防火墙

linux系统对外开放80、8080等端口，防火墙设置 我们很多时候在liunx系统上安装了web服务应用后（如tomcat、apache等），需要让其它电脑能访问到该应用，而Linux系统（centos、redhat等）的防火墙是默认只对外开放了22端口。 方法1.关闭防火墙 用root登录后，执行 service iptables stop --停止 但是在实际应用中，关闭防火墙降低的服务器的安全性，不能关闭防火墙。 如果在宿主机的dos窗口下telnet虚拟机的8080窗口，会失败，由此可以确定是虚拟机的8080窗口有问题，应该是被防火墙堵住了。因此修改防火墙设置即可。 方法2.修改centos的防火墙配置文件 修改Linux系统防火墙配置需要修改 /etc/sysconfig/iptables 这个文件，如果要开放哪个端口，在里面添加一条 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT 就可以了，其中 8080 是要开放的端口号，然后重新启动linux的防火墙服务， /etc/init.d/iptables restart。 方法3.使用命令开启 在命令行添加外网端口访问 linux开启允许外网访问的端口 LINUX开启允许对外访问的网络端口

目录 前言 区域的概念 防火墙基本指令参数 区域管理 服务管理 端口管理 伪装ip 端口转发 富规则策略 ~~~~~~~~ 因为想要面对一个新的开始，一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些，就不叫新的开始，而叫逃亡。 ​​​​ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ————玛丽亚·杜埃尼亚斯 前言 与之前提到的iptables防火墙类似，firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现，他们的作用都是用于维护规则，而真正使用规则的是内核的netfilter。相较于iptables防火墙而言，firewalld支持动态更新技术并且加入了区域（zone）的概念。简单的说，zone就是firewalld预先准备的几套防火墙策略集合，用户可以根据实际情况选择不同的策略集合，从而实现防火墙策略之间的快速切换。 区域的概念 firewalld防火墙为了简化管理，将所有网络流量分为多个区域（zone）。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域，trusted区域默认允许所有流量通过，是一个特殊的区域。 区域名称 默认配置说明

vi /etc/selinux/config 将SELINUX=enforcing改为SELINUX=disabled centos 6 service iptable status servcie iptables stop -- 临时关闭防火墙 chkconfig iptables off -- 永久关闭防火墙 centos 7 CentOS 7.0默认使用的是firewall作为防火墙，这里改为iptables防火墙步骤。 启动一个服务： systemctl start firewalld . service 关闭一个服务： systemctl stop firewalld . service 重启一个服务： systemctl restart firewalld . service 显示一个服务的状态： systemctl status firewalld . service 在开机时启用一个服务： systemctl enable firewalld . service 在开机时禁用一个服务： systemctl disable firewalld . service 来源： CSDN 作者： VIP099 链接： https://blog.csdn.net/VIP099/article/details/104358525

如果你遇到了以下问题，那么你应该阅读这篇文章 我听说过这种技术，我对它很感兴趣 我想在家里访问我在公司的机器（写程序，查数据，下电影）。 公司为了防止我们用XX软件封锁了它的端口或者服务器地址。 公司不让我们上XX网站，限制了网址甚至IP。 公司不让我们看关于XX的信息，甚至花血本买了XX设备，能够对内容进行过滤。一看XX内容，链接就中断了。 我爸是搞电脑的，他在家里的路由器上动了手脚，我不能看XXX了。 带着这些问题，我们先从什么是ssh隧道开始。 什么是SSH隧道 首先看下面这张图，我们所面临的大部分情况都和它类似。我们的电脑在右上角，通过公司带有防火墙功能的路由器接入互联网（当然可能还有交换机什么的在中间 连接着你和路由器，但是在我们的问题中交换机并不起到什么关键性的作用）。右下脚的部分是一个网站的服务器，它是我们公司防火墙策略的一部分，也就是说公 司不希望我们访问这个服务器。在右上角还有一台机器，它也是属于我们的。但是这台机器并不在我们公司里面，换句话说他不受到公司防火墙的限制。最后也是最 重要的一点是，我们能够在公司通过互联网直接访问这台机器。或者说这台位于公司防火墙外面的机器需要拥有一个独立的互联网IP，同时公司的防火墙规则不会 屏蔽这台机器，并且这台机器运行着一个OpenSSH服务器。 现在，我们清楚地知道了自己所处的网络环境

上一篇文章学习了用户及文件相关权限，本篇继续学习防火墙技术。 防火墙作为公网与内网之间的保护屏障，对系统至关重要。防火墙又分为硬件防火墙和软件防火墙，主要功能都是依据设置的策略对穿越防火墙的流量进行过滤。本篇主要讲解Centos7系统自带的软件防火墙。 由于在初学阶段为了避免干扰很多时候我们都是直接关闭防火墙，但在生产环境这样做是很不安全的，因此我们需要掌握防火墙的相关配置方法。 一、Linux防火墙概述 Linux系统包含两个层面的防火墙，一种是基于TCP/IP的流量过滤工具，另外一种是TCP Wrappers服务。前者包括iptables、firewalld等防火墙，后者是能允许或禁止Linux系统提供服务的防火墙，在更高层面保护系统的安全。 在RHEL7系统中，firewalld取代了之前版本的iptables防火墙，成为默认的防火墙。二者有很大区别，iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的，而firewalld则是交由内核层面的nftables包过滤框架来处理。 严格意义上说，iptables和firewalld都不是真正的防火墙，只是用来定义防火墙策略的防火墙管理工具而已，他们都是一种服务。 防火墙管理工具主要是为了方便运维管理人员对防火墙策略进行配置和管理，这类工具思路大同小异，只要掌握一个即可

本文的受众 如果你遇到了以下问题，那么你应该阅读这篇文章 我听说过这种技术，我对它很感兴趣 我想在家里访问我在公司的机器（写程序，查数据，下电影）。 公司为了防止我们用XX软件封锁了它的端口或者服务器地址。 公司不让我们上XX网站，限制了网址甚至IP。 公司不让我们看关于XX的信息，甚至花血本买了XX设备，能够对内容进行过滤。一看XX内容，链接就中断了。 我爸是搞电脑的，他在家里的路由器上动了手脚，我不能看XXX了。 带着这些问题，我们先从什么是ssh隧道开始。 什么是SSH隧道 首 先看下面这张图，我们所面临的大部分情况都和它类似。我们的电脑在右上角，通过公司带有防火墙功能的路由器接入互联网（当然可能还有交换机什么的在中间连 接着你和路由器，但是在我们的问题中交换机并不起到什么关键性的作用）。左下脚的部分是一个网站的服务器，它是我们公司防火墙策略的一部分，也就是说公司 不希望我们访问这个服务器。在左上角还有一台机器，它也是属于我们的。但是这台机器并不在我们公司里面，换句话说他不受到公司防火墙的限制。最后也是最重 要的一点是，我们能够在公司通过互联网直接访问这台机器。或者说这台位于公司防火墙外面的机器需要拥有一个独立的互联网IP，同时公司的防火墙规则不会屏 蔽这台机器，并且这台机器运行着一个OpenSSH服务器。 现 在，我们清楚地知道了自己所处的网络环境

ipfw ipfwadmin ipchains ipchains netfilter iptables firewall 防火墙的工作原理：防火墙工作在网络的边缘位置 netfilter/iptables 一、防火墙结构 1、防火墙的规则表 raw:跟踪 mangle:标记 nat:转换 filter:过滤 2、防火墙的规则链 INPUT:入站 OUTPUT:出站 FORWARD:转发 PREROUTING:路由前 POSTROUTING:路由后 3、表和链的对应关系 raw: PREROUTING OUTPUT mangle: all nat: PREROUTING OUTPUT POSTROUTING filter: INPUT OUTPUT FORWARD 4、规则表的应用顺序 raw - mangle - nat - filter 5、规则链的应用顺序 入站数据流： PREROUTING - INPUT 出站数据流： OUTPUT - POSTROUTING 转发数据流： PREROUTING - FORWARD - POSTROUTING 6、规则的应用顺序 a、从上到下依次匹配，匹配即停止（LOG除外） b、没有匹配项时，采用默认规则（policy规则，只有ACCEPT和DROP） 二、防火墙规则 1、语法： iptables -t 表名 选项 链名 条件匹配 -j

防火墙分类 硬件防火墙：ddos攻击，流量攻击；iptables firewalld，软件防火墙。 firewalld回把自己的规则转换成iptables，最终底层使用netfilter。 iptables的表和链 规则表代表iptables能够支持的功能。 来源： https://www.cnblogs.com/Brake/p/12301085.html

编辑iptables vi /etc/sysconfig/iptables iptables的内容一般是这样的 # Generated by iptables-save v1.4.7 on Sat Dec 7 17:28:22 2019 *filter :INPUT DROP [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1:152] :syn-flood - [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 20000:30000 -j ACCEPT -A INPUT -p tcp -m state --state NEW -m

最近准备做一个《 FtpCopy系列教程 》，主要讲解Ftp协议主动模式和被动模式的区别、以及FTP服务器的安装部署，然后通过几个常用实例演示，详细讲解如何使用FtpCopy进行数据自动备份。 什么是FTP协议？ FTP的中文名称是“文件传输协议”，是File Transfer Protocol三个英文单词的缩写。FTP协议是TCP/IP协议组中的协议之一，其传输效率非常高，在网络上传输大的文件时，经常采用该协议。 一个完整的FTP由 FTP服务器 和 FTP客户端 组成，客户端可以将服务器上的文件通过FTP协议下载到本地，也可以将本地数据通过FTP协议上传到服务器上。 （1）服务器端需要安装FTP服务软件，常用的有FileZilla Server、IIS、Serv-U、OSSFTP等等。 不同的FTP软件对FTP协议标准支持有所差别，从我的使用经验感觉FileZilla Server是对FTP协议支持最好的软件，它具有以下几个特点：体积小（2M左右）、免费开源、操作简单、功能完善（我们所需要的有功能它基本都支持）。 IIS对FTP协议的支持也很不错。 Serv-U有几个命令支持不是很好，这个软件也是收费软件，没感觉比FileZilla Server好多少。 OSSFTP是阿里云对象存储提供的FTP Server，对FTP标准协议支持就更差了。 （2）FTP客户端软件就比较多了