取代了之前的 iptables 防火墙，配置文件在 / usr/lib/firewalld 和 / etc/fiewalld 中,主要工作在网络层,新增区域概念，不仅可以过滤互联网的数据包，也可以过滤内网的数据包,Firewalld 不仅可以通过命令行进行配置，也可以通过图形化界面配置,Firewalld 默认是拒绝所有，需要通过允许去放行,Firewalld 可以动态修改单条规则，动态管理规则集（允许更新规则而不破环现有会话和连接，可以守护进程）

注意事项

iptables 和 firewaldl 都只是 linux 防火墙的管理程序，真正的防火墙执行者是位于内核的 netfilter，只不过 firwalld 和 iptables 的结果以及使用方法不一样在配置防火墙时，不建议两种配置方法结合使用（建议只使用其中的一种）

Iptables 讲解

Iptables 配置防火墙依靠四个部分实现：表、规则链、规则（匹配条件）、控制类型组成

Iptables 表

处理优先级由高到低，表与表之间都是独立的

raw表

是否对某个数据包进行状态追踪（包含 OUTPUT、PREAUTING 两个规则链）

mangle表

修改数据包内容；可以做流量整形、对数据包设置标记（包含所有规则链）

nat表

负责地址转换功能；修改数据包中的源目 IP 地址或端口（包含 IN、OU、PR、PO 三个规则链）

filter表

负责过滤数据包；对数据包时允许放行还是不允许放行（包含 IN、OU、FO 三个规则链） Iptables 规则链

什么是规则链

很多个规则组成一个规则链,数据包从上往下做匹配，匹配成功就结束匹配，并执行相应的控制类型（建议需要将精准的策略放在上面）

规则链类型

INPUT 处理入站的数据包（处理目标是本机的数据包） OUTPUT 处理出站的数据包（处理源是本机的数据包，一般不在此链上做规则） PREROUTING 在进行路由选择前处理数据包（一般用来做 NAT Server） POSTROUTING 在进行路由选择后处理数据包（一般用来做源 NAT） FORWARD 处理转发的数据包（处理经过本机的数据包）

Iptables 控制类型

ACCEPT 允许数据包通过 DROP 丢弃数据包（不给对方回应，一般工作时用这个） REJCET 拒绝数据包通过（会给对方回应，对方知道自己被拒绝） SNAT 修改数据包的源地址 DNAT 修改数据包的目的地址 MASQUERADE 伪装程一个非固定的公网 IP 地址 LOG 在 / var/log/messages 文件中记录日志信息，然后将数据包传递给下一条规则

数据包到达防火墙根据下图进行匹配

iptables 进行数据处理关心的是四表五链以及流量的进出

Iptables 命令配置

配置 iptables 防火墙时需要将防火墙服务开启

systemctl start firewalld 开启防火墙 systemctl status firewalld 查看防火墙状态

Iptables命令查看防火墙

iptables -nL -t nat 查看 nat 表的规则链 -n 使用数字形式显示输出结果（如：通过 IP 地址） -L 查看当前防火墙有哪些策略 -t 指定查看 iptables 的哪个表（默认是 filter 表）

Iptables命令配置防火墙

> iptables -P INPUT DROP将 INPUT 规则链的默认流量更改为拒绝
> -P 设置 / 修改默认策略
> iptables -t filter -I INPUT -s 192.168.10.0/24 -j ACCEPT在 filter 表下的 INPUT 规则链中配置规则
> -I num 插入规则（大写 i，默认在链的开头加入规则，可以指定序号）
> -i  从这块网卡流入的数据
> -o 从这块网卡流出的数据
> -s  源地址（加！表示取反）
> -d 目的地址
> -j  限制动作
> iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT拒绝 tcp 端口号为 1000~1024 的数据包
> -A 在链的末尾加入规则
> -p 指定协议类型
> --sport 源端口
> --dport 目的端口
> iptables -D INPUT 1删除 INPUT 规则链的第一条规则
> -D num 删除规则链
> -R 修改规则
> iptables -F清空已有的策略
> iptables-save来保存防火墙策略

> iptables -P INPUT DROP将 INPUT 规则链的默认流量更改为拒绝

> -P 设置 / 修改默认策略

> iptables -t filter -I INPUT -s 192.168.10.0/24 -j ACCEPT在 filter 表下的 INPUT 规则链中配置规则

> -I num 插入规则（大写 i，默认在链的开头加入规则，可以指定序号）

> -i 从这块网卡流入的数据

> -o 从这块网卡流出的数据

> -s 源地址（加！表示取反）

> -d 目的地址

> -j 限制动作

> iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT拒绝 tcp 端口号为 1000~1024 的数据包

> -A 在链的末尾加入规则

> -p 指定协议类型

> --sport 源端口

> --dport 目的端口

> iptables -D INPUT 1删除 INPUT 规则链的第一条规则

> -D num 删除规则链

> -R 修改规则

> iptables -F清空已有的策略

> iptables-save来保存防火墙策略

注意事项

当创建的规则内容与已有规则一致时，不会覆盖原先的规则，会直接加入到现有规则链中（即此时此规则链下有两条一摸一样的规则，只是顺序不同）以上关于防火墙的配置是 runtime 模式，即配置成功后立即生效，但是重启后会失效（需要将配置保存，重启后才不会失效）

firewalld 讲解

frewalld 是服务名称，firewall-cmd 和 firewall-config 是配置工具名称

firewall-cmd 基于命令行配置

本人提供Oracle(OCP、OCM)、MySQL(OCP)、PostgreSQL(PGCA、PGCE、PGCM)等数据库的培训和考证业务，私聊QQ646634621或微信db_bao，谢谢！

后续精彩内容已被小麦苗无情隐藏，请输入验证码解锁本站所有文章

请关注本站微信公众号，回复“小麦苗博客”，获取验证码。在微信里搜索“DB宝”或者“www_xmmup_com”或者微信扫描右侧二维码都可以关注本站微信公众号。

打赏赞(1)

标签： Firewalld iptables 网络防火墙

小麦苗

学习或考证，均可联系麦老师，请加微信db_bao或QQ646634621

发表回复取消回复

要发表评论，您必须先登录。

2023年 9月
一	二	三	四	五	六	日
	1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

AI (2)
ClickHouse (6)
DM达梦 (9)
Docker (46)
GBase (37)
Greenplum (109)
HANA (2)
K8S (14)
Kafka (3)
Memcached (2)
MongoDB (5)
MySQL (211)
NoSQL (3)
OceanBase (14)
OGG (43)
openGauss (11)
Oracle (635)
OS (383)
PostgreSQL (259)
Python (26)
Redis (21)
SQL Server (157)
SQLite (1)
StarRocks (21)
TDSQL (5)
TiDB (18)
YMatrix (5)
中间件 (10)
云 (10)
人大金仓KingBase (9)
其它 (83)
培训考证 (45)
大数据 (6)
存储 (8)
巡检监控 (47)
工具 (100)
数据迁移 (16)
架构篇 (12)
生活 (10)
电脑 (18)
网络 (94)
育儿 (5)
视频 (17)
面试笔试 (38)

嘿，我是小麦，需要帮助随时找我哦

18509239930
个人微信
麦老师QQ聊天
个人邮箱
点击加入QQ群
个人微店
回到顶部

小麦苗

Linux 防火墙配置之iptables和firewalld