云南龙网

  1. 首页 > 云知道 > >

ubuntu系统关闭防火墙命令 ubuntu防火墙设置( 四 )

云知道

ebtablesebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具(即功能由内核底层提供支持—netfilter) 。ebtables为以太网桥防火墙,工作在数据链路层,制定过滤数据链路层的数据包 。
ebtables的配置分为表、链和规则三级 。

表是内置且固定的,共有三种: filter, nat, broute,用-t选项指定 。最常用的就是filter了,所以不设-t时默认就是这个表 。nat用于地址转换,broute用于以太网桥 。
链有内置和自定义两种。不同的表内置的链不同,这个从数据包的流程图中就可以看出来 。所谓自定义的链也是挂接在对应的内置链内的,使用-j让其跳转到新的链中 。
  • 规则
每个链中有一系列规则,每个规则定义了一些过滤选项 。每个数据包都会匹配这些项,一但匹配成功就会执行对应的动作 。
所谓动作,就是过滤的行为了 。有四种,ACCEPT,DROP,RETURN和CONTINUE,常用的就是ACCEPT和DROP 。
ebtables使用规则如下:
ebtables [-t table] -[ADI] chain rule-specification [match-extensions] [watcher-extensions]-t table :一般为filter表 。-ADI:A添加到现有链的末尾;D删除规则链(必须指明规则链号);I插入新的规则链(必须指明规则链号) 。-P:规则表的默认规则的设置 。可以DROP,ACCEPT,RETURN 。-F:对所有的规则表的规则链清空 。-L:指明规则表 。可加参数,--Lc,--Ln-p:指明使用的协议类型,ipv4,arp等可选(使用时必选)详情见/etc/ethertypes--ip-proto:IP包的类型,1为ICMP包,6为TCP包,17为UDP包,在/etc/protocols下有详细说明--ip-src:IP包的源地址--ip-dst:IP包的目的地址--ip-sport:IP包的源端口--ip-dport:IP包的目的端口-i:指明从那片网卡进入-o:指明从那片网卡出去查看列表root@WIA3300-20:~# ebtables -LBridge table: filterBridge chain: INPUT, entries: 0, policy: ACCEPT Bridge chain: FORWARD, entries: 6, policy: ACCEPT-i ath+ -o ath17 -j DROP-i ath17 -o ath+ -j DROP-i ath+ -o ath0 -j DROP-i ath0 -o ath+ -j DROP-i ath+ -o ath16 -j DROP-i ath16 -o ath+ -j DROPBridge chain: OUTPUT, entries: 0, policy: ACCEPT新建规则ebtables -A FORWARD -p ipv4 -i eth0/eth1 --ip-proto (6/17) --ip-dst(目的IP)  --ip-dport(目的端口) -j DROP新建/删除链ebtables -N <chain_name> ebtables -X <chain_name>firewalld防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口 。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (CLI) 或 firewall-config (GUI) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务 。
firewalld与iptables的区别:
  • firewalld使用安全域和服务的概念,而iptalbes使用链和规则
  • iptables服务的配置在/etc/sysconfig/iptables中存储,而firewalld将配置存储在/usr/lib/firewalld/和etc/firewalld/目录下的各种XML文件中
  • 使用iptables服务中每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,而使用firewalld却不会再创建任何新的规则,仅运行规则中的不同之处 。因此,firewalld可以在运行中,改变配置而不丢失已有连接 。
iptables和firewalld只能开一个
zone·         drop: 丢弃所有进入的包,而不给出任何响应·         block: 拒绝所有外部发起的连接,允许内部发起的连接·         public: 允许指定的进入连接·         external: 同上,对伪装的进入连接,一般用于路由转发·         dmz: 允许受限制的进入连接·         work: 允许受信任的计算机被限制的进入连接,类似 workgroup·         home: 同上,类似 homegroup·         internal: 同上,范围针对所有互联网用户·         trusted: 信任所有连接

推荐阅读


上一篇:oracle数据库菜鸟教程 sqlserver日志查看

下一篇:食品检测项目推荐 标签检测报告是什么