您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

几个简单的实例教你使用firewalld工具轻松管理iptables防火墙

时间:2020-06-16 10:38:30  来源:  作者:

iptables是linux内核自带的防火墙,功能强大,但是因为其配置比较复杂,往往会让新手望而生畏。想当年,我在学习iptbles的时候就花费了不少精力,全凭自己零碎地摸索积累,着实走了不少弯路。接下来,我将给大家分享一下如何使用firewalld工具管理iptables。

1、使用firewalld的好处

首先,firewall-cmd是对iptables操作命令的封装,使用简单,新手比较容易接受。

其次,firewalld可靠性高,相对于直接使用iptables命令进行配置,它几乎不会出错,特别适合在生产环境中使用。

2、查看firewalld状态

大多数Linux系统都默认安装了firewalld包,提供的操作命令为firewall-cmd,我们可以使用--state参数查看firewalld的状态:

root@kali2020:~# firewall-cmd --state
running
root@kali2020:~# 

有时候,虽然firewalld已经安装,但不一定开启,我们可以使用systemctl命令把它开起来:

root@kali2020:~# systemctl enable firewalld
Synchronizing state of firewalld.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable firewalld
root@kali2020:~# systemctl start firewalld
root@kali2020:~# 

3、查看当前配置

我们可以使用--list-all参数查看当前zone的配置,也可以使用--list-services、--list-ports等参数查看指定的配置:

root@kali2020:~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: dhcpv6-client ipsec ssh
  ports:
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
root@kali2020:~# 

默认所有网卡都属于默认public zone,可以使用--zone参数指定其它zone,关于zone的概念新手可以先忽略。我们看到,防火墙默认只允许dhcpv6-client、ipsec、ssh服务,实际上相当于允许服务响应的端口,而服务跟端口之间的关系在/etc/service文件中定义。

4、开放指定端口或服务

对于一些默认允许的服务,我们可以使用--remove-service参数进行删除,加上--permanent参数可指定当前操作为永久生效,否则在firewalld重启后配置又恢复了:

root@kali2020:~# firewall-cmd --list-services
http ssh
root@kali2020:~# firewall-cmd --remove-service=ipsec --permanent
success
root@kali2020:~# firewall-cmd --remove-service=dhcpv6-client --permanent
success
root@kali2020:~# firewall-cmd --reload
success
root@kali2020:~# 

我们可以使用--add-service或--add-port方式允许相应的端口,配置修改后不会立即生效,需要使用--reload参数重新加载配置文件,下面的例子分别添加了http服务及tcp443端口:

root@kali2020:~# grep http /etc/services 
# Updated from https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml .
http            80/tcp          www             # WorldWideWeb HTTP
https           443/tcp                         # http protocol over TLS/SSL
http-alt        8080/tcp        webcache        # WWW caching service
root@kali2020:~# 
root@kali2020:~# iptables -L -nv | grep :80           tcp dpt:80 ctstate NEW,UNTRACKED
root@kali2020:~# 

5、添加rich rule

--add-service或--add-port参数只是简单地开放某个端口,无法对源/目的IP、端口等进行限制。要基于更多条件进行限制,我们需要添加rich rule:

root@kali2020:~# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.30.88/32" port port=21 protocol="tcp"  accept' --permanent
success
root@kali2020:~# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.30.8/32" service name="http" reject' --permanent
success
root@kali2020:~# iptables -L -nv | grep 192.168.30.8
    0     0 REJECT     tcp  --  *      *       192.168.30.8         0.0.0.0/0            tcp dpt:80 ctstate NEW,UNTRACKED reject-with icmp-port-unreachable
    0     0 ACCEPT     tcp  --  *      *       192.168.30.88        0.0.0.0/0            tcp dpt:21 ctstate NEW,UNTRACKED
root@kali2020:~# 
root@kali2020:~# firewall-cmd --reload
success
root@kali2020:~# firewall-cmd --list-rich-rules
rule family="ipv4" source address="192.168.30.8/32" service name="http" reject
rule family="ipv4" source address="192.168.30.88/32" port port="21" protocol="tcp" accept
root@kali2020:~# 

上面的例子中,我们分别允许192.168.30.88访问本机的21端口,以及拒绝192.168.30.8访问本机的80端口。关于rich rule更多的参数信息请man firewalld.richlanguage。

6、添加direct rule

如果rich rule还不满足我们的需求,我们可以使用--direct参数直接添加原生iptables规则:

root@kali2020:~# firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 1 -m tcp -p tcp -s 192.168.30.0/24 --dport 10000 -j REJECT
success
root@kali2020:~# 
root@kali2020:~# firewall-cmd --reload
success
root@kali2020:~# 
root@kali2020:~# firewall-cmd --direct --get-rules ipv4 filter INPUT
1 -m tcp -p tcp -s 192.168.30.0/24 --dport 10000 -j REJECT
root@kali2020:~# 
root@kali2020:~# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: http ssh
  ports: 443/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.30.8/32" service name="http" reject
        rule family="ipv4" source address="192.168.30.88/32" port port="21" protocol="tcp" accept
root@kali2020:~# 

在上面的例子中我们通过添加direct rule方式拒绝了192.168.30.0/24网段访问本机的10000端口。查看当前direct rule配置需要使用firewall-cmd --direct --get-rules ipv4 filter INPUT命令,其中filter表示iptbles的表,INPUT为指定的链(关于表链的知识这里暂时不做详细解释),通过--list-all参数是无法看到direct rule的。更多关于direct rule的帮助信息请man firewalld.direct。

7、其它需要注意的地方

  • --reload参数用于重新加载iptables,不会导致当前已经建立的网络连接中断,而使用--complete-reload参数重新加载配置则会使当前已经建立的连接中断,因此不建议使用。
  • firewall-cmd工具实际上是修改/etc/firewalld目录下的相应文件,因此除了使用命令行,还可以直接修改这些配置文件,再使用--reload参数重新加载。
  • 可以使用iptables-save命令查看当前所有原生配置。

好了,关于firewalld的基本使用就先介绍到这里,后续我会继续分享firewalld更高级的用法,敬请关注,谢谢。



Tags:iptables防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
iptables是Linux内核自带的防火墙,功能强大,但是因为其配置比较复杂,往往会让新手望而生畏。想当年,我在学习iptbles的时候就花费了不少精力,全凭自己零碎地摸索积累,着实走了不少...【详细内容】
2020-06-16  Tags: iptables防火墙  点击:(140)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条