利用Firewalld和Iptables实现IP端口限制与开放

于 2025-04-08 14:24:16 发布
阅读量294 收藏 4
点赞数 4
分类专栏: 运维 文章标签: tcp/ip 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/putMap/article/details/147067615
版权

前言
在服务器管理中,防火墙是保护系统安全的重要工具。通常,我们可能会关闭firewalld,但在某些情况下,我们需要利用firewalld或iptables来限制IP请求。本文将详细介绍如何使用firewalld和iptables来实现IP端口限制与开放。

一、FirewalldIP端口限制

1.1 确认启动状态

首先,我们需要确认firewalld的启动状态

sudo systemctl status firewalld

1.2 启动Firewalld

如果firewalld未启动,执行以下命令启动:

sudo systemctl start firewalld

1.3 查看当前连接到Nacos的IP

以Nacos为例,查看当前连接到Nacos的IP:

netstat -antp | grep ':8848' | awk '{print $5}' | cut -d':' -f1 | sort | uniq

此处查询的ip仅供参考,可作为梳理后的补充

1.4 添加访问规则
添加访问规则,允许特定IP访问Nacos服务:

sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.1.1.3" port port=8848 protocol=tcp accept'

其中,address是需要连接到Nacos的服务器的IP(内网/弹性都要加),port指定Nacos端口。多个IP可多次执行上面代码。

1.5 重新加载配置

添加规则后,重新加载配置:

sudo firewall-cmd --reload

1.6 查看当前活动的规则列表

查看当前活动的规则列表:

sudo firewall-cmd --list-all

输出示例:

public (active)
target: default
icmp-block-inversion: no
interfaces: ens3
sources:
services: cockpit dhcpv6-client mdns ssh
ports: 8848/tcp 6379/tcp 8012/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family=“ipv4” source address=“172.1.1.1” port port=“8848” protocol=“tcp” accept
rule family=“ipv4” source address=“172.1.1.2” port port=“8848” protocol=“tcp” accept
rule family=“ipv4” source address=“172.1.1.3” port port=“8848” protocol=“tcp” accept
rule family=“ipv4” source address=“172.1.1.4” port port=“8848” protocol=“tcp” accept

1.7 移除某个规则

1.查看当前的rich rules

sudo firewall-cmd --list-rich-rules

移除 rich rule

sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="172.1.1.4" port port="8848" protocol="tcp" accept'

重新加载防火墙

sudo firewall-cmd --reload

验证规则是否已移除

sudo firewall-cmd --list-rich-rules

二、Firewalld 开放端口

上一节是针对ip开放端口,那么如何直接开放端口,所有ip都可访问?

2.1 开放 6379端口

sudo firewall-cmd --permanent --add-port=6379/tcp

2.2 重新加载防火墙

添加完规则后,需要重新加载防火墙以使更改生效:

sudo firewall-cmd --reload

2.3 验证规则

您可以通过以下命令来验证当前的防火墙规则,确保 Redis 的端口已经被成功开放:

sudo firewall-cmd --list-all

2.4 移除规则

firewall-cmd --permanent --remove-port=6379/tcp
firewall-cmd --reload

三、Iptables限制ip端口(未验证)

3.1 添加规则允许特定IP访问Nacos服务:

sudo iptables -A INPUT -p tcp -s 172.16.17.33 --dport 8848 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 8848 -s 172.16.61.83 -j ACCEPT

3.2 保存 iptables 规则

Ubuntu/Debian:

sudo iptables-save > /etc/iptables.up.rules

CentOS/RHEL:

sudo service iptables save

3.3 解决浏览器无法访问Nacos页面的问题
添加完规则之后,可能浏览器依然无法访问Nacos页面,并且对应服务器可能ping通,但curl无法访问。可能是因为有一条规则导致的,去掉后可以正常访问。

REJECT all – 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

总结
在服务器管理中,梳理清楚当前服务器有哪些需要对外访问的服务非常重要。类似1.3中查看连接IP并不全面,因此需要结合实际情况进行规则配置。通过firewalld和iptables,我们可以灵活地控制IP端口的访问权限,从而提升服务器的安全性

firewalld 防火墙配置根据某个IP地址(只放行指定IP地址的流量)进行端口开放
欢迎来到我的博客
03-19 2962
firewalld 防火墙配置根据某个IP地址(只放行指定IP地址的流量)进行端口开放
Linux防火墙之firewalldiptables
day day up
07-15 2822
IP信息包过滤系统,它实际上由两个组件netfilteriptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
防火墙Firewalld_网络端口安全
小Eason哥
01-02 513
SELinux 端口:每个服务的端口都受到SELinux的保护。单个端口被转换成多个端口在同一台机器,或者一个端口在不同机器上。,端口转发,伪装,限制等。用于更新MAN 数据库。
iptables 限制端口仅特定IP访问
liulilittle的博客
07-23 926
需要用源地址(-s),而不是目的地址(-d)
防火墙限制IP访问
疏笃
08-23 1728
配置好后重启一下防火墙使生效。启动防火墙并限制IP访问
CentOS7为firewalld添加开放端口及相关操作
亲昵YY
12-11 6万+
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld  停止: systemctl disable firewalld 禁用: systemctl stop firewalld   2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前servicechkc
防火墙工具Firewalld iptables轻松搞定
知识库总结、分享
05-29 1070
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持iptables兼容,可以根据实际需求选择使用。ufwfirewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
26_ 防火墙工具:Firewalld iptables 详解
Hui`s的博客
10-30 1067
Firewalld是一个动态防火墙管理工具,它提供了一个用户友好的界面来管理防火墙规则。它使用iptables作为后端来处理实际的规则,但提供了更高级的功能,如区域管理、服务端口的动态添加等。iptables是一个功能强大的防火墙工具,它允许管理员通过定义一系列的规则来控制进出Linux系统的数据包。这些规则可以基于数据包的源地址、目的地址、端口号、协议类型等条件来设置。
运维iptablesfirewalld详解
专注于输出大概有用的软硬件技术!
06-21 2347
关于iptables firewalld 的关键概念、常用操作、各自优势特点的详细记录。
防火墙Firewalldiptables
2201_75444658的博客
08-01 878
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
CentOS关于Firewalld防火墙指定IP端口开放
weixin_61565957的博客
11-24 1828
$IP设置为需要对其开放的服务器的IP $PORT设置为需要开放端口号 $AGR设置为需要开放的协议两个选项tcpudp。正式生产环境中会涉及到很多关于防火墙的策略,正确的设置防火墙也能避免很多漏洞的发现。这样设置可以使端口进行指定IP开放,避免安全性问题。这样设置适合同一组服务器内部的完全信任通信。第二行命令重新加载防火墙配置,使更改生效。第一行命令添加富规则到防火墙策略,其中。表示将规则永久性地保存在防火墙配置中,
Linux系统通过firewall限制开放IP端口
热门推荐
从入门到放弃
05-22 13万+
1、首先查看防火墙是否开启systemctl status firewalld
[运维] iptables限制指定ip访问指定端口只允许指定ip访问指定端口
梦醒贰零壹柒
06-07 1万+
iptables
iptables 限制所有ip访问22端口,仅开放个别ip访问 持续更新
weixin_45717886的博客
04-26 1万+
查看当前iptables 规则 [root@iZwz9conqz5shxfx2gmnfkZ ~]# iptables -nvL 添加已经建立tcp连接,就开放网络访问 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 添加允许访问22端口ip iptables -A INPUT -s 8.210.62.122 -p tcp --dport 22 -j ACCEPT 拒绝所有ip访问22端口 iptabl.
iptables 限制端口
weixin_34217773的博客
05-17 306
限制端口 #!/bin/bashiptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -Fiptables -P INPUT DROPiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT ##pin...
linux 配置防火墙 firewalld 屏蔽海外国外IP访问(服务器受到外网未知用户攻击,通过设置防火墙隔绝) 仅允许中国国内ip访问自己在公网上的服务器
weixin_45673197的博客
12-22 6805
屏蔽海外国外IP访问。仅允许中国国内ip访问自己在公网上的服务器
firewalldiptables区别
最新发布
12-26
Firewalld iptables 都是用于网络安全管理的工具,但有以下几个关键区别: 1. **设计哲学**: - **iptables**: 是基于文本配置的传统包过滤防火墙,用户直接编辑规则文件。它适合高度定制灵活性,但配置过程可能繁琐且易出错。 - **firewalld**: 是现代的服务导向防火墙,采用数据库管理系统,提供图形化界面自动策略管理。它倾向于简化管理维护。 2. **配置方式**: - **iptables**: 需要手动编辑 chains (链) 或者 tables (表) 的规则,规则通常放在 /etc/sysconfig/iptables 或 /etc/iproute2/rt_tables 文件中。 - **firewalld**: 通过动态的 zone (区域) service (服务) 来描述防火墙策略,支持用户界面如 `firewall-cmd` 或图形工具。 3. **安全模型**: - **iptables**: 用户需要明确地列出哪些端口服务允许进出,适合高级用户或专业人士。 - **firewalld**: 采用了端口服务的预定义列表,还支持策略自适应,比如基于服务、端口IP组等。 4. **性能效率**: - **iptables**: 虽然功能强大,但查询性能相对较慢,特别是对于大量规则。 - **firewalld**: 使用了内存缓存高效查询引擎,整体性能更好。 5. **兼容性**: - **iptables**: 更为广泛地应用于各种 Linux 发行版,包括旧版本。 - **firewalld**: 初始由Fedora引入,逐渐成为新系统的默认防火墙解决方案。 总的来说,firewalld 提供了一种更为现代化易于使用的防火墙管理方式,而iptables 对于熟悉其语法且需要极高灵活性的用户来说仍然是首选。两者各有优劣,选择取决于具体的环境需求技术背景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值