# passwd# passwd zhumingyu(补充:这里以修改 zhumingyu 用户的密码为例)
# passwd -d zhumingyu(补充:这里以清空 zhumingyu 用户的密码为例)
# passwd -l zhumingyu (补充:这里以锁定 zhumingyu 用户的密码为例)
# passwd -u zhumingyu(补充:这里以解锁 zhumingyu 用户的密码为例)
# passwd -S zhumingyu(补充:这里以显示 zhumingyu 用户的锁定状态为例)
# ssh-keygen -b 4096 -t rsa -C "<content>" -f "<public private key name>"(注意:在生成复杂 SSH 密钥的时候最好也设置它的使用密码)
# mv <public private key name>* ~/.ssh/# chmod -R 600 ~/.ssh/<public private key name>*# ssh-copy-id -i ~/.ssh/<public private key name>.pub <destination IP address># ssh -i ~/.ssh/<public private key name> <destination IP address>如果是 Rocky Linux & RHEL:
# vim /etc/ssh/sshd_conf将其中的:
......
# PasswordAuthentication yes
......修改为:
......
PasswordAuthentication no
......如果是 openSUSE & SLES:
# vim /etc/ssh/sshd_conf将其中的:
......
# PasswordAuthentication yes
......
# ChallengeResponseAuthentication yes
......修改为:
......
PasswordAuthentication no
......
ChallengeResponseAuthentication no
......# systemctl restart sshd# ssh-keygen -p -f ~/.ssh/<public private key name>(补充:无密码的 SSH 密钥也能通过此方法设置密码)
# ssh-keygen -l -f ~/.ssh/<public private key name>在使用 nmap 命令之前要先安装 nmap 软件包
Nmap
简介
Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个 主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机,那些 主机提供什么服务(应用程序名和版本),那些服务运行在什么操作系统(包括版本信息), 它们使用什么类型的报文过滤器/防火墙,以及一堆其它功能。虽然Nmap通常用于安全审核, 许多系统管理员和网络管理员也用它来做一些日常的工作,比如查看整个网络的信息, 管理服务升级计划,以及监视主机和服务的运行。
用法
sT TCP connect()扫描,这种方式会在目标主机的日志中记录大批连接请求和错误信息。
-sS 半开扫描,很少有系统能把它记入系统日志。不过,需要Root权限。
-sF -sN 秘密FIN数据包扫描、Xmas Tree、Null扫描模式
-sP ping扫描,Nmap在扫描端口时,默认都会使用ping扫描,只有主机存活,Nmap才会继续扫描。
-sU UDP扫描,但UDP扫描是不可靠的
-sA 这项高级的扫描方法通常用来穿过防火墙的规则集
-sV 探测端口服务版本
-Pn 扫描之前不需要用ping命令,有些防火墙禁止ping命令。可以使用此选项进行扫描
-v 显示扫描过程,推荐使用
-h 帮助选项,是最清楚的帮助文档
-p 指定端口,如“1-65535、1433、135、22、80”等
-O 启用远程操作系统检测,存在误报
-A 全面系统检测、启用脚本检测、扫描等
-oN/-oX/-oG 将报告写入文件,分别是正常、XML、grepable 三种格式
-T4 针对TCP端口禁止动态扫描延迟超过10ms
-iL 读取主机列表,例如,“-iL C:\ip.txt”
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
端口扫描
nmap默认发送一个ARP的PING数据包,来探测目标主机1-1000范围内所开放的所有端口
nmap ip
1
在这里插入图片描述
nmap简单扫描,并对结果返回详细的描述输出
nmap -vv IP
1
在这里插入图片描述
使用 -sT来实现tcp全连接扫描,与目标端口进行三次握手,尝试建立连接。如果建立连接成功,则说明端口开放,但是扫描速度慢。
nmap -sT ip
1
在这里插入图片描述
nmap 操作系统类型的探测
nmap -O IP
1
在这里插入图片描述
nmap万能开关
nmap -A IP
1
root@kali:~# nmap -A 192.168.124.3
Starting Nmap 7.70 ( https://nmap.org ) at 2018-09-27 04:27 EDT
Nmap scan report for 192.168.124.3
Host is up (0.044s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows 10 Home China 10586 microsoft-ds (workgroup: WORKGROUP)
MAC Address: F0:03:8C:09:C6:C9 (AzureWave Technology)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Microsoft Windows 10 1511 - 1607 (95%), Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7 (93%), Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008 (93%), Microsoft Windows Phone 7.5 or 8.0 (92%), Microsoft Windows 10 1607 (92%), Microsoft Windows 10 1511 (92%), Microsoft Windows Server 2008 R2 or Windows 8.1 (92%), Microsoft Windows Server 2016 (92%), Microsoft Windows 7 Professional or Windows 8 (92%), Microsoft Windows Embedded Standard 7 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: Host: DESKTOP-ME19QK1; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: mean: -2h39m59s, deviation: 4h37m07s, median: 0s
|_nbstat: NetBIOS name: DESKTOP-ME19QK1, NetBIOS user: <unknown>, NetBIOS MAC: f0:03:8c:09:c6:c9 (AzureWave Technology)
| smb-os-discovery:
| OS: Windows 10 Home China 10586 (Windows 10 Home China 6.3)
| OS CPE: cpe:/o:microsoft:windows_10::-
| Computer name: DESKTOP-ME19QK1
| NetBIOS computer name: DESKTOP-ME19QK1\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2018-09-27T16:27:43+08:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2018-09-27 04:27:43
|_ start_date: 2018-09-24 08:00:45
TRACEROUTE
HOP RTT ADDRESS
1 44.42 ms 192.168.124.3
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 79.39 seconds
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
SYN扫描(-sS),也被称为 “半开连接”或者 “SYN stealth”。nmap发送syn包后等待回应,如果接受SYS/ACK包说明端口开放,如果收到RST包,说明端口关闭,如果没有回应或者回应icmp不可达错误信息,则说明端口被过滤。
nmap -sS IP
1
NULL扫描
nmap -sN IP
1
探测服务版本
nmap -sV IP
————————————————
版权声明:本文为CSDN博主「孤君」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/Wu000999/article/details/82859621注明:所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来
站主补充:
案例一:扫描某一台服务器的所有 UDP 端口
# nmap -sU 192.168.1.1 -Pn
(补充:这里以扫描 192.168.1.1 为例,这里的 -Pn 是指不测试 icmp 而直接测试端口)
案例二:扫描某一台服务器的所有 TCP 端口
# nmap -sT 192.168.1.1 -Pn
(补充:这里以扫描 192.168.1.1 为例,这里的 -Pn 是指不测试 icmp 而直接测试端口)
案例三:扫描某一台服务器某一个 UDP 端口
# nmap -sU 192.168.1.1 -p 161 -Pn
(补充:这里以扫描 192.168.1.1 为例,这里的 -Pn 是指不测试 icmp 而直接测试端口)
案例四:扫描某一台服务器某一个 TCP 端口
# nmap -sU 192.168.1.1 -t 443 -Pn
(补充:这里以扫描 192.168.1.1 为例,这里的 -Pn 是指不测试 icmp 而直接测试端口)
案例五:扫描某一台服务器多个 TCP 端口
# nmap -sU 192.168.1.1 -t 1-65535 -Pn
(补充:这里以扫描 192.168.1.1 为例,这里的 -Pn 是指不测试 icmp 而直接测试端口)
案例六:扫描多个 IP 地址
6.1 一次性扫描多个 IP 地址
# nmap 192.168.1.1 192.168.1.2 192.168.1.3
或者:
# nmap 192.168.1.1,2,3
或者:
# nmap 192.168.1.1-3
(补充:这里以扫描 192.168.1.1、192.168.1.2、192.168.1.3 为例)
6.2 扫描某一个网段
# nmap 192.168.1.0/24
(补充:这里以扫描 192.168.1.0 网段为例)
6.3 扫描某一个文件里记录的 IP 地址
# cat ip_list.txt
192.168.1.1
192.168.1.2
# nmap -iL ip_list.txt
(补充:这里以扫描 ip_list.txt 文本里 192.168.1.1 和 192.168.1.2 IP 地址为例)
案例七:扫描时排除 IP 地址
7.1 扫描时排除某一个 IP 地址
# nmap 192.168.1.1-192.168.1.5 --exclude 192.168.1.3
(补充:这里以扫描 192.168.1.1 到 192.168.1.5 但排除 192.168.1.3 为例)
7.1 扫描时排除多个 IP 地址
# nmap 192.168.1.1-192.168.1.5 --exclude 192.168.1.3,192.168.1.4
或者:
# nmap 192.168.1.1-192.168.1.5 --exclude 192.168.1.3,4
或者:
# nmap 192.168.1.1-192.168.1.5 --exclude 192.168.1.3-4
(补充:这里以扫描 192.168.1.1 到 192.168.1.5 但排除 192.168.1.3 和 192.168.1.4 为例)
7.3 扫描时排除某个文件里记录的 IP 地址
# cat ip_list.txt
192.168.1.3
192.168.1.4
# nmap 192.168.1.1-192.168.1.5 --excludefile ip_list.txt
(补充:这里以扫描 192.168.1.1 到 192.168.1.5,但是排除 ip_list.txt 文本里 192.168.1.1 和 192.168.1.2 IP 地址为例)
案例八:以某个应用的模板扫描某个端口
8.1 扫描 SSH 服务端使用了哪些安全加密密钥
# nmap --script ssh2-enum-algos -sV -p 22 127.0.0.1
(
补充:
1) --script= 后面接端口的服务类型,使用此服务类型的模板扫秒此端口
2) -sV 探测开放端口的服务/版本信息
3) -p 后面接端口,扫描目标 IP 地址的此端口
4) 这里以使用 ssh2-enum-algos 模板扫描 127.0.0.1 的 22 端口为例
)
8.2 扫描 Samba 服务端使用了哪些安全加密密钥
# nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" 127.0.0.1
(
补充:
1) -sS 进行 TCP 连接各个阶段的扫描
2) -sV 探测开放端口的服务/版本信息
3) -Pn 忽略端口扫描
4) -p 后面接端口,扫描目标 IP 地址的此端口
5) --script= 后面接端口的服务类型,使用此服务类型的模板扫秒此端口
6) 这里以使用 smb2-security-mode 模板扫描 127.0.0.1 的 22 端口为例
)
# firewall-cmd –state# firewall-cmd –query-panic# firewall-cmd --get-zones# firewall-cmd --get-services# firewall-cmd --get-icmptypes# firewall-cmd --get-default-zone# firewall-cmd --list-all# firewall-cmd --list-rich-rules# firewall-cmd --list-all-zones(
补充:firewall-cmd 防火墙默认区域有:
1) block 拒绝被访问,并回应一个拒绝的信息
2) work 只允许部分端口被访问,例如 22 端口
3) home 只允许部分端口被访问,例如 22 端口
4) public 只允许部分端口被访问,例如 22 端口
5) dmz 只允许部分端口被访问,例如 22 端口
6) trusted 全部开放
7) drop 禁止被访问,不回应一个拒绝的信息
8) internal 只允许部分端口被访问,例如 22 端口
9) external 只允许部分端口被访问,例如 22 端口
)
# firewall-cmd --zone=<zone> --list-all# firewall-cmd --zone=public --list-all(补充:这里以显示 public 区域的策略为例)
# firewall-cmd --zone=<zone> --list-rich-rules# firewall-cmd --zone=public --list-rich-rules(补充:这里以显示 public 区域的复杂 (rich) 策略为例)
# firewall-cmd --zone=<zone> --query-service=<service># firewall-cmd --zone=public --query-service=https(补充:这里以显示 public 区域的 https 服务的策略为例)
# firewall-cmd --get-active-zones(注意:只有放入了网卡的区域才会处于激活状态)
# firewall-cmd –get-zone-of-interface=<network card># firewall-cmd --get-zone-of-interface=eth0(补充:这里以显示 eth0 网卡属于哪一个区域为例)
# firewall-cmd --get-active-zones(注意:只有放入了网卡的区域才会处于激活状态)
# firewall-cmd –get-zone-of-interface=<network card># firewall-cmd --get-zone-of-interface=eth0(补充:这里以显示 eth0 网卡属于哪个区域为例)
# firewall-cmd --zone=<zone> --add-interface=<network card># firewall-cmd --zone=public --add-interface=eth0(补充:这里以往 public 区域里加入 eth0 网卡为例)
# firewall-cmd --zone=<zone> --remove-interface=<network card># firewall-cmd --zone=public --remove-interface=eth0(补充:这里以从 public 区域删除 eth0 网卡为例)
# firewall-cmd --get-default# firewall-cmd --set-default=<zone># firewall-cmd --set-default=public(补充:这里以将默认区域设置为 public 为例)
(注意:防火墙的规则没有现后之分,但是拒绝规则永远高于允许规则)
# firewall-cmd --add-port=<port>/tcp# firewall-cmd --add-port=80/tcp(补充:这里以暂时添加 80/TCP 端口为例)
# firewall-cmd --add-service=<service># firewall-cmd --add-service=http(补充:这里以暂时添加 http 服务为例)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<network segment>/<subnet mask>" port protocol="<port protocol>" port="<port>" accept"# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept"(补充:这里以暂时对 192.168.1.0/24 开放 80/tcp 端口为例)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" accept"# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="0-65535" accept"(补充:这里以暂时对 192.168.1.1 开放 0/tcp 到 65535/tcp 端口为例)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source NOT address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" accept"# firewall-cmd --add-rich-rule="rule family="ipv4" source NOT address="192.168.1.1" port protocol="tcp" port="0-65535" accept"(补充:这里以暂时对非 192.168.1.1 开放 0/tcp 到 65535/tcp 端口为例)
# firewall-cmd --remove-port=<port>/tcp# firewall-cmd --remove-port=80/tcp(补充:这里以暂时关闭 80/TCP 端口为例)
# firewall-cmd --remove-service=<service># firewall-cmd --remove-service=http(补充:这里以暂时关闭 HTTP 服务为例)
# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="<network segment>/<subnet mask>" port protocol="<port protocol>" port="<port>" accept"# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept"(补充:这里以暂时对 192.168.1.0/24 关闭 80/tcp 端口为例)
# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" accept"# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="0-65535" accept"(补充:这里以暂时对 192.168.1.1 关闭 0/tcp 到 65535/tcp 端口为例)
# firewall-cmd --remove-rich-rule="rule family="<network protocol>" source NOT address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" accept"# firewall-cmd --remove-rich-rule="rule family="ipv4" source NOT address="192.168.1.1" port protocol="tcp" port="0-65535" accept"(补充:这里以暂时对非 192.168.1.1 关闭 0/tcp 到 65535/tcp 端口为例)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<network segment>/<subnet mask>" port protocol="<port protocol>" port="<port>" drop"或者:
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<network segment>/<subnet mask>" port protocol="<port protocol>" port="<port>" reject"(补充:这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应)
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol=tcp port=80 drop"或者:
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol=tcp port=80 reject"(
补充:
1) 这里以在 public 区域拒绝 192.168.1.0/24 访问 80/tcp 端口为例
2) 这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应
)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" drop"或者:
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" reject"(补充:这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应)
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol=tcp port="0-65535" drop"或者:
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol=tcp port="0-65535" reject"(
补充:
1) 这里以在 public 区域拒绝 192.168.1.1 访问 0/tcp 到 65536/tcp 端口为例
2) 这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应
)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source NOT address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" accept"或者:
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source NOT address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" reject"(补充:这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应)
# firewall-cmd --add-rich-rule="rule family="ipv4" source NOT address="192.168.1.1" port protocol="tcp" port="0-65535" accept"或者:
# firewall-cmd --add-rich-rule="rule family="ipv4" source NOT address="192.168.1.1" port protocol="tcp" port="0-65535" accept"(
补充:
1) 这里以拒绝非 192.168.1.1 访问 0/tcp 到 65536/tcp 端口为例
2) 这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应
)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<network segment>/<subnet mask>" port protocol="<port protocol>" port="<port>" drop"或者:
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<network segment>/<subnet mask>" port protocol="<port protocol>" port="<port>" reject"(补充:这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应)
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol=tcp port=80 drop"或者:
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol=tcp port=80 reject"(
补充:
1) 这里以取消在 public 区域拒绝 192.168.1.1 访问 0/tcp 到 65536/tcp 端口为例
2) 这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应
)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" drop"或者:
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" reject"(补充:这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应)
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol=tcp port="0-65535" drop"或者:
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol=tcp port="0-65535" reject"(
补充:
1) 这里以取消拒绝 192.168.1.1 访问 0/tcp 到 65536/tcp 端口为例
2) 这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应
)
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source NOT address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" accept"或者:
# firewall-cmd --add-rich-rule="rule family="<network protocol>" source NOT address="<IP address>" port protocol="<port protocol>" port="<starting port>-<end port>" reject"(补充:这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应)
# firewall-cmd --add-rich-rule="rule family="ipv4" source NOT address="192.168.1.1" port protocol="tcp" port="0-65535" accept"或者:
# firewall-cmd --add-rich-rule="rule family="ipv4" source NOT address="192.168.1.1" port protocol="tcp" port="0-65535" accept"(
补充:
1) 这里以取消拒绝非 192.168.1.1 访问 0/tcp 到 65536/tcp 端口为例
2) 这里 drop 和 reject 的区别是 drop 收到数据包后直接丢掉不给发送方任何回应,而 drop 收到数据包后会给发送方发送一个拒绝的回应
)
# firewall-cmd --add-masquerade --permanent(注意:只有开启了防火墙转发策略之后防火墙才能转发端口)
# firewall-cmd --add-forward-port=port=<port>:proto=<port protocol>:toport=<port>:toaddr=<IP address># firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1(补充:这里以将本地的 80 端口转向 192.168.1.1 的 8080 端口为例)
# firewall-cmd --remove-forward-port=port=<port>:proto=<port protocol>:toport=<port>:toaddr=<IP address># firewall-cmd --remove-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1(补充:这里以取消将本地的 80 端口转向 192.168.1.1 的 8080 端口为例)
(
注意:
1) 此方法只对复杂 (rich) 策略有效
2) 此方法只对较新的 firewall-cmd 防火墙有效
)
1) 优先级数字的范围从 -32768 到 32767
2) 数字越低代表优先级越高
和内容一、内容二、内容三、内容四里的相关设置命令一样,例:
# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept"(补充:这里以对 192.168.1.0/24 开放 80/tcp 端口为例)
和内容一、内容二、内容三、内容四里的大部分设置命令一样,但是需要在其中添加 priority= 参数,例:
# firewall-cmd --add-rich-rule="rule priority=100 family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept"(补充:这里以对 192.168.1.0/24 开放 80/tcp 端口并将优先级设置为 100 为例)
和内容一、内容二、内容三、内容四里的大部分设置命令一样,例:
# firewall-cmd --add-port=80/tcp(补充:这里以在当前所在区域添加 80/tcp 端口为例)
和内容一、内容二、内容三、内容四里的大部分设置命令一样,但是需要在其中添加 –-zone= 参数,例:
# firewall-cmd --add-port=80/tcp --zone=public(补充:这里以在 public 区域添加 80/tcp 端口为例)
# firewall-cmd --add-rich-rule='rule protocol value=icmp drop'# firewall-cmd --remove-rich-rule='rule protocol value=icmp drop'# firewall-cmd –panic-on# firewall-cmd –panic-off# firewall-cmd –query-panic和内容一、内容二、内容三、内容四里的大部分设置命令一样,例:
# firewall-cmd --add-port=80/tcp(补充:这里以临时添加 80/tcp 端口为例)
和内容一、内容二、内容三、内容四里的大部分设置命令一样,但是需要在其中添加 –permanent 参数,例:
# firewall-cmd --add-port=80/tcp --permanent(补充:这里以永久添加 80/tcp 端口为例)
(注意:永久策略设置后,防火墙要重新加载才会生效)
和内容一、内容二、内容三、内容四的大部分设置命令一样,但是需要在后面添加 –timeout=<秒> 参数,例:
# firewall-cmd --add-port=80/tcp --timeout=3600(补充:这里以在 3600 秒期间添加 80/tcp 端口为例)
(注意:此策略会在 3600 秒后失效)
# firewall-cmd --reload(注意:此时暂时策略会失效,永久策略会生效)
# systemctl retart firewalld(注意:此时暂时策略会失效,永久策略会生效)
Shell 在 firewalld 防火墙上批量对多个 IP 地址开发多个端口号
Shell 在 firewalld 防火墙上开放所有正在处于监听状态的端口号
一、iptables命令
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。
1.1 语法
iptables(选项)(参数)
1
1.2 选项
选项 描述
-t<表> 指定要操纵的表;
-A 向规则链中添加条目;
-D 从规则链中删除条目;
-i 向规则链中插入条目;
-R 替换规则链中的条目;
-L 显示规则链中已有的条目;
-F 清楚规则链中已有的条目;
-Z 清空规则链中的数据包计算器和字节计数器;
-N 创建新的用户自定义规则链;
-P 定义规则链中的默认目标;
-h 显示帮助信息;
-p 指定要匹配的数据包协议类型;
-s 指定要匹配的数据包源ip地址;
-j<目标> 指定要跳转的目标;
-i<网络接口> 指定数据包进入本机的网络接口;
-o<网络接口> 指定数据包要离开本机所使用的网络接口。
1.3 iptables命令选项输入顺序
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
1.3.1 表名包括:
raw:高级功能,如:网址过滤。
mangle:数据包修改(QOS),用于实现服务质量。
net:地址转换,用于网关路由器。
filter:包过滤,用于防火墙规则。
1.3.2 规则链名包括
INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT)。
POSTOUTING链:用于源地址转换(SNAT
1.3.3 动作包括
accept:接收数据包。
DROP:丢弃数据包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:目标地址转换。
MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。
二、示列
# 清除已有iptables规则
iptables -F
iptables -X
iptables -Z
# 开放指定的端口
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允许FTP服务的20端口
iptables -A INPUT -j reject #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT #禁止其他未允许的规则访问
# 屏蔽IP
iptables -I INPUT -s 123.45.6.7 -j DROP #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令是
# 显示已添加的iptables规则
iptables -L -n -v
Chain INPUT (policy DROP 48106 packets, 2690K bytes)
pkts bytes target prot opt in out source destination
5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
1499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
4364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes)
pkts bytes target prot opt in out source destination
5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
# 删除已添加的iptables规则
iptables -L -n --line-numbers # 将所有iptables以序号标记显示
iptables -D INPUT 8 #比如要删除INPUT里序号为8的规则
————————————————
版权声明:本文为CSDN博主「书香水墨」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_27870421/article/details/93166786注明:所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来
站主补充:
站主补充一:iptables 保证现有连接不会被禁止的防火墙规则
# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
站主补充二:iptables 保证本地环路不会被禁止的防火墙规则
# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
站主补充三:iptables 清空某一张表的规则
3.1 iptables 清空 filter 表的规则
# iptables -t filter -F
3.2 iptables 清空 nat 表的规则
# iptables -t nat -F
站主补充四:iptables 设置某一个链的默认规则
4.1 将某一个默认规则设置成允许
4.1.1 iptables 将 OUTPUT 链的默认规则设置为允许
# iptables -P OUTPUT ACCEPT
(补充:这里以将 OUTPUT 链设置为允许为例)
4.1.2 iptables 将 INPUT 链的默认规则设置为允许
# iptables -P INPUT ACCEPT
(补充:这里以将 INPUT 链设置为允许为例)
4.1.3 iptables 将 FORWAED 链的默认规则设置为允许
# iptables -P FORWARD ACCEPT
(补充:这里以将 FORWARD 链设置为允许为例)
4.2 将某一个默认规则设置成丢掉
4.2.1 iptables 将 OUTPUT 链的默认规则设置为丢掉
# iptables -P OUTPUT DROP
(补充:这里以将 OUTPUT 链设置为丢掉为例)
4.2.2 iptables 将 INPUT 链的默认规则设置为丢掉
# iptables -P INPUT DROP
(补充:这里以将 INPUT 链设置为丢掉为例)
4.2.3 iptables 将 FORWAED 链的默认规则设置为丢掉
# iptables -P FORWARD DROP
(补充:这里以将 FORWAED 链设置为丢掉为例)
站主补充五:iptables 一次性添加多个不连续端口的策略
# iptables -I INPUT -p tcp -m multiport --dport 22:30,80,3306 -j DROP
(补充:这里以将 INPUT 链里添加丢掉 22 到 30、80、3306 端口为例)
站住补充六:iptables 一次性添加多个连续端口的策略
# iptables -I INPUT -p tcp -m multiport --dport 22:30 -j DROP
(补充:这里以将 INPUT 链里添加丢掉 22 到 30 端口为例)
站住补充七:iptables 一次性添加多个连续和不连续端口的策略
# iptables -I INPUT -p TCP -m multiport --dport 22:30,80,3301:3306 -j DROP
(补充:这里以将 INPUT 链里添加丢掉 22 到 30、80、3301 到 3306 端口为例)
站主补充八:iptables 一次性给多个 IP 地址添加多个端口的策略
# iptables -I INPUT -s 192.168.1.1,192.168.1.5,192.168.1.100-110 -p TCP -m multiport --dport 22:30,80,3306 -j ACCEPT
(补充:这里以将 INPUT 链里添加允许 192.168.1.1、192.168.1.5、192.168.1.100 到 192.168.1.110 的 22 到 30、80、3301 到 3306 端口为例)
站主补充九:iptables 删除一条规则
9.1 显示所有规则的编号
# iptables --list --line-numbers
9.2 删除某一条规则
# iptables -D INPUT 3
(补充:这里以删除编号为 3 个规则为例)
站主补充十:iptables icmp 也就是 ping 的管理
# iptables -t filter -A INPUT -j ACCEPT -p icmp -m icmp --icmp-type 8 #允许 icmp 进去
# iptables -t filter -A INPUT -j ACCEPT -p icmp -m icmp --icmp-type 0 #允许 icmp 响应出去
站主补充十一:iptables 的规则保存
# iptables-save
或者:
# service iptables save
(注意:此方法只在 CentOS 7 & RHEL 7 有用)
站主补充十二:iptables 显示所有规则
12.1 iptables 显示所有规则
# iptables -nL
12.2 iptables 显示所有规则以及其中的详细信息
# iptables -nvl
(补充:比起 iptables -nL 命令,iptables -nvl 命令可以显示协议里的更详细内容,比如对 iptables 对 lo 网卡进行的规则)
12.3 iptables 显示所有规则并显示编号
# iptables --list --line-numbers
12.4 iptables 显示某一张表里的所有规则
# iptables -L -v -t filter -n --line-numbers