recherche
MaisonOpération et maintenanceexploitation et maintenance LinuxComment configurer un pare-feu à Linux en utilisant un pare-feu ou des iptables?

Comment configurer un pare-feu à Linux en utilisant un pare-feu ou des iptables?

Emily Anne Brown
Emily Anne Brown
Mar 12, 2025 pm 06:58 PM

Configuration d'un pare-feu à Linux à l'aide d'un pare-feu ou d'une iptable

La mise en place d'un pare-feu dans Linux en utilisant firewalld ou iptables implique différentes approches en raison de leurs différences architecturales. firewalld est un démon de pare-feu dynamique qui fournit une interface conviviale pour gérer les règles de pare-feu, tandis que iptables est un utilitaire de ligne de commande qui manipule directement le cadre NetFilter du noyau.

Utilisation de Firewalld:

  1. Installation: Assurez-vous que firewalld est installé. Dans la plupart des distributions, cela se fait à l'aide du gestionnaire de packages (par exemple, apt install firewalld sur Debian / Ubuntu, dnf install firewalld sur Fedora / Centos / Rhel).
  2. Démarrez et activez Firewalld: Démarrez le service avec systemctl start firewalld et activez-le de démarrer sur Boot avec systemctl enable firewalld .
  3. Configuration de base: firewalld utilise des "zones" pour définir différents contextes de réseau (par exemple, "public", "interne", "dmz"). Chaque zone a un ensemble de règles par défaut. Vous pouvez répertorier les zones avec firewall-cmd --get-active-zones . Pour ajouter un service, comme SSH (port 22), à la zone par défaut (généralement "public"), utilisez firewall-cmd --permanent --add-service=ssh . Pour rendre les modifications permanentes, utilisez le drapeau --permanent . Recharger le pare-feu avec firewall-cmd --reload pour appliquer les modifications.
  4. Configuration avancée: pour plus de contrôle granulaire, vous pouvez ajouter des ports spécifiques à l'aide firewall-cmd --permanent --add-port=80/tcp (pour http) ou des gammes à l'aide firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept' (pour autoriser le trafic à partir d'un TRAFFET spécifique).

Utilisation des iptables:

  1. Installation: iptables est généralement inclus par défaut dans la plupart des distributions Linux.
  2. Configuration de base: iptables utilise des chaînes (par exemple, INPUT , OUTPUT , FORWARD ) pour gérer les règles. Chaque règle spécifie les adresses IP source / destination, les ports, les protocoles et l'action (accepter, supprimer, rejeter). Par exemple, pour permettre les connexions SSH: iptables -A INPUT -p tcp --dport 22 -j ACCEPT .
  3. Règles de sauvegarde: les règles iptables ne sont pas persistantes à tous les redémarrages. Vous devez les enregistrer à l'aide d'un script ou d'un utilitaire comme iptables-save et de les charger au démarrage à l'aide d'un script de démarrage. La méthode exacte varie en fonction de votre distribution.
  4. Configuration avancée: iptables offre un contrôle extrêmement grainé, permettant des ensembles de règles complexes avec divers critères de correspondance et chaînes personnalisées. Cependant, cela nécessite une compréhension approfondie du réseautage et de la syntaxe iptables .

Différences clés entre le pare-feu et les iptables

La principale différence réside dans leur approche de la gestion du pare-feu. firewalld fournit une interface de niveau supérieur et conviviale construite sur iptables . Il simplifie les tâches de pare-feu commun, ce qui facilite la gestion des zones, des services et des ports. iptables , en revanche, fournit un contrôle direct et de bas niveau sur le cadre NetFilter, offrant une plus grande flexibilité mais nécessitant une expertise plus technique.

Voici un tableau résumant les principales différences:

Fonctionnalité pare-feu iptables
Interface Outil de ligne de commande avec des options conviviales Ligne de commande uniquement, syntaxe complexe
Configuration Zones, services, ports, règles riches Chaînes, règles avec des critères de correspondance spécifiques
Persistance Mécanisme de persistance intégré Nécessite une sauvegarde manuelle et un chargement au démarrage
Complexité Plus facile à apprendre et à utiliser Courbe d'apprentissage plus abrupte, plus complexe
Flexibilité Moins flexible que les iptables Très flexible, permet des règles complexes
Mises à jour dynamiques Prend en charge les mises à jour dynamiques Mises à jour manuelles requises

Configuration des règles de pare-feu spécifiques pour permettre / refuser des ports ou des services particuliers

Utilisation de Firewalld:

Pour permettre un port spécifique (par exemple, HTTP sur le port 80):

 <code class="bash">firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload</code>

Pour nier un port spécifique (par exemple, FTP sur le port 21):

C'est moins simple avec firewalld . Vous auriez probablement besoin de créer une zone personnalisée ou d'utiliser des règles riches pour y parvenir avec précision. Généralement, firewalld est conçu pour permettre par défaut et nier explicitement.

Pour permettre un service spécifique (par exemple, SSH):

 <code class="bash">firewall-cmd --permanent --add-service=ssh firewall-cmd --reload</code>

Utilisation des iptables:

Pour permettre un port spécifique (par exemple, HTTP sur le port 80):

 <code class="bash">iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # If you want to allow outgoing traffic on port 80 as well. service iptables save # Save the rules (method varies by distribution)</code>

Pour nier un port spécifique (par exemple, FTP sur le port 21):

 <code class="bash">iptables -A INPUT -p tcp --dport 21 -j DROP service iptables save # Save the rules (method varies by distribution)</code>

Meilleures pratiques pour sécuriser votre système Linux avec un pare-feu

Que vous utilisiez firewalld ou iptables , suivez ces meilleures pratiques:

  • Principe du moindre privilège: autorisez uniquement le trafic nécessaire. Nier tous par défaut et autoriser explicitement les ports et services spécifiques.
  • Mises à jour régulières: gardez votre pare-feu et votre système d'exploitation mis à jour avec les derniers correctifs de sécurité.
  • Analyse des journaux: examinez régulièrement les journaux du pare-feu pour identifier l'activité suspecte.
  • Focus de la chaîne d'entrée: portez une attention particulière à la chaîne INPUT , car cela contrôle les connexions entrantes.
  • STATERSFULL FIRWALLS: Utilisez une inspection avec état (à la fois firewalld et iptables prennent en charge cela) pour suivre les connexions et permettre le trafic de retour.
  • Évitez les ports ouverts sauf si nécessaire: minimisez le nombre de ports ouverts exposés à Internet.
  • Utilisez une stratégie de mot de passe solide: sécurisez votre système en utilisant des mots de passe solides et en les mettant régulièrement à la mise à jour.
  • Examiner régulièrement les règles: examinez périodiquement vos règles de pare-feu pour vous assurer qu'elles sont toujours appropriées et efficaces.
  • Utilisez un DMZ séparé: si vous devez exposer des services à Internet, envisagez d'utiliser un DMZ séparé (zone démilitarisée) pour isoler ces services de votre réseau interne.
  • Envisagez des systèmes de détection / prévention des intrusions (IDS / IPS): combinez votre pare-feu avec un IDS / IPS pour une couche de sécurité supplémentaire.

N'oubliez pas de toujours tester vos règles de pare-feu dans un environnement contrôlé avant de les déployer sur un système de production. Les règles de pare-feu incorrectement configurées peuvent rendre votre système inaccessible.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article connexe
Composants essentiels de Linux: expliqués pour les débutantsComposants essentiels de Linux: expliqués pour les débutantsApr 17, 2025 am 12:08 AM

Les composants principaux de Linux incluent le noyau, le système de fichiers, le shell et les outils communs. 1. Le noyau gère les ressources matérielles et fournit des services de base. 2. Le système de fichiers organise et stocke les données. 3. Shell est l'interface permettant aux utilisateurs d'interagir avec le système. 4. Les outils courants aident à effectuer des tâches quotidiennes.

Linux: un regard sur sa structure fondamentaleLinux: un regard sur sa structure fondamentaleApr 16, 2025 am 12:01 AM

La structure de base de Linux comprend le noyau, le système de fichiers et le shell. 1) Ressources matérielles de gestion du noyau et utiliser uname-R pour afficher la version. 2) Le système de fichiers EXT4 prend en charge les fichiers volumineux et les journaux et est créé à l'aide de MKFS.EXT4. 3) Shell fournit une interaction de ligne de commande telle que Bash et répertorie les fichiers à l'aide de LS-L.

Opérations Linux: Administration et maintenance du systèmeOpérations Linux: Administration et maintenance du systèmeApr 15, 2025 am 12:10 AM

Les étapes clés de la gestion et de la maintenance du système Linux incluent: 1) maîtriser les connaissances de base, telles que la structure du système de fichiers et la gestion des utilisateurs; 2) Effectuer la surveillance du système et la gestion des ressources, utilisez le haut, le HTOP et d'autres outils; 3) Utilisez des journaux système pour dépanner, utiliser JournalCTL et d'autres outils; 4) Rédiger des scripts automatisés et la planification des tâches, utilisez des outils CRON; 5) Implémentez la gestion et la protection de la sécurité, configurez les pare-feu via iptables; 6) Effectuer l'optimisation des performances et les meilleures pratiques, ajuster les paramètres du noyau et développer de bonnes habitudes.

Comprendre le mode de maintenance de Linux: l'essentielComprendre le mode de maintenance de Linux: l'essentielApr 14, 2025 am 12:04 AM

Le mode de maintenance Linux est entré en ajoutant init = / bin / bash ou paramètres uniques au démarrage. 1. Entrez le mode de maintenance: modifiez le menu Grub et ajoutez des paramètres de démarrage. 2. Remontez le système de fichiers en mode de lecture et d'écriture: Mount-Oremount, RW /. 3. Réparer le système de fichiers: utilisez la commande fsck, telle que FSCK / DEV / SDA1. 4. Sauvegardez les données et opérez avec prudence pour éviter la perte de données.

Comment Debian améliore la vitesse de traitement des données HadoopComment Debian améliore la vitesse de traitement des données HadoopApr 13, 2025 am 11:54 AM

Cet article examine comment améliorer l'efficacité du traitement des données Hadoop sur les systèmes Debian. Les stratégies d'optimisation couvrent les mises à niveau matérielle, les ajustements des paramètres du système d'exploitation, les modifications de configuration de Hadoop et l'utilisation d'algorithmes et d'outils efficaces. 1. Le renforcement des ressources matérielles garantit que tous les nœuds ont des configurations matérielles cohérentes, en particulier en faisant attention aux performances du CPU, de la mémoire et de l'équipement réseau. Le choix des composants matériels de haute performance est essentiel pour améliorer la vitesse de traitement globale. 2. Réglage des paramètres JVM: Ajustez dans le fichier hadoop-env.sh

Comment apprendre Debian SyslogComment apprendre Debian SyslogApr 13, 2025 am 11:51 AM

Ce guide vous guidera pour apprendre à utiliser Syslog dans Debian Systems. Syslog est un service clé dans les systèmes Linux pour les messages du système de journalisation et du journal d'application. Il aide les administrateurs à surveiller et à analyser l'activité du système pour identifier et résoudre rapidement les problèmes. 1. Connaissance de base de Syslog Les fonctions principales de Syslog comprennent: la collecte et la gestion des messages journaux de manière centralisée; Prise en charge de plusieurs formats de sortie de journal et des emplacements cibles (tels que les fichiers ou les réseaux); Fournir des fonctions de visualisation et de filtrage des journaux en temps réel. 2. Installer et configurer syslog (en utilisant RSYSLOG) Le système Debian utilise RSYSLOG par défaut. Vous pouvez l'installer avec la commande suivante: SudoaptupDatesud

Comment choisir la version Hadoop dans DebianComment choisir la version Hadoop dans DebianApr 13, 2025 am 11:48 AM

Lors du choix d'une version Hadoop adaptée au système Debian, les facteurs clés suivants doivent être pris en compte: 1. Stabilité et support à long terme: pour les utilisateurs qui poursuivent la stabilité et la sécurité, il est recommandé de choisir une version stable Debian, comme Debian11 (Bullseye). Cette version a été entièrement testée et a un cycle de support allant jusqu'à cinq ans, ce qui peut assurer le fonctionnement stable du système. 2. Package Mise à jour: Si vous avez besoin d'utiliser les dernières fonctionnalités et fonctionnalités Hadoop, vous pouvez considérer la version instable de Debian (SID). Cependant, il convient de noter que les versions instables peuvent avoir des problèmes de compatibilité et des risques de stabilité. 3. Soutien et ressources communautaires: Debian a un énorme soutien communautaire, qui peut fournir une documentation riche et

TiGervnc Partager Fichier Méthode sur DebianTiGervnc Partager Fichier Méthode sur DebianApr 13, 2025 am 11:45 AM

Cet article décrit comment utiliser TiGervnc pour partager des fichiers sur Debian Systems. Vous devez d'abord installer le serveur Tigervnc, puis le configurer. 1. Installez le serveur Tigervnc et ouvrez le terminal. Mettez à jour la liste des packages logiciels: SudoaptupDate pour installer le serveur TiGervnc: SudoaptInstallTiGervnc-standalone-servertigervnc-Common 2. Configurez le serveur TiGervnc pour définir le serveur VNC: VNCPasswd Démarrer le serveur VNC: VNCServer: 1-localHostNo

See all articles

Outils d'IA chauds

Undresser.AI Undress

Undresser.AI Undress

Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover

AI Clothes Remover

Outil d'IA en ligne pour supprimer les vêtements des photos.

Undress AI Tool

Undress AI Tool

Images de déshabillage gratuites

Clothoff.io

Clothoff.io

Dissolvant de vêtements AI

AI Hentai Generator

AI Hentai Generator

Générez AI Hentai gratuitement.

Afficher plus

Article chaud

R.E.P.O. Crystals d'énergie expliqués et ce qu'ils font (cristal jaune)
1 Il y a quelques moisBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Meilleurs paramètres graphiques
1 Il y a quelques moisBy尊渡假赌尊渡假赌尊渡假赌
Assassin's Creed Shadows: Solution d'énigmes de coquille
2 Il y a quelques semainesByDDD
R.E.P.O. Comment réparer l'audio si vous n'entendez personne
1 Il y a quelques moisBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Commandes de chat et comment les utiliser
1 Il y a quelques moisBy尊渡假赌尊渡假赌尊渡假赌
Afficher plus

Outils chauds

Télécharger la version Mac de l'éditeur Atom

Télécharger la version Mac de l'éditeur Atom

L'éditeur open source le plus populaire

PhpStorm version Mac

PhpStorm version Mac

Le dernier (2018.2.1) outil de développement intégré PHP professionnel

Envoyer Studio 13.0.1

Envoyer Studio 13.0.1

Puissant environnement de développement intégré PHP

Version Mac de WebStorm

Version Mac de WebStorm

Outils de développement JavaScript utiles

SublimeText3 version Mac

SublimeText3 version Mac

Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Afficher plus

Sujets chauds

Où se trouve l’entrée de connexion pour la messagerie Gmail ?
7530
15
Tutoriel CakePHP
1379
52
Quel est le format du nom de compte de Steam
82
11
Clé d&amp;amp;amp;amp;amp;amp;amp;#39;activation Win11 permanent
54
19
NYT Connexions Indices et réponses
21
76
Afficher plus