linux防火墙 ufw、firwalld、iptables区别

教程分享 > Linux和Shell教程 (88) 2024-11-20 09:20:28

防火墙综述

linux 防火墙,常用的包括三种:ufwfirewalldiptables。学习难度依次递增。

常见的防火墙分为两种,一种是3层防火墙,另一种是 7 层防火墙。

在 TCP/IP 的七层网络中,第三层是网络层,三层防火网会在这层对源地址和目标地址进行检测。但七成防火墙会对 源端口、目标端口、源ip、目标ip 全都进行检测。

ufw

因为原生的 iptable 配置麻烦,学习成本较高。 ufw全称 Uncomplicated Firewallubuntu提供的一个 iptables 的接口。同时支持 ipv4ipv6

最新版的UFW默认启用了IPV6配置,你也可以通过以下命令进行检查:

# cat /etc/default/ufw | grep -i ipv6
IPV6=yes

默认策略

默认情况下,UFW 设置了:禁止所有流量转入,允许所有流量转出。(这点和 iptable 的默认允许所有流量转入不同)。
我们也可以更改此默认配置:

cat /etc/default/ufw |grep -i default_input  # 加 -i 是关闭大小写区分。
DEFAULT_INPUT_POLICY="DROP"

规则设置

允许 80 端口的 tcp 流量包进入

sudo ufw allow 22/tcp

拒绝 88 端口的 tcp 流量包进入与流出

sudo ufw deny 88/tcp

允许特定的 ip 源的访问

sudo ufw allow from 192.168.1.1

firewall

Centos7以上的发行版都试自带了firewalld防火墙的,firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。

关于 firewall 防火墙配置,需要注意的是:

这里需要首先说明的是,在执行命令时,如果没有带 --permanent 参数表示配置立即生效,但是不会对该配置进行存储,相当于重启服务器就会丢失。如果带上则会将配置存储到配置文件,,但是这种仅仅是将配置存储到文件,却并不会实时生效,需要执行 firewall-cmd --reload 命令重载配置才会生效。

规则配置

  1. 默认域的配置
firewall-cmd --list-all
  1. 应急命令
firewall-cmd --panic-on     # 拒绝所有流量,远程连接会立即断开,只有本地能登陆
firewall-cmd --panic-off    # 取消应急模式,但需要重启firewalld后才可以远程ssh
firewall-cmd --query-panic  # 查看是否为应急模式
  1. 端口
firewall-cmd --add-port=<port>/<protocol>    # 添加端口/协议(TCP/UDP)
firewall-cmd --remove-port=<port>/<protocol> # 移除端口/协议(TCP/UDP)
firewall-cmd --list-ports                    # 查看开放的端口
  1. 开放指定端口,并重新加载
firewall-cmd --add-port=443/tcp --permanent # 开放端口
firewall-cmd --reload                       # 重新加载
firewall-cmd --query-port=443/tcp           # 查询是否放开

iptables

iptables 的结构

iptables -> Tables -> Chains -> Rules

简单地讲,tables由chains组成,而chains又由rules组成。iptables 默认有四个表Filter, NAT, Mangle, Raw,其对于的链如下图。

linux防火墙 ufw、firwalld、iptables区别_图示-2cd54848cdf041a79b7e395f1750f6b3.png

综上所述

  • ufw 是Ubuntu系统上对于iptables的简化操作工具
  • firewall是centos系列系统弃用iptables后的一个新防火墙


 

https://www.leftso.com/article/2411200920192618.html

相关文章
防火墙综述linux 防火墙,常用的包括三种:ufw 、 firewalld 和 iptables。学习难度依次递增。常见的防火墙分为两种,一种是3层防火墙,另
ubuntu 禁用/启用防火墙iptablesUbuntu查看防火墙状态命令sudo ufw status Status: activeactive  -  启用inactive - 停用Ub...
1.安装ufw防火墙sudo apt-get install ufw提示:除开精简版一般云提供商LTS版本(18/22LTS)都是默认安装的。 2.查看防火墙启
Ubuntu系统或者Linux系统都应该保证软件更新到最新,以减少软件漏洞导致服务器风险。Ubuntu系统更新软件主要分两步。第一步:更新软件源信息该操作只会更新软件最新的信息到本地,不会下载和安装。
ubuntu 配置sudo不需要输入密码Ubuntu单用用户配置sudo vi /etc/sudoers在打开文件的最下方添加以下行内容:ubuntu ALL=(ALL) NOPASSWD:...
Ubuntu 20.04 安装netstat工具sudo apt install net-tools安装完成后即可使用netstat命令ubuntu@test-1:~$ sudo netstat...
Ubuntu 20.04 更换国内apt源第一步:备份源文件:sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup第二步:编辑/e...
Ubuntu 硬盘分区扩容命令进行磁盘操作时请务必备份数据!!! 事情是这样的,服务器系统盘是块 120GB 的 SSD,当时装系统的时候只给了 50GB,还剩下 70GB 的剩余容量,那么现在...
网络信息 主机1 192.168.79.128主机2 192.168.79.133主机1/2关闭防火墙sudo ufw disable  修改 docker0 ip  sudo vi /lib/...
CentOS 7 安装最新Docker-ce# 配置repo源 默认repo源没有docker-ce安装包,需要新的repo源安装依赖库,yum-utils 提供命令"yum-config-ma...
前置环境dockerdocker-composedocker安装参考:CentOS7安装最新Docker-ce-左搜(leftso.com)Ubuntu在线安装Docker-左搜(leftso....
错误描述pve8或ubuntu fail2ban 无法启动 Have not found any log file for sshd jail导致原因没有找到s
ddos攻击属于网络攻击的常见模式之一。这里写一个能简单防御的脚本ddos-deflate脚本的安装和卸载
安装docker和docker-compose参考文章:CentOS 8.0-8.4 yum 安装docker-ce-左搜 (leftso.com)Ubuntu 在线安装 Docker-左搜 (...
环境本次minikube安装环境为Ubuntu 18.04.6 LTS安装docker-ce参考:Ubuntu 在线安装 Docker-左搜 (leftso.com)注意配置docker镜像地址...