- Iptables CentOS 7: где правила
- Введение
- Понимание Iptables
- Цепочка INPUT
- Цепочка ВЫХОДА
- Цепочка ВПЕРЕД
- Цепочка PREROUTING
- Поиск правил
- Связь Iptables и межсетевого экрана
- Местоположение файла конфигурации Iptables по умолчанию
- Местоположение файлов конфигурации Firewalld по умолчанию
- Управление правилами Iptables
- Команда Firewall-cmd (Firewalld)
- Команда Iptables (Iptables)
- Перезапуск службы брандмауэра
- Заключение
- Часто задаваемые вопросы
Iptables CentOS 7: где правила

Введение
Когда дело доходит до защиты вашего сервера CentOS 7, одним из наиболее эффективных инструментов в вашем распоряжении является iptables. Iptables — это мощная утилита межсетевого экрана, которая позволяет вам контролировать входящий и исходящий сетевой трафик, обеспечивая безопасность и целостность вашей системы. В этой статье мы углубимся в мир iptables в CentOS 7, обсудим, где расположены правила и как ими можно эффективно управлять.
Понимание Iptables
Iptables — это служебная программа пользовательского пространства, которая позволяет настраивать встроенный брандмауэр ядра Linux. Он предоставляет набор правил, определяющих, как следует обрабатывать входящий и исходящий сетевой трафик. Эти правила организованы в различные цепочки, каждая из которых имеет свою цель и функцию. Четыре основные цепочки в iptables: INPUT
, ВЫХОД
, ВПЕРЕД
и ПРЕДВАРИТЕЛЬНАЯ ПРОГРУЗКА
.
Цепочка INPUT
ВХОД
Chain отвечает за все входящие соединения с вашим сервером CentOS 7. Он оценивает пакеты, поступающие из внешних источников, и определяет, принять или отклонить их. Путем настройки правил в INPUT
Chain вы можете контролировать, какие сервисы и порты доступны из внешнего мира.
Цепочка ВЫХОДА
ВЫХОД
Chain, как следует из названия, занимается исходящими соединениями из вашей системы. Каждый пакет, исходящий от вашего сервера, проходит через эту цепочку. Указав правила в OUTPUT
Chain вы можете контролировать, с какими пунктами назначения и службами может взаимодействовать ваш сервер.
Цепочка ВПЕРЕД
ВПЕРЕД
Цепочка вступает в игру, когда ваш сервер действует как маршрутизатор или шлюз, пересылая пакеты между различными сетями. Если у вас несколько сетевых интерфейсов и вы хотите контролировать трафик между ними, вы можете определить правила в FORWARD
цепь.
Цепочка PREROUTING
ПРЕДВАРИТЕЛЬНАЯ ПРОГРУЗКА
Цепочка участвует в задачах трансляции сетевых адресов (NAT). Он изменяет IP-адрес назначения входящих пакетов перед их маршрутизацией к конечному пункту назначения. Если вам необходимо выполнить какие-либо операции, связанные с NAT, такие как переадресация портов или балансировка нагрузки, PREROUTING
цепочка — это место, где вы устанавливаете правила.
Поиск правил

Теперь, когда у нас есть базовое представление об iptables и его цепочках, давайте выясним, где хранятся правила в CentOS 7.
Правила для iptables хранятся в файле конфигурации под названием iptables
. Однако в CentOS 7 произошел сдвиг в сторону использования firewalld
сервис, который обеспечивает более динамичный и удобный интерфейс для управления правилами брандмауэра.
Связь Iptables и межсетевого экрана
На самом деле firewalld использует iptables в качестве своей серверной части. Это означает, что любые правила, которые вы настраиваете с помощью firewalld, в конечном итоге будут преобразованы в правила iptables.
В то время как iptables напрямую изменяет правила брандмауэра ядра, firewalld применяет уровень абстракции поверх iptables, упрощая управление правилами и обеспечивая удобные настройки на основе зон.
Местоположение файла конфигурации Iptables по умолчанию
Чтобы найти iptables
файл конфигурации в CentOS 7, вы можете перейти по следующему пути:
/etc/sysconfig/iptables Местоположение файлов конфигурации Firewalld по умолчанию
С другой стороны, если вы используете firewalld для управления правилами брандмауэра, файлы конфигурации расположены следующим образом:
- Общественная зона
:/etc/firewalld/zones/public.xml - Внутренняя зона
:/etc/firewalld/zones/internal.xml - Зона ДМЗ
:/etc/firewalld/zones/dmz.xml
Обратите внимание, что эти пути могут различаться в зависимости от вашей конкретной установки CentOS 7 или любых сделанных вами пользовательских конфигураций.
Управление правилами Iptables

Теперь, когда мы знаем, где расположены правила iptables, давайте рассмотрим, как можно эффективно ими управлять.
Команда Firewall-cmd (Firewalld)
Firewalld может похвастаться утилитой командной строки под названием firewall-cmd
, который предоставляет простой и интуитивно понятный интерфейс для управления правилами брандмауэра.
Некоторые распространенные примеры управления правилами с помощью firewalld:
- Добавление услуги
Вы можете разрешить входящий трафик для определенной службы, выполнив следующую команду:
firewall-cmd --zone=public --add-service=http --permanent Эта команда открывает порт 80 для HTTP-трафика и делает изменения постоянными.
- Открытие порта
Чтобы вручную открыть определенный порт, используйте следующую команду:
firewall-cmd --zone=public --add-port=8080/tcp --permanent В этом примере открывается порт 8080 для TCP-трафика.
Команда Iptables (Iptables)
Если вы предпочитаете работать напрямую с iptables, вы можете использовать команду iptables
для управления правилами брандмауэра.
Вот пример того, как можно добавить правило, разрешающее входящий SSH-трафик:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT Чтобы сделать это правило постоянным, вам необходимо сохранить настройки iptables с помощью команды:
service iptables save Перезапуск службы брандмауэра
После внесения изменений в правила брандмауэра необходимо перезапустить соответствующую службу брандмауэра, чтобы изменения вступили в силу.
Для firewalld используйте команду:
systemctl restart firewalld Для iptables используйте команду:
service iptables restart Заключение

В заключение отметим, что iptables — мощный инструмент для защиты вашего сервера CentOS 7. Его правила организованы в различные цепочки, каждая из которых служит определенной цели. Файл конфигурации iptables можно найти по адресу /etc/sysconfig/iptables
, CentOS 7 поощряет использование firewalld, который обеспечивает уровень абстракции для упрощения управления правилами. Независимо от того, используете ли вы iptables или firewalld, понимание того, как находить правила брандмауэра и управлять ими, имеет решающее значение для поддержания безопасной и надежной системы.
Часто задаваемые вопросы
Вопрос 1: Могу ли я одновременно использовать iptables и firewalld в CentOS 7?
Абсолютно! Firewalld может сосуществовать с iptables в CentOS 7. Фактически, firewalld действует как интерфейсный интерфейс для iptables, позволяя вам использовать его функции, одновременно наслаждаясь удобством абстракций firewallds.
Вопрос 2: Как я могу проверить текущий статус брандмауэра на моем сервере CentOS 7?
Чтобы проверить состояние службы брандмауэра, вы можете использовать следующую команду:
firewall-cmd --state Здесь будет показано, запущена ли служба брандмауэра.
Вопрос 3: Можно ли отключить firewalld и вернуться к использованию только iptables в CentOS 7?
Да, можно остановить и отключить firewalld и вернуться к использованию iptables. Однако желательно тщательно понимать последствия и убедиться, что у вас есть необходимые знания и опыт для эффективного управления iptables.
В4: Могу ли я создавать собственные цепочки в iptables?
Действительно! Iptables позволяет создавать собственные цепочки для дальнейшей организации правил брандмауэра и управления ими. Вы можете сделать это, используя iptables -N [chain name]
команда.
В5: Приведёт ли перезагрузка моего сервера CentOS 7 к сбросу всех правил брандмауэра?
Нет, перезагрузка сервера не приведет к очистке правил брандмауэра. Настройки iptables и firewalld являются постоянными, то есть они сохранятся даже после перезагрузки системы.

