cari
RumahOperasi dan penyelenggaraanoperasi dan penyelenggaraan linuxBagaimana saya menyediakan firewall di linux menggunakan firewalld atau iptables?

Bagaimana saya menyediakan firewall di linux menggunakan firewalld atau iptables?

Emily Anne Brown
Emily Anne Brown
Mar 12, 2025 pm 06:58 PM

Menyiapkan firewall di linux menggunakan firewalld atau iptables

Menubuhkan firewall di Linux menggunakan sama ada firewalld atau iptables melibatkan pendekatan yang berbeza kerana perbezaan seni bina mereka. firewalld adalah daemon firewall yang dinamik yang menyediakan antara muka mesra pengguna untuk menguruskan peraturan firewall, sementara iptables adalah utiliti baris arahan yang secara langsung memanipulasi kerangka Netfilter kernel.

Menggunakan Firewalld:

  1. Pemasangan: Pastikan firewalld dipasang. Mengenai kebanyakan pengagihan, ini dilakukan menggunakan pengurus pakej (contohnya, apt install firewalld pada Debian/Ubuntu, dnf install firewalld di Fedora/Centos/RHEL).
  2. Mulakan dan aktifkan Firewalld: Mulakan perkhidmatan dengan systemctl start firewalld dan membolehkannya memulakan boot dengan systemctl enable firewalld .
  3. Konfigurasi Asas: firewalld menggunakan "zon" untuk menentukan konteks rangkaian yang berbeza (contohnya, "awam", "dalaman", "DMZ"). Setiap zon mempunyai set peraturan lalai. Anda boleh menyenaraikan zon dengan firewall-cmd --get-active-zones . Untuk menambah perkhidmatan, seperti SSH (port 22), ke zon lalai (biasanya "awam"), gunakan firewall-cmd --permanent --add-service=ssh . Untuk membuat perubahan kekal, gunakan bendera --permanent . Muat semula firewall dengan firewall-cmd --reload untuk memohon perubahan.
  4. Konfigurasi Lanjutan: Untuk lebih banyak kawalan berbutir, anda boleh menambah port khusus menggunakan firewall-cmd --permanent --add-port=80/tcp (untuk http) atau julat menggunakan firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" accept'

Menggunakan iptables:

  1. Pemasangan: iptables biasanya dimasukkan secara lalai dalam kebanyakan pengagihan Linux.
  2. Konfigurasi Asas: iptables menggunakan rantai (contohnya, INPUT , OUTPUT , FORWARD ) untuk menguruskan peraturan. Setiap peraturan menentukan alamat IP sumber/destinasi, port, protokol, dan tindakan (menerima, jatuh, menolak). Sebagai contoh, untuk membolehkan sambungan SSH: iptables -A INPUT -p tcp --dport 22 -j ACCEPT .
  3. Peraturan Penjimatan: Peraturan iptables tidak berterusan merentasi reboot. Anda perlu menyimpannya menggunakan skrip atau utiliti seperti iptables-save dan memuatkannya pada masa boot menggunakan skrip permulaan. Kaedah yang tepat berbeza -beza bergantung kepada pengedaran anda.
  4. Konfigurasi Lanjutan: iptables menawarkan kawalan yang sangat halus, membolehkan set peraturan kompleks dengan pelbagai kriteria yang sepadan dan rantai adat. Walau bagaimanapun, ini memerlukan pemahaman yang mendalam mengenai sintaks rangkaian dan iptables .

Perbezaan utama antara firewalld dan iptables

Perbezaan utama terletak pada pendekatan mereka terhadap pengurusan firewall. firewalld menyediakan antara muka yang lebih tinggi, mesra pengguna yang dibina di atas iptables . Ia memudahkan tugas firewall yang biasa, menjadikannya lebih mudah untuk menguruskan zon, perkhidmatan, dan pelabuhan. Sebaliknya, iptables menyediakan kawalan langsung dan rendah ke atas kerangka Netfilter, yang menawarkan fleksibiliti yang lebih besar tetapi memerlukan lebih banyak kepakaran teknikal.

Berikut adalah jadual yang meringkaskan perbezaan utama:

Ciri Firewalld IPTABLES
Antara muka Alat baris arahan dengan pilihan mesra pengguna Barisan arahan sahaja, sintaks kompleks
Konfigurasi Zon, perkhidmatan, pelabuhan, peraturan yang kaya Rantai, peraturan dengan kriteria sepadan tertentu
Kegigihan Mekanisme kegigihan terbina dalam Memerlukan penjimatan dan pemuatan manual di but
Kerumitan Lebih senang belajar dan menggunakan Lengkung pembelajaran yang lebih curam, lebih kompleks
Fleksibiliti Kurang fleksibel daripada iptables Sangat fleksibel, membolehkan peraturan yang rumit
Kemas kini dinamik Menyokong kemas kini dinamik Kemas kini manual diperlukan

Mengkonfigurasi peraturan firewall tertentu untuk membolehkan/menafikan pelabuhan atau perkhidmatan tertentu

Menggunakan Firewalld:

Untuk membenarkan port tertentu (misalnya, HTTP pada port 80):

 <code class="bash">firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload</code>

Untuk menafikan port tertentu (misalnya, FTP pada port 21):

Ini kurang mudah dengan firewalld . Anda mungkin perlu membuat zon tersuai atau menggunakan peraturan yang kaya untuk mencapai ini dengan tepat. Umumnya, firewalld direka untuk membenarkan secara lalai dan menafikan secara eksplisit.

Untuk membenarkan perkhidmatan tertentu (misalnya, SSH):

 <code class="bash">firewall-cmd --permanent --add-service=ssh firewall-cmd --reload</code>

Menggunakan iptables:

Untuk membenarkan port tertentu (misalnya, HTTP pada port 80):

 <code class="bash">iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT # If you want to allow outgoing traffic on port 80 as well. service iptables save # Save the rules (method varies by distribution)</code>

Untuk menafikan port tertentu (misalnya, FTP pada port 21):

 <code class="bash">iptables -A INPUT -p tcp --dport 21 -j DROP service iptables save # Save the rules (method varies by distribution)</code>

Amalan terbaik untuk mendapatkan sistem linux anda dengan firewall

Tidak kira sama ada anda menggunakan firewalld atau iptables , ikuti amalan terbaik ini:

  • Prinsip keistimewaan paling sedikit: Hanya membenarkan trafik yang diperlukan. Menolak semua secara lalai dan secara eksplisit membenarkan port dan perkhidmatan tertentu.
  • Kemas kini tetap: Pastikan sistem firewall dan operasi anda dikemas kini dengan patch keselamatan terkini.
  • Analisis log: Secara kerap mengkaji log firewall untuk mengenal pasti aktiviti yang mencurigakan.
  • Fokus rantai input: Perhatikan rantaian INPUT , kerana ini mengawal sambungan masuk.
  • Firewall Statefull: Menggunakan pemeriksaan negara (kedua -dua firewalld dan iptables menyokong ini) untuk mengesan sambungan dan membenarkan trafik kembali.
  • Elakkan pelabuhan terbuka melainkan perlu: Kurangkan bilangan pelabuhan terbuka yang terdedah kepada Internet.
  • Gunakan dasar kata laluan yang kuat: Saman sistem anda dengan menggunakan kata laluan yang kuat dan kerap mengemas kininya.
  • Peraturan semak secara berkala: Secara berkala mengkaji peraturan firewall anda untuk memastikan mereka masih sesuai dan berkesan.
  • Gunakan DMZ yang berasingan: Jika anda perlu mendedahkan perkhidmatan ke Internet, pertimbangkan untuk menggunakan DMZ (zon demilarized) yang berasingan untuk mengasingkan perkhidmatan tersebut dari rangkaian dalaman anda.
  • Pertimbangkan sistem pengesanan/pencegahan pencerobohan (IDS/IPS): Campurkan firewall anda dengan ID/IPS untuk lapisan keselamatan tambahan.

Ingatlah untuk sentiasa menguji peraturan firewall anda dalam persekitaran terkawal sebelum menggunakannya ke sistem pengeluaran. Peraturan firewall yang tidak dapat dikonfigurasikan boleh menyebabkan sistem anda tidak dapat diakses.

Atas ialah kandungan terperinci Bagaimana saya menyediakan firewall di linux menggunakan firewalld atau iptables?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Komponen Penting Linux: Dijelaskan untuk PemulaKomponen Penting Linux: Dijelaskan untuk PemulaApr 17, 2025 am 12:08 AM

Komponen teras Linux termasuk kernel, sistem fail, shell dan alat biasa. 1. Kernel menguruskan sumber perkakasan dan menyediakan perkhidmatan asas. 2. Sistem fail menganjurkan dan menyimpan data. 3. Shell adalah antara muka bagi pengguna untuk berinteraksi dengan sistem. 4. Alat umum membantu menyelesaikan tugas harian.

Linux: Lihat struktur asasnyaLinux: Lihat struktur asasnyaApr 16, 2025 am 12:01 AM

Struktur asas Linux termasuk kernel, sistem fail, dan shell. 1) Sumber perkakasan pengurusan kernel dan gunakan UNAME-R untuk melihat versi. 2) Sistem fail ext4 menyokong fail dan log besar dan dibuat menggunakan mkfs.ext4. 3) Shell menyediakan interaksi baris arahan seperti BASH, dan menyenaraikan fail menggunakan LS-L.

Operasi Linux: Pentadbiran Sistem dan PenyelenggaraanOperasi Linux: Pentadbiran Sistem dan PenyelenggaraanApr 15, 2025 am 12:10 AM

Langkah -langkah utama pengurusan dan penyelenggaraan sistem Linux termasuk: 1) menguasai pengetahuan asas, seperti struktur sistem fail dan pengurusan pengguna; 2) Menjalankan pemantauan sistem dan pengurusan sumber, gunakan alat atas, HTOP dan lain -lain; 3) Gunakan log sistem untuk menyelesaikan masalah, gunakan JournalCTL dan alat lain; 4) Tulis skrip automatik dan penjadualan tugas, gunakan alat Cron; 5) Melaksanakan pengurusan dan perlindungan keselamatan, konfigurasikan firewall melalui iptables; 6) Menjalankan pengoptimuman prestasi dan amalan terbaik, menyesuaikan parameter kernel dan mengembangkan tabiat yang baik.

Memahami Mod Penyelenggaraan Linux: KeperluanMemahami Mod Penyelenggaraan Linux: KeperluanApr 14, 2025 am 12:04 AM

Mod penyelenggaraan Linux dimasukkan dengan menambah init =/bin/bash atau parameter tunggal pada permulaan. 1. Masukkan Mod Penyelenggaraan: Edit menu Grub dan tambahkan parameter permulaan. 2. Mengembalikan sistem fail untuk membaca dan menulis mod: mount-oremount, rw/. 3. Membaiki sistem fail: Gunakan arahan FSCK, seperti FSCK/DEV/SDA1. 4. Menyokong data dan beroperasi dengan berhati -hati untuk mengelakkan kehilangan data.

Bagaimana Debian Meningkatkan Kelajuan Pemprosesan Data HadoopBagaimana Debian Meningkatkan Kelajuan Pemprosesan Data HadoopApr 13, 2025 am 11:54 AM

Artikel ini membincangkan cara meningkatkan kecekapan pemprosesan data Hadoop pada sistem Debian. Strategi pengoptimuman meliputi peningkatan perkakasan, pelarasan parameter sistem operasi, pengubahsuaian konfigurasi Hadoop, dan penggunaan algoritma dan alat yang cekap. 1. Pengukuhan sumber perkakasan memastikan bahawa semua nod mempunyai konfigurasi perkakasan yang konsisten, terutama memberi perhatian kepada prestasi CPU, memori dan peralatan rangkaian. Memilih komponen perkakasan berprestasi tinggi adalah penting untuk meningkatkan kelajuan pemprosesan keseluruhan. 2. Sistem operasi Tunes deskriptor fail dan sambungan rangkaian: Ubah suai fail /etc/security/limits.conf untuk meningkatkan had atas deskriptor fail dan sambungan rangkaian yang dibenarkan dibuka pada masa yang sama oleh sistem. Pelarasan Parameter JVM: Laraskan fail Hadoop-env.sh

Cara Belajar Debian SyslogCara Belajar Debian SyslogApr 13, 2025 am 11:51 AM

Panduan ini akan membimbing anda untuk belajar cara menggunakan syslog dalam sistem Debian. SYSLOG adalah perkhidmatan utama dalam sistem Linux untuk sistem pembalakan dan mesej log aplikasi. Ia membantu pentadbir memantau dan menganalisis aktiviti sistem untuk mengenal pasti dan menyelesaikan masalah dengan cepat. 1. Pengetahuan asas syslog Fungsi teras syslog termasuk: mengumpul dan menguruskan mesej log secara terpusat; menyokong pelbagai format output log dan lokasi sasaran (seperti fail atau rangkaian); Menyediakan fungsi tontonan log dan penapisan masa nyata. 2. Pasang dan konfigurasikan syslog (menggunakan rsyslog) Sistem Debian menggunakan rsyslog secara lalai. Anda boleh memasangnya dengan arahan berikut: sudoaptupdatesud

Cara Memilih Versi Hadoop di DebianCara Memilih Versi Hadoop di DebianApr 13, 2025 am 11:48 AM

Apabila memilih versi Hadoop yang sesuai untuk sistem Debian, faktor utama berikut perlu dipertimbangkan: 1. Kestabilan dan sokongan jangka panjang: Bagi pengguna yang mengejar kestabilan dan keselamatan, disarankan untuk memilih versi stabil Debian, seperti Debian11 (Bullseye). Versi ini telah diuji sepenuhnya dan mempunyai kitaran sokongan sehingga lima tahun, yang dapat memastikan operasi sistem yang stabil. 2. Kelajuan Kemas Kini Pakej: Jika anda perlu menggunakan ciri dan ciri Hadoop terkini, anda boleh mempertimbangkan versi Debian yang tidak stabil (SID). Walau bagaimanapun, perlu diperhatikan bahawa versi yang tidak stabil mungkin mempunyai masalah keserasian dan risiko kestabilan. 3. Sokongan dan Sumber Masyarakat: Debian mempunyai sokongan masyarakat yang besar, yang dapat memberikan dokumentasi yang kaya dan

Kaedah Fail Kongsi Tigervnc di DebianKaedah Fail Kongsi Tigervnc di DebianApr 13, 2025 am 11:45 AM

Artikel ini menerangkan cara menggunakan Tigervnc untuk berkongsi fail pada sistem Debian. Anda perlu memasang pelayan tigervnc terlebih dahulu dan kemudian konfigurasikannya. 1. Pasang pelayan Tigervnc dan buka terminal. Kemas kini senarai pakej perisian: sudoaptupdate untuk memasang pelayan tigervnc: sudoaptinstalltigervnc-standalone-servertigervnc-common 2.

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)
1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Tetapan grafik terbaik
1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌
Assassin's Creed Shadows: Penyelesaian Riddle Seashell
2 minggu yang laluByDDD
R.E.P.O. Cara Memperbaiki Audio Jika anda tidak dapat mendengar sesiapa
1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Arahan sembang dan cara menggunakannya
1 bulan yang laluBy尊渡假赌尊渡假赌尊渡假赌
Tunjukkan Lagi

Alat panas

Notepad++7.3.1

Notepad++7.3.1

Editor kod yang mudah digunakan dan percuma

SecLists

SecLists

SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.

Hantar Studio 13.0.1

Hantar Studio 13.0.1

Persekitaran pembangunan bersepadu PHP yang berkuasa

DVWA

DVWA

Damn Vulnerable Web App (DVWA) ialah aplikasi web PHP/MySQL yang sangat terdedah. Matlamat utamanya adalah untuk menjadi bantuan bagi profesional keselamatan untuk menguji kemahiran dan alatan mereka dalam persekitaran undang-undang, untuk membantu pembangun web lebih memahami proses mengamankan aplikasi web, dan untuk membantu guru/pelajar mengajar/belajar dalam persekitaran bilik darjah Aplikasi web keselamatan. Matlamat DVWA adalah untuk mempraktikkan beberapa kelemahan web yang paling biasa melalui antara muka yang mudah dan mudah, dengan pelbagai tahap kesukaran. Sila ambil perhatian bahawa perisian ini

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Persekitaran pembangunan bersepadu PHP yang berkuasa

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7542
15
Tutorial CakePHP
1381
52
Apakah format nama akaun stim
83
11
kunci pengaktifan win11 kekal
55
19
Sambungan NYT menunjukkan dan jawapan
21
86
Tunjukkan Lagi