本文详细介绍了Redhat7(CentOS7)及以上版本的防火墙配置,包括图形化和命令行两种方式。内容涵盖添加开放端口、伪装配置、端口转发以及如何通过firewalld进行服务、接口和端口的管理。文章强调了永久生效配置的设置方法,并提供了 ICMP 过滤器的配置示例,最后讨论了地址伪装和端口转发的区别和配置。
现在去把allow中去掉,就无法连接了(注意:如果配了桥接网络,就需要把桥接网络的ip也添加进去,否则依然可以正常连接):
禁掉整个网段:
可以加关键词:EXCEPT 除了的意思。如现在拒绝10.233.3.整段,除了10.233.3.226,发现225是可以正常连接的:
ALL:全部 ,一般用于deny中,意思就是拒绝所有客户端,如现在我们只想要一台服务器可以连接到该服务器,则在allow中添加允许连接的服务器,在deny写上ALL即可:
并不是所有的服务都能使用她来进行控制的,ldd -v 查看哪些服务能使用她来控制,需要筛选一下,带wrap的就是允许反之不允许,如,查看sshd服务:ldd -v ’ which sshd` |grep wrap ('which '是反引号)
上面内容也可以参考这篇博客,更加详细:利用hosts.allow和hosts.deny限制IP登陆分解
- 接口需要和某zone关联,从这个接口进来的所有数据包都要使用这个zone里的规则,如果某接口没有和任何的zone关联,则这个接口进来的数据包会使用默认的zone里的规则,一个接口只能和一个zone关联,或者不关联(默认)
- 打开图形化防火墙界面:
firewall-config &
-
查看默认zone:
firewall-cmd --get-default-zone -
查看指定接口zone:
firewall-cmd --get-zone-of-interface=网卡名称 -
查看所有zone:
firewall-cmd --get-zones
- 更改默认zone:
firewall-cmd --set-default-zone=****,如修改为trusted,再改回public(默认):
- 查看接口是和哪个zone关联的方法有2种:图形化和命令行,
图形化查看:firewall-config &
命令行查看:firewall-cmd --get-zone-of-interface=网卡名称,如果网卡名称错误和该网卡没有绑定zone都会提示no zone ,如查看ens160网卡的zone:firewall-cmd --get-zone-of-interface=ens160:
- 指定接口新定义zone:
firewall-cmd --add-interface=网卡名称 --zone=zone名称,在接口有zone的情况下在定义zone会报错:
(所以定义zone的时候需要先删除zone,在定义zone)删除zone:firewall-cmd --remove-interface=网卡名称 --zone=当前zone名称(查看:firewall-cmd --get-zone-of-interface=网卡名称):(了解即可,下面有命令可以直接更换zone)
最低0.47元/天 解锁文章
扫一扫
1230
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
