firewall:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 |
------------------------------------- systemctl status firewalld - проверим, запущен ли firewalld firewall-cmd --state - проверим, запущен ли firewalld systemctl stop firewalld - остановка firewalld systemctl disable firewalld - запрет автостарта systemctl start firewalld - запуск firewalld systemctl enable firewalld - включение автостарта ------------------------------------- firewall-cmd --get-zones - список всех допустимых зон по-умолчанию firewall-cmd --get-active-zones - активные зоны firewall-cmd --get-zone-of-interface=eth0 - узнать, к какой зоне он принадлежит eth0 firewall-cmd --zone=public --list-interfaces - узнать, какие интерфейсы принадлежат конкретной зоне public firewall-cmd --zone=public --add-interface=eth1 - добавить к зоне сетевой интерфейс firewall-cmd --zone=public --permanent --add-interface=eth1 - добавить к зоне сетевой интерфейс и сохранить настройки ------------------------------------- firewall-cmd --permanent --list-all - показать все правила firewall-cmd --permanent --zone=public --add-port=2234/tcp - разрешить порт 2234/tcp зона public firewall-cmd --zone=public --add-port=5059-5061/udp - разрешить диапазон портов 5059-5061/udp firewall-cmd --permanent --zone=public --add-service=http - разрешить порт http firewall-cmd --permanent --zone=public --add-service=https - разрешить порт https firewall-cmd --permanent --add-port=3128/tcp - разрешить порт 3128/tcp firewall-cmd --permanent --add-port=514/tcp - разрешить порт 514/tcp firewall-cmd --permanent --add-port=514/udp - разрешить порт 514/udp firewall-cmd --permanent --add-port=http/tcp - разрешить порт http/tcp firewall-cmd --permanent --add-port=https/tcp - разрешить порт https/tcp firewall-cmd --permanent --add-port=ssh/tcp - разрешить порт ssh/tcp firewall-cmd --reload - перезагрузить и применить изменения ------------------------------------ firewall-cmd --permanent --zone=public --remove-service=dhcpv6-client - убрать разрешение dhcpv6-client ------------------------------------ firewall-cmd --panic-on - включить режим блокировки всех исходящих и входящих пакетов firewall-cmd --panic-off - выключить режим блокировки всех исходящих и входящих пакетов firewall-cmd --query-panic - проверка включен ли режим блокировки всех исходящих и входящих пакетов ------------------------------------ firewall-cmd --zone=external --query-masquerade - проверить статус маскарад (masquerade, он же nat) firewall-cmd --zone=external --add-masquerade - включить маскарад (masquerade, он же nat) ------------------------------------ firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.0.200 - перенаправить входящие на 22 порт на другой хост firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=222:toaddr=192.168.0.10 - перенаправить входящие на 22 порт на другой хост 192.168.0.10:222 ------------------------------------ |
iptables:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
------------------------------------ systemctl disable firewalld - выключаем авто запуск firewalld systemctl stop firewalld - выключаем firewalld ------------------------------------ yum install iptables-services - ставим iptables systemctl start iptables - запускаем брандмауэр iptables systemctl start ip6tables - запускаем брандмауэр iptables systemctl enable iptables - авто запуск при включении iptables systemctl enable ip6tables - авто запуск при включении iptables ------------------------------------ /etc/sysconfig/iptables - текущие правила находятся в файлах /etc/sysconfig/ip6tables - текущие правила находятся в файлах ------------------------------------ mkdir /etc/iptables -создаем директорию /sbin/iptables-save > /etc/iptables/iptables_v4 - сохранения правил iptables после перезагрузки /sbin/ip6tables-save > /etc/sysconfig/iptables_v6 - сохранения правил iptables после перезагрузки service iptables save - сохранения правил iptables после перезагрузки ------------------------------------ |
Примеры правил iptables v4:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
-P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -s 10.0.0.0/23 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -s 10.10.10.103/32 -p tcp -m state --state NEW -m tcp --dport 9102 -j ACCEPT -A INPUT -s 10.10.10.103/32 -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT -A INPUT -s 10.10.10.105/32 -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT -A INPUT -s 10.10.10.120/32 -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT -A INPUT -p udp -m multiport --dports 18080:18089 -m comment --comment "https videostream" -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp -m multiport --dports 18080:18089 -m comment --comment "https videostream" -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 100/sec -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT |
Примеры правил iptables v6:
|
1 2 3 4 5 6 |
-P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p ipv6-icmp -j ACCEPT |
Примеры ipset (Списки ip)
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
Пример правил: iptables -A INPUT -p tcp -m set --match-set blacklist src -m comment --comment BLACKLIST -j DROP iptables -A INPUT -p tcp -m set --match-set whitelist src -m comment --comment WHITELIST -j ACCEPT iptables -A INPUT -p tcp -m set --match-set web src -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT iptables -A INPUT -p tcp -m set --match-set web src -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT Пример списков: /etc/iptables/blacklist.ipset -! create blacklist hash:net family inet hashsize 131072 maxelem 262144 counters timeout 7200 -! add blacklist 10.100.2.50/32 -! add blacklist 192.168.100.0/24 /etc/iptables/whitelist.ipset -! create whitelist hash:net family inet hashsize 131072 maxelem 262144 counters timeout 7200 -! add whitelist 10.101.2.50/32 -! add whitelist 10.168.5.0/24 /etc/iptables/web.ipset -! create web hash:net family inet hashsize 131072 maxelem 262144 counters timeout 7200 -! add web 10.100.20.50/32 -! add web 192.168.12.0/24 |