPT
允许SMTP流量:
iptables -A INPUT -p tcp -m tcp -dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp -dport 465 -j ACCEPT
三、测试防火墙配置
运行下列命令保存配置并重新启动防火墙:
iptables -L -n
iptables-save / sudo tee / etc / sysconfig / iptables
service iptables restart
以上就是简单的iptables防火墙安装与配置过程。