linux防火牆埠過濾

㈠ Windows防火牆和linux防火牆的區別

相同，都是通過策略實現各種的埠定義。
不同的是，win下大多使用圖形界面，linux下使用配置文件。
並非linux的就是專業的，win就不專業。win系統也是一很霸道的系統。
win的防火牆一樣很好。只是你如何使用，以及使用的是什麼！
他有mmc界面下的策略管理。還有一個防火牆工具。
其實都是防火牆，win在誤導你而已！
linux下一切都是開放的，就看你知道不知道那是什麼了！

㈡ 如何在linux系統防火牆中放開對8080埠的限制

1.修改文件/etc/sysconfig/iptables

[root@bogon ~]# cd /etc/sysconfig/
[root@bogon sysconfig]# vi iptables

在文件中加入如下內容，目的是對外界開放8080埠

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

2.將iptables服務重啟。

[root@bogon sysconfig]# service iptables restart
Flushing firewall rules: [ OK ]
Setting chains to policy ACCEPT: filter [ OK ]
Unloading iptables moles: [ OK ]
Applying iptables firewall rules: [ OK ]
Loading additional iptables moles: ip_conntrack_ftp [ OK ]
[root@bogon sysconfig]#

這樣就放開了8080埠的限制。

㈢ linux的防火牆有什麼作用

linux防火牆作用一：

一、防火牆的基本模型

基於TCP/IP協議簇的Internet網際互聯完全依賴於網路層以上的協議棧(網路層的IP協議、傳輸控制協議TCP/UDP協議和應用層協議)。考慮到網路防火牆是為了保持網路連通性而設立的安全機制，因此防火牆技術就是通過分析、控制網路以上層協議特徵，實現被保護網路所需安全策略的技術。構建防火牆有三類基本模型：即應用代理網關、電路級網關(Circuit Level Gateway)和網路層防火牆。

二、不應該過濾的包

在開始過濾某些不想要的包之前要注意以下內容：

ICMP包

ICMP

包可用於檢測TCP/IP失敗的情形。如果阻擋這些包將導致不能得「Host unreachable」或「No route to host」等信息。ICMP包還用於MTU發現，某些TCP實現使用了MTU發現來決定是否進行分段。MTU發現通過發送設置了不進行分段的位的包探測，

當得到的ICMP應答表示需要分段時，再發送較小的包。如果得不到ICMP包(「destination unreachable」類型的包)，則本地主機不減少MTU大小，這將導致測試無法停止或網路性能下降。 到DNS的TCP連接

如果要攔阻出去的TCP連接，那麼要記住DNS不總是使用UDP。如果從DNS伺服器過來的回答超過512位元組，客戶端將使用TCP連接，並仍使用埠53接收數據。若禁止了TCP連接，DNS大多數情況下會正常工作，但可能會有奇怪的延時故障出現。

如果內部網路的DNS查詢總是指向某個固定的外部DNS伺服器，可以允許本地域埠到該伺服器的域埠連接。

主動式FTP的TCP連接

FTP有兩種運作方式，即傳統的主動式(active)方式和目前流行的被動式(passive)方式。在主動式FTP模式下，FTP 伺服器發送文件或應答LS命令時，主動和客戶端建立TCP連接。如果這些TCP連接被過濾，則主動方式的FTP將被中斷。如果使用被動方式，則過濾遠地的TCP連接沒有問題。因為數據連接是從客戶端到伺服器進行的(包括雙向的數據)。

三、針對可能的網路攻擊

防火牆的性能是否優良關鍵在於其配置能否防護來自外界的各種網路攻擊。這要求網路管理者能針對可能的網路攻擊特點設定完善的安全策略。以網路常見的「ping of death」攻擊為例，「ping of death」攻擊通過發送一個非法的大ICMP包使接收者的TCP堆棧溢出從而引起混亂。針對這種攻擊可將防火牆配置為阻擋ICMP分段。因為普通的

ICMP包大都不需要到分段的程度，阻擋ICMP分段只攔阻大的「ping」包。 這種防護策略也可用於針對其他協議安全缺陷的網路攻擊。

linux防火牆作用二：

它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況， 以此來實現網路的安全保護。

在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。

2.使用Firewall的益處

保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。

集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。

增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。

記錄和統計網路利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。

策略執行Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

3.防火牆的種類

防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數 據 包 過 濾

數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。

數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊; 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應 用 級 網 關

應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。

數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系， 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的 鏈接， 由兩個終止代理伺服器上的 鏈接來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。

linux防火牆作用三：

windows防火牆是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。

具體作用如下：

1、防止來自網路上的惡意攻擊;

2、阻止外來程序連接計算機埠;

3、對電腦進行防護，防止木馬入侵或其它黑客軟體、程序運行『

4、阻止本地程序通過計算機埠，向外並發信息;

㈣ linux防火牆需要指定協議類型么

Linux防火牆是由Netfilter組件提供的，Netfilter工作在內核空間，集成在linux內核中
Netfilter採用模塊化設計，具有良好的可擴充性，提供擴展各種網路服務的結構化底層框架。Netfilter與IP協議棧是無縫契合，並允許對數據報進行過濾、地址轉換、處理等操作

一、Linux防火牆基礎

Linux 的防火牆體系主要工作在網路層，針對 TCP/IP 數據包實施過濾和限制，屬於典型的包過濾防火牆（或稱為網路層防火牆）。
體現在對包內的 IP 地址、埠等信息的處理上
Linux 系統的防火牆基於內核編碼實現，具有非常穩定的性能和極高的效率，也因此獲得廣泛的應用

防火牆區域（zone）

過濾規則集合：zone

一個zone一套過濾規則，數據包經過某個zone進出站，不同zone規則不同，fierwalld將網卡對應到不同zone，默認9個區域（CentOS系統默認區域為public），有優先順序，高優先順序可以到優先順序，低優先順序到優先順序需做規則過濾

區域

public（公共）
dmz（非軍事區）：內外網之間的一層網路區域，主要管理內網到外網的安全限制/訪問規則
trusted（信任）

1.防火牆工具介紹

netfilter/iptables:IP信息包過濾系統，它實際上由兩個組件 netfilter_和 iptables組成。主要工作在網路層，針對IP數據包，體現在對包內的IP地址、埠等信息的處理。

1.iptables

iptables是一種用來管理Linux防火牆的命令程序，它使插入、修改和刪除數據包過濾表中的規則變得容易，通常位於/sbin/iptables目錄，屬於「用戶態」(User. Space，又稱為用戶空間) 的防火牆管理體系。
iptables是基於內核的防火牆，其中內置了raw、mangle、 nat和filter四個規則表。表中所有規則配置後，立即生效，不需要重啟服務。
核心意義：控制不同網路之間的數據包/流量數據的訪問規則/約束

2.netfilter

netfilter是內核的一部分，由一些數據包過濾表組成，不以程序文或文件的形式存在，這些表包含內核用來控制數據包過濾處理的規則集，屬於「內核態」(Kernel Space，又稱為內核空間)的防火牆功能體系。

2.iptables的四表五鏈

iptables的作用是為包過濾機制的實現提供規則（或稱為策略），通過各種不同的規則，告訴 netfilter 對來自某些源、前往某些目的或具有某些協議特徵的數據包應該如何處理

iptables採用了表和鏈的分層結構，所以它會對請求的數據包的包頭數據進行分析，根據我們預先設定的規則進行匹配來決定是否可以進入主機。

其中，每個規則表相當於內核空間的一個容器，根據規則集的不同用途劃分為默認的四個表，在每個表容器內又包括不同的規則鏈，根據處理數據包的不同時機劃分為五種鏈
表為處理動作（操作指令）
鏈為具體位置

1.規則表

表的作用：容納各種規則鏈
表的劃分依據：防火牆規則的作用相似

1.4個規則表

raw表：確定是否對該數據包進行狀態跟蹤
mangle表：為數據包設置標記
nat表：修改數據包中的源、目標IP地址或埠
filter表（默認表）：確認是否放行該數據包（過濾）（核心）

2.規則鏈

**規則的作用：**對數據包進行過濾或處理
**鏈的作用：**容納各種防火牆規則
**鏈的分類依據：**處理數據包的不同時機

1.5種規則鏈

INPUT: 處理入站數據包，匹配目標IP為本機的數據包

OUTPUT: 處理出站數據包，一般不在此鏈上做配置

FORWARD: 處理轉發數據包，匹配流經本機的數據包

PREROUTING鏈: 在進行路由選擇前處理數據包，用來修改目的地址，用來做DNAT。相當於把內網伺服器的IP和埠映射到路由器的外網IP和埠上

POSTROUTING鏈: 在進行路由選擇後處理數據包，用來修改源地址，用來做SNAT。相當於內網通過路由器NAT轉換功能實現內網主機通過一個公網IP地址上網

3.默認表、鏈的結構示意圖

在這里插入圖片描述
在iptables 的四個規則表中，mangle 表 和raw表的應用相對較少
在iptables 的五個規則鏈中，一般用input比較多（限制進入），output用的比較少，forward一般用在代理伺服器上

4.數據包過濾的匹配流程

1.規則表之間的順序

raw ----> mangle ----> nat ----> filter

2.規則鏈之間的順序

入站：PREROUTING->INPUT

來自外界的數據包到達防火牆後，首先被 PEROUTING 鏈處理（是否修改數據包地址等），然後進行路由選擇（判斷該數據包應該發往何處）；如果數據包的目標地址是防火牆本機，那麼內核將其傳遞給 INPUT 鏈進行處理（決定是否允許通過），通過後再交給系統上層的應用程序進行相應操作

出站：OUTPUT->POSTROUTING

防火牆本機向外部地址發送數據包，首先被 OUTPUT 鏈處理，然後進行路由選擇，再交給 POSTROUTING 鏈進行處理（是否修改數據包的地址等）

轉發：PREROUTING->FORWARD->POSTROUTING

來自外界的數據包到達防火牆後，首先被 PREOUTING 鏈處理，然後再進行路由選擇；如果數據包的目標地址是其他外部地址，則內核將其傳遞給 FORWARD 鏈進行處理（允許轉發、攔截或丟棄），最後交給 POSTROUTING 鏈進行處理（是否修改數據包的地址等）

3.規則鏈內的匹配順序

按順序一次檢查，匹配即停止（LOG策略例外）
若找不倒相匹配的規則，則按該鏈的默認策略處理
在這里插入圖片描述

㈤ 如何關閉linux防火牆的443埠

1、首先需要在Linux終端輸入指令：iptables -I INPUT -p tcp --dport 443 -j ACCEPT。

㈥ 如何配置linux下的防火牆

准備裝有Linux系統的電腦。

1.在linux系統裡面找到並打開編輯配置防火牆的文件，執行命令：
vi /etc/sysconfig/iptables。

(6)linux防火牆埠過濾擴展閱讀：

查看防火牆狀態：

[root@cluster1 ~]# service iptables status

iptables：未運行防火牆。

開啟防火牆：

[root@cluster1 ~]# service iptables start

關閉防火牆：

[root@cluster1 ~]# service iptables stop

㈦ 關於Linux防火牆的包過濾功能設置（filter表）

iptables
你可以查看iptables -help
iptables -L查看當前規則
iptables -F清空。
很多
看你具體是要干什麼了。

㈧ 如何檢查linux伺服器的埠是否被防火牆擋住

telnet 127.0.0.1 5566 遠程 telnet 8.8.8.8 5566 關閉防火牆再測試對比下

㈨ linux伺服器的80埠不通,防火牆已經放行，然後怎麼操作

1，關閉IPtables防火牆，關閉selinux
2，查看防火牆等網安設備的規則及日誌，看是否有攔截或過濾。
3，查檢伺服器的系統變數，有可能是由這些變數導致的，嘗試把這些變數刪除或注釋。
如下變數：
默認情況下 sysctl.conf 文件裡面是沒有配置變數的。
vim /etc/sysctl.conf
net.core.rmem_max=16777216
net.core.wmem_max=16777216
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 262144
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 30
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_rmem=4096 87380 16777216
net.ipv4.tcp_wmem=4096 65536 16777216
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.netfilter.nf_conntrack_max = 655360
kernel.ctrl-alt-del = 1