日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

ubuntu系統(tǒng)關(guān)閉防火墻命令 ubuntu防火墻設(shè)置( 四 )

云知道

ebtablesebtables和iptables類似,都是Linux系統(tǒng)下網(wǎng)絡(luò)數(shù)據(jù)包過(guò)濾的配置工具(即功能由內(nèi)核底層提供支持—netfilter) 。ebtables為以太網(wǎng)橋防火墻,工作在數(shù)據(jù)鏈路層,制定過(guò)濾數(shù)據(jù)鏈路層的數(shù)據(jù)包 。
ebtables的配置分為表、鏈和規(guī)則三級(jí) 。

表是內(nèi)置且固定的,共有三種: filter, nat, broute,用-t選項(xiàng)指定 。最常用的就是filter了,所以不設(shè)-t時(shí)默認(rèn)就是這個(gè)表 。nat用于地址轉(zhuǎn)換,broute用于以太網(wǎng)橋 。
鏈有內(nèi)置和自定義兩種。不同的表內(nèi)置的鏈不同,這個(gè)從數(shù)據(jù)包的流程圖中就可以看出來(lái) 。所謂自定義的鏈也是掛接在對(duì)應(yīng)的內(nèi)置鏈內(nèi)的,使用-j讓其跳轉(zhuǎn)到新的鏈中 。
  • 規(guī)則
每個(gè)鏈中有一系列規(guī)則,每個(gè)規(guī)則定義了一些過(guò)濾選項(xiàng) 。每個(gè)數(shù)據(jù)包都會(huì)匹配這些項(xiàng),一但匹配成功就會(huì)執(zhí)行對(duì)應(yīng)的動(dòng)作 。
所謂動(dòng)作,就是過(guò)濾的行為了 。有四種,ACCEPT,DROP,RETURN和CONTINUE,常用的就是ACCEPT和DROP 。
ebtables使用規(guī)則如下:
ebtables [-t table] -[ADI] chain rule-specification [match-extensions] [watcher-extensions]-t table :一般為filter表 。-ADI:A添加到現(xiàn)有鏈的末尾;D刪除規(guī)則鏈(必須指明規(guī)則鏈號(hào));I插入新的規(guī)則鏈(必須指明規(guī)則鏈號(hào)) 。-P:規(guī)則表的默認(rèn)規(guī)則的設(shè)置 。可以DROP,ACCEPT,RETURN 。-F:對(duì)所有的規(guī)則表的規(guī)則鏈清空 。-L:指明規(guī)則表 。可加參數(shù),--Lc,--Ln-p:指明使用的協(xié)議類型,ipv4,arp等可選(使用時(shí)必選)詳情見(jiàn)/etc/ethertypes--ip-proto:IP包的類型,1為ICMP包,6為T(mén)CP包,17為UDP包,在/etc/protocols下有詳細(xì)說(shuō)明--ip-src:IP包的源地址--ip-dst:IP包的目的地址--ip-sport:IP包的源端口--ip-dport:IP包的目的端口-i:指明從那片網(wǎng)卡進(jìn)入-o:指明從那片網(wǎng)卡出去查看列表root@WIA3300-20:~# ebtables -LBridge table: filterBridge chain: INPUT, entries: 0, policy: ACCEPT Bridge chain: FORWARD, entries: 6, policy: ACCEPT-i ath+ -o ath17 -j DROP-i ath17 -o ath+ -j DROP-i ath+ -o ath0 -j DROP-i ath0 -o ath+ -j DROP-i ath+ -o ath16 -j DROP-i ath16 -o ath+ -j DROPBridge chain: OUTPUT, entries: 0, policy: ACCEPT新建規(guī)則ebtables -A FORWARD -p ipv4 -i eth0/eth1 --ip-proto (6/17) --ip-dst(目的IP)  --ip-dport(目的端口) -j DROP新建/刪除鏈ebtables -N <chain_name> ebtables -X <chain_name>firewalld防火墻守護(hù) firewalld 服務(wù)引入了一個(gè)信任級(jí)別的概念來(lái)管理與之相關(guān)聯(lián)的連接與接口 。它支持 ipv4 與 ipv6,并支持網(wǎng)橋,采用 firewall-cmd (CLI) 或 firewall-config (GUI) 來(lái)動(dòng)態(tài)的管理 kernel netfilter 的臨時(shí)或永久的接口規(guī)則,并實(shí)時(shí)生效而無(wú)需重啟服務(wù) 。
firewalld與iptables的區(qū)別:
  • firewalld使用安全域和服務(wù)的概念,而iptalbes使用鏈和規(guī)則
  • iptables服務(wù)的配置在/etc/sysconfig/iptables中存儲(chǔ),而firewalld將配置存儲(chǔ)在/usr/lib/firewalld/和etc/firewalld/目錄下的各種XML文件中
  • 使用iptables服務(wù)中每一個(gè)單獨(dú)更改意味著清除所有舊有的規(guī)則和從/etc/sysconfig/iptables里讀取所有新的規(guī)則,而使用firewalld卻不會(huì)再創(chuàng)建任何新的規(guī)則,僅運(yùn)行規(guī)則中的不同之處 。因此,firewalld可以在運(yùn)行中,改變配置而不丟失已有連接 。
iptables和firewalld只能開(kāi)一個(gè)
zone·         drop: 丟棄所有進(jìn)入的包,而不給出任何響應(yīng)·         block: 拒絕所有外部發(fā)起的連接,允許內(nèi)部發(fā)起的連接·         public: 允許指定的進(jìn)入連接·         external: 同上,對(duì)偽裝的進(jìn)入連接,一般用于路由轉(zhuǎn)發(fā)·         dmz: 允許受限制的進(jìn)入連接·         work: 允許受信任的計(jì)算機(jī)被限制的進(jìn)入連接,類似 workgroup·         home: 同上,類似 homegroup·         internal: 同上,范圍針對(duì)所有互聯(lián)網(wǎng)用戶·         trusted: 信任所有連接

推薦閱讀