龙空技术网

Linux,操作系统,防火墙,Netfilter,命令及操作

古怪今人 268

前言:

现在你们对“centos开放8888端口命令”大体比较珍视,各位老铁们都需要了解一些“centos开放8888端口命令”的相关资讯。那么小编在网上汇集了一些有关“centos开放8888端口命令””的相关文章,希望姐妹们能喜欢,小伙伴们快快来了解一下吧!

Netfilter模块

Netfilter是Linux 2.4.x引入的一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。

Netfilter的架构就是在整个网络流程的若干位置放置了一些检测点(HOOK),而在每个检测点上登记了一些处理函数进行处理。

查看内核启动的参数(查看Netfilter是否启动):cat /boot/config-3.10.0-957.e17.x86_64

Netfilter(IP层,网络层)的五个HOOK点的位置

1、NF_IP_PRE_ROUTING:刚刚进入网络层的数据包通过此点(刚刚进行完版本号,校验和等检测), 目的地址转换在此点进行;

2、NF_IP_LOCAL_IN:经路由查找后,送往本机的通过此检查点,INPUT包过滤在此点进行;

3、NF_IP_FORWARD:要转发的包通过此检测点,FORWARD包过滤在此点进行;

4、NF_IP_POST_ROUTING:所有马上便要通过网络设备出去的包通过此检测点,内置的源地址转换功能(包括地址伪装)在此点进行;

5、NF_IP_LOCAL_OUT:本机进程发出的包通过此检测点,OUTPUT包过滤在此点进行。

CentOS6&CentOS7

CentOS6的防火墙-->iptables

---->4表13链,链表之间的关系。

---->iptables-save

CentOS7的防火墙-->firewall-cmd

---->firewall-cmd命令

包状态:数据能否穿透防火墙取决于包的状态。

---->数据包发不出

---->数据包回不来

---->通过内核管理的8个选项:包状态、包类型、源和目的端口、源和目的IP、源和目的mac。

---->管理7层防火墙,7层防火墙是在应用层工作的防火墙,它实时监控保护系统各个方面的行为。保护系统的安全运行,有效地保证系统的正常运行,网络系统安全中有良好的表现。

查看命令的软件包:yum provides iptables

读取配置文件:/etc/sysconfig/iptables-config

firewall服务和firewall命令以及firewall区域

firewall-cmd:

---->firewall,根据区域来判断规则。

---->firewall-cmd --

---->firewall-cmd --get-zones

区域(9个):block(阻塞)、dmz(非军事交战区或隔离区)、drop(丢弃)、external、home、internal、public、trusted、work

drop,接收的任何网络数据包都会被丢弃,没有任何回复,仅能有发送出去的网络连接。

block,接收的任何网络数据包都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。

public,在公共区域内使用,不能相信网络内的其他计算机不会对你的计算机造成危害,只能接收经过选取的连接。

external,特别是为路由器启用了伪装功能的外部网,你不能信任来自网络的其他计算机,不能相信他们不会对你的计算机造成危害,只能接收经过选取的连接。

dmz,用于你的非军事区内的电脑,此区域内可公开访问,可以有限地进入你的内部网络,仅仅接收经过选取的连接。

work,用于工作区,你可以基本相信网络内的其他计算机不会危害你的电脑,仅接收经过选取的连接。

home,用于家庭网络,你可以基本相信网络内的其他计算机不会危害你的电脑,仅接收经过选取的连接。

internal,用于内部网络,你可以基本相信网络内的其他计算机不会危害你的电脑,仅接收经过选取的连接。

trusted,可以接收所有的网络连接。

动态管理防火墙:支持zones管理的防火墙,firewall按传入流量划分区域。

逻辑说明:1、如果传入的数据的Saddr,和区域的某个S规则匹配,就把这个包通过这路由;2、接口相同;3、默认区域。

具体操作:

查看所有区域:firewall-cmd --list-all查看某个区域:firewall-cmd --zone=public--list-all查看默认区域:firewall-cmd --get-default-zone查看所有区域(激活的、可用的):firewall-cmd --get-zones查看正在所用的区域(启用的):firewall-cmd --get-active-zones查看防火墙的状态:firewall-cmd --state查看防火墙支持的所有协议:firewall-cmd --get-services查看协议icmp所支持的类型:firewall-cmd --get-icmptypes查看网卡在哪个区域:firewall-cmd --get-zone-of-interface=ens33查询当前区域内支持的服务:firewall-cmd --list-services查询当前区域内支持的端口:firewall-cmd --list-ports
更改当前区域:firewall-cmd --set-default-zone=internal某个网卡绑定到区域内:firewall-cmd --zone=work --add-interface=eth1某个网卡更改绑定到区域:firewall-cmd --zone=work --change-interface=eth1某个网卡更改移除到区域:firewall-cmd --zone=work --remove-interface=eth1某个网卡查看绑定某个区域:firewall-cmd --zone=work --query-interface=eth1
区域内允许使用http协议:firewall-cmd --zone=work --add-service=http区域内移除使用http协议:firewall-cmd --zone=work --remove-service=http区域内查询使用http协议:firewall-cmd --zone=work --query-service=http
区域内允许使用80端口:firewall-cmd --zone=work --add-port=80/tcp区域内允许使用20到30端口:firewall-cmd --zone=work --add-port=20-30/tcp区域内拒绝使用20到30端口(本身不允许):firewall-cmd --zone=work --remove-port=20-30/tcp
上网伪装:允许work区域访问外网:firewall-cmd --zone=work --add-masquerade拒绝work区域访问外网:firewall-cmd --zone=work --remove-masquerade查询work区域访问外网:firewall-cmd --zone=work --query-masquerade禁止阻塞应答包:firewall-cmd --zone=work --add-icmp-block=ech0-reply查询阻塞应答包:firewall-cmd --zone=work --query-icmp-block=ech0-reply移除阻塞应答包:firewall-cmd --zone=work --remove-icmp-block=ech0-reply禁止阻塞请求包:firewall-cmd --zone=work --add-icmp-block=ech0-request查询阻塞请求包:firewall-cmd --zone=work --query-icmp-block=ech0-request移除阻塞请求包:firewall-cmd --zone=work --remove-icmp-block=ech0-request
数据包的转发:firewall-cmd --zone=work --add-forward-port=<port>[-port]:proto=<protocol>{:toport=port<port>|:toaddr=<address>}firewall-cmd --reload端口转发(80端口转到192.168.1.2的8080端口):firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.2移除端口转发:firewall-cmd --zone=work --remove-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.2
富策略:策略中的特例firewall-cmd --zone=public --list-rich-rulesinverse---->取反语法:rule family=<ipv4/ipv6> source adddress=<ip/mask> invet=true destination address=<ip/mask> invet=true server name=<服务名> port=<服务端口> protocol=<tcp/udp>  <drop/reject/accept/log/adit>举例:从1.1.1.1过来的地址,访问8888端口,转到80端口:firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=1.1.1.1/8 forward-port port=8888 protocol=tcp to-port=80'阻止可疑的IP地址访问:firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 drop'限制某个协议每分钟允许访问3次(限流的作用):firewall-cmd --permanent --add-rich-rule='rule service name=ssh accept limit value=3/m'伪装IP,允许192.168.0.0/24访问:firewall-cmd --permanent -zone=dmz ---add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade' 
开放服务器的端口:firewall-cmd --permanent --zone=public --add-port=22/tcp firewall-cmd --permanent --zone=public --add-port=100-500/tcpfirewall-cmd --reload允许某个IP/IP地址段访问某个端口:firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept"firewall-cmd --reload限制某个IP访问某个端口:firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject"firewall-cmd --reload
防火墙的规则文件:vi /etc/firewalld/zones/public.xml

标签: #centos开放8888端口命令