Linux 防火墙操作总结篇:iptables,firewalld,ufw
linux 系统防火墙包含以下几种:
- centos5、centos6、redhat6系统自带的是 iptables 防火墙。
- centos7、centos8、redhat7自带 firewall 防火墙。
- ubuntu系统使用的是 ufw 防火墙。
关于 iptables 防火墙之前有总结过 :[linux (centos 6.10)下防火墙 报错 iptables : no config file. [WARING]][1],以及 iptables 添加、删除指令、重启指令。
然后会产生一种感觉:好像不管是 centos 还是 ubuntu 都会有 iptables 指令。测试了一下 CentOS Linux release 8.3.2011
、CentOS release 6.10 (Final)
、CentOS Linux release 7.9.2009 (Core)
、Ubuntu 22.04.2 LTS/jammy
、Ubuntu 20.04.2 LTS/focal
,都包含了 iptables 指令。
有一篇 关于ufw、firewalld及iptables之间的关系整理,阐述了 iptables 是一个最底层、最古老的防火墙系统,新版本系统一般会使用 firewall 或者 ufw。并且各个防火墙服务都是相互独立的,所以安装了多个防火墙服务的时候,防火墙之间也是相互影响的。
意识到原初的 iptables 在创建规则的时候,条件是复杂难懂的。所以除非对 iptables 的指令非常了解,一般都会使用其他两种更便捷的防火墙服务。以下是对三种防火墙服务启动、关闭、添加规则等操作,参考:Linux防火墙配置白名单操作(包括Ubuntu、ContOS、Redhat)。
对于 RedHat7 / CentOS7 及以上
# 查看防火墙状态
systemctl status firewalld
# 关闭防火墙
systemctl stop firewalld
# 启动防火墙
systemctl start firewalld
# 关闭防火墙自启动
systemctl disable firewalld
# 开启防火墙自启动
systemctl enable firewalld
#查看已开放的端口
firewall-cmd --list-all
# 允许指定IP访问本机8080端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'
# 允许指定IP段访问本机8080-8090端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="8080-8090" accept'
# 禁止指定IP访问本机8080端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" reject'
#移除第一条规则(所有的移除规则基本都是add改成remove)
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="8080" accept'
# 查询端口是否开放
firewall-cmd --query-port=8080/tcp
# 新建永久规则,开放8080端口(TCP协议),任何ip都可以访问
firewall-cmd --permanent --add-port=8080/tcp
# 移除上述规则
firewall-cmd --permanent --remove-port=8080/tcp
# 新建永久规则,批量开放一段端口(TCP协议)
firewall-cmd --permanent --add-port=9001-9100/tcp
#添加或者移除规则后重新加载firewall后配置才会生效
firewall-cmd --reload
RedHat6 / CentOS6
# 查看防火墙状态
service iptables status
# 关闭防火墙
service iptables stop
# 开启防火墙
service iptables start
#开机防火墙自启动
chkconfig iptables on
#关闭开机防火墙自启动
chkconfig iptables off
######添加防火墙白名单示例######
# 编辑/etc/sysconfig/iptables 文件,具体内容如下(灰色背景为添加的配置部分),修改完文件后需要重启防火墙生效
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# 定义白名单,需要在头部定义,在下方调用白名单名称
-N whitelist
# 白名单具体列表,可配置多个
-A whitelist -s 192.168.2.130 -j ACCEPT
-A whitelist -s 192.168.2.131 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
# 白名单调用,在-j后加上方定义的白名单名称
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j whitelist
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Ubuntu18 及以上
查看防火墙状态
sudo ufw status
禁用防火墙并关闭自启动
sudo ufw disable
启用防火墙并开启自启动
sudo ufw enable
允许XX.XX.XX.XX访问所有端口
sudo ufw allow from XX.XX.XX.XX
允许特定子网范围的计算机对8080端口的访问
sudo ufw allow from xx.xx.xx.xx/16 to any port 8080
拒绝xx.xx.xx.xx访问80端口
sudo ufw deny from xx.xx.xx.xx to any port 80
开启服务器上xxxx至yyyy的TCP端口
sudo ufw allow xxxx:yyyy/tcp
当前页面是本站的「Google AMP」版。查看和发表评论请点击:完整版 »