記事ディレクトリ
ファイアウォール
ファイアウォールツール
ネットフィルター
1. 是Linux操作系统核心层内部的一个数据包处理模块,Linux平台下的包过滤防火墙;
2.作用:
网络地址转换
数据包内容修改
数据包过滤的防火墙功能 ***(要介绍的部分)
相关定义:
1. 表 tables:规则的集合(功能相似 的 规则 的集合)
2. 链 chains:关卡(一个关卡,可能有多个规则)
3. 规则 policy:匹配条件,处理动作
例
チェーン、リスト、ルール
鎖
水面
常见的4类表:
1. raw表:关闭nat表上启动的连接追踪机制 iptable_raw
2. mangle表:拆解报文,做出修改,并重新封装 iptable_mangle
3. nat表:Network Address Translation,网络地址转换 iptable_net
4. filter表:负责过滤功能,防护墙功能 iptable_filter
注意:
1 - 每个关卡能调用的 表 是不同的;
2 - 五个关卡基本是固定的:
PREROUTING
INPUT
FORWARD
POSTROUTING
OUTPUT:4个表
ルール
システムファイアウォール - Firewalld
静的ファイアウォール
ルールが変更されている限り、次のようなすべてのルールを再ロードする必要があります。 iptables サービス
動的ファイアウォール
ルールを変更する場合、ファイアウォール ルール リスト全体を再ロードする必要はありません。変更された部分を保存して、実行中の iptables に更新するだけです。たとえば、firewalld
エリア
Firewalld はネットワーク カードをさまざまなゾーンにマップします
デフォルトでは 9 つのゾーンがあります
1. block
2. dmz
3. drop
4. external
5. home
6. internal
7. public
8. trusted
9. work
9つのモデルルームとして理解できます。
ゾーンが異なれば、パケットのデフォルト動作も異なります。
kylinos では、デフォルトのゾーンはパブリックです
デフォルトでは、firewalld は各サービスを拒否するため、リリースする前に設定する必要があります。
| ゾーン | デフォルトのポリシールール |
|---|---|
| 信頼できる | すべてのネットワーク接続を受け入れ、すべてのパケットの送受信を許可します |
| 家 | これはホーム ネットワークで使用され、基本的にネットワーク内の他のホストがホストに害を及ぼさないことを信頼します。トラフィック、ssh、mdns、ipp-client、amba-client、および dhcpv6-client サービスが関連しており、アクセスが許可されます。 |
| 内部 | 家庭内ネットワークに相当する社内ネットワーク用 |
| 仕事 | ワークスペースの場合、基本的に、ネットワーク内の他のホストがこのホストを侵害しないことを信頼します。トラフィック、ssh、ipp-client、および dhcpv6-client サービスにのみ関連し、アクセスを許可します |
| 公共 | 公共エリアで使用され、ネットワーク内の他のコンピュータを信頼せず、選択された接続のみを受け入れます。トラフィック、SSH、および dhcpv6 クライアント サービスは関連しており、アクセスを許可します。 |
| 外部の | ルータに対してマスカレードが有効になっているエクストラネット。ネットワーク上の他のコンピュータを信頼しません。トラフィックは SSH サービスに関連しているため、入力できます。 |
| DMZ | 非武装地帯。一般にアクセス可能ですが、内部ネットワークへのアクセスは制限されています。トラフィックは SSH サービスに関連しているため、入力できます。 |
| ブロック | 制限すると、受信ネットワーク接続は拒否されます。 |
| 落とす | 破棄。受信したネットワーク パケットはすべて破棄され、発信ネットワーク接続のみが確立されます。 |
コマンドライン操作ファイアウォール
基本的なコマンド
| 注文 | 関数 |
|---|---|
| systemctl ファイアウォールを開始します | ファイアウォールをオンにする |
| systemct がファイアウォールを有効にする | ブートアップファイアウォール |
| systemct ファイアウォールを停止します | ファイアウォールをオフにする |
| systemct ファイアウォールを無効にする | 起動時にファイアウォールを自動的にオフにする |
| ファイアウォール-cmd の状態 | ファイアウォールのステータスを表示する |
| firewall-cmd --get-active-zones | ファイアウォールによって管理されているデバイスを表示する |
| ファイアウォール-cmd --get-default-zone | ファイアウォールがデフォルトで有効になっているエリアを表示する |
| ファイアウォール-cmd --get-zones | ファイアウォールのすべての領域を表示する |
| ファイアウォール-cmd --zone=public --list-all | パブリックゾーンのサービス設定をリストする |
| ファイアウォール-cmd --get-services | 利用可能なサービスをリストする |
| firewall-cmd --set-default-zone=trusted | デフォルトゾーンを信頼できるゾーンに変更します |
| firewall-cmd --list-all-zones | すべてのドメインをリストする |
ファイアウォールのステータスを表示する
firewall-cmd state #防护墙状态
systemctl status firewalld #防火墙状态
ファイアウォールをオフにする
systemctl stop firewalld.service #关闭防火墙
ファイアウォールを開始する
systemctl start firewalld.service
ブートアップファイアウォール
systemctl enable firewalld.service
セキュリティポリシーを変更する
| 注文 | 関数 |
|---|---|
| firewalld-cmd --add-service=https | サービスを一時的に追加する (デフォルトのリージョン) |
| firewalld-cmd --remove-service=https --permanent | サービスを完全に削除する |
| firewalld-cmd --add-port=80/tcp | 一時的にポートを追加する |
| firewalld-cmd --remove-interface=eth0 | インターフェースの削除 |
| firewalld-cmd --permanent --change-interface=eth1 --zone=trusted | インターフェースゾーンを永続的に変更する |
| firewalld-cmd --add-source=172.25.254.100 --zone=block | ホスト 172.25.254.100 へのすべてのネットワーク接続を一時的に拒否します。 |
| firewalld-cmd --remove-source=172.25.254.100 --zone=block --permanent | 制限を永久に削除する |
| firewalld-cmd --complete-reload | ファイアウォール ポリシーを切断して再起動します |
| firewalld-cmd --reload | 接続を中断せずにファイアウォール ポリシーを再起動します。 |
| firewalld-cmd --direct --get-all-rules | 設定されたルールを確認する |