Redhat7(centos7)及以上防火墙完整介绍

最新推荐文章于 2024-09-26 22:30:37 发布
最新推荐文章于 2024-09-26 22:30:37 发布
阅读量154 收藏 30
点赞数 24
分类专栏: 程序员 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84153285/article/details/138424197
版权

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
在这里插入图片描述

现在去把allow中去掉,就无法连接了(注意:如果配了桥接网络,就需要把桥接网络的ip也添加进去,否则依然可以正常连接):

在这里插入图片描述

禁掉整个网段:

在这里插入图片描述

可以加关键词:EXCEPT 除了的意思。如现在拒绝10.233.3.整段,除了10.233.3.226,发现225是可以正常连接的:

在这里插入图片描述

ALL:全部 ,一般用于deny中,意思就是拒绝所有客户端,如现在我们只想要一台服务器可以连接到该服务器,则在allow中添加允许连接的服务器,在deny写上ALL即可:

在这里插入图片描述

并不是所有的服务都能使用她来进行控制的,ldd -v 查看哪些服务能使用她来控制,需要筛选一下,带wrap的就是允许反之不允许,如,查看sshd服务:ldd -v ’ which sshd` |grep wrap ('which '是反引号)

在这里插入图片描述

上面内容也可以参考这篇博客,更加详细:利用hosts.allow和hosts.deny限制IP登陆分解

firewalld的概念

  • 接口需要和某zone关联,从这个接口进来的所有数据包都要使用这个zone里的规则,如果某接口没有和任何的zone关联,则这个接口进来的数据包会使用默认的zone里的规则,一个接口只能和一个zone关联,或者不关联(默认)

在这里插入图片描述

  • 打开图形化防火墙界面:firewall-config &

在这里插入图片描述

  • 查看默认zone:firewall-cmd --get-default-zone

  • 查看指定接口zone:firewall-cmd --get-zone-of-interface=网卡名称

  • 查看所有zone:firewall-cmd --get-zones

在这里插入图片描述

  • 更改默认zone:firewall-cmd --set-default-zone=****,如修改为trusted,再改回public(默认):

在这里插入图片描述

  • 查看接口是和哪个zone关联的方法有2种:图形化和命令行,

图形化查看:firewall-config &

在这里插入图片描述

命令行查看:firewall-cmd --get-zone-of-interface=网卡名称,如果网卡名称错误和该网卡没有绑定zone都会提示no zone ,如查看ens160网卡的zone:firewall-cmd --get-zone-of-interface=ens160

在这里插入图片描述

  • 指定接口新定义zone:firewall-cmd --add-interface=网卡名称 --zone=zone名称,在接口有zone的情况下在定义zone会报错:

在这里插入图片描述

(所以定义zone的时候需要先删除zone,在定义zone)删除zone:firewall-cmd --remove-interface=网卡名称 --zone=当前zone名称(查看:firewall-cmd --get-zone-of-interface=网卡名称):(了解即可,下面有命令可以直接更换zone)

在这里插入图片描述

也有命令直接更换(自行删除zone在定义到新zone,只是不需要手动删除而已):firewall-cmd --change-interface=网卡名称 --zone=新zone名称,如把zone换到home在换到public:

在这里插入图片描述

配置防火墙(服务、接口、端口)

防火墙配置有2种方法:图形化和命令行

在任何已配置的富规则都会显示在firewall-cmd --list-allfirewall-cmd --list-all-zone的输出结果中。具有语法解释如下所示:

在这里插入图片描述

注:以下使用中文版测试只是为了更方便了解,实际生产环境中,不要使用中文版的图形化配置,有bug,要使用英文版的配置,如果是中文环境,加上参数:LANG=C即可:LANG=C firewall-config &

图形化配置防火墙服务:

打开图形化界面:firewalld-config &

在这里插入图片描述

首先更改接口所属zone,已配置的接口(网卡名称)在zone中的接口处即可看到,如果所有zone中的接口都无内容,则代表没有接口配置到zone中,这里以ens160(网卡名称)为例:现在ens160属于public,这时候在其他zone中添加ens160会报错:

在这里插入图片描述

所以正确更改zone的步骤是:删除再添加,

在这里插入图片描述

这里添加到trusted中(不需要重启任何服务,配置即生效,图形化配置后命令行随即咳看到变化):

在这里插入图片描述

查看/开启/关闭某服务:勾上表示开启,未勾上表示关闭

在这里插入图片描述

添加开放端口:

在这里插入图片描述

其他功能按需设置吧,需要注意的是,上述方法设置服务均为临时生效,如果重启服务器或者重启防火墙服务均失效。如果要服务永久生效,需要把配置:运行时改为永久,注:设置永久仅对下次重启服务有效,对当前无效,所以一般要设置2次,运行时和永久都设置才是当前和永久生效)

在这里插入图片描述

命令行配置防火墙服务

注:永久需要在后面加上参数:- -permanent ,需要注意的是,设置永久是并不改变当前状态,所以一般设置永久和设置临时都需要操作(也就是同一条命令执行2次,一次后面加- -permanent,一次不加)

服务名称如何确定:firewall-cmd --get-services ,如:筛选http服务名:firewall-cmd --get-services |grep http

在这里插入图片描述

查看默认zone中是否开启了某服务:firewall-cmd --query-service=服务名

开启默认zone中的某服务(临时生效):firewall-cmd --add-service=服务名

关闭默认zone中的某服务(临时生效):firewall-cmd --remove-service=服务名

在这里插入图片描述

查看指定zone中是否开启了某服务:firewall-cmd --query-service=服务名 --zone=zone名

开启指定zone中的某服务(临时生效):firewall-cmd --add-service=服务名 --zone=zone名

关闭指定zone中的某服务(临时生效):firewall-cmd --remove-service=服务名 --zone=zone名

在这里插入图片描述

上述是设置临时生效的,现在说一下设置永久生效,方法和上面一样,之后后面需要加上参数:–permanent ,需要注意的是,设置永久是并不改变当前状态,所以设置永久和设置临时都需要操作,如:设置指定某zone中永久且当前生效开启http服务:

在这里插入图片描述

设置永久以后重启防火墙或者再次执行临时生效命令当前修改即当前且永久生效:

在这里插入图片描述

查看默认zone的指定端口是否存在:firewall-cmd --query-port=端口号/类型

添加默认zone的指定端口,以808为例:firewall-cmd --add=port=端口号/类型

删除默认zone的指定端口,以808为例:firewall-cmd --add=port=端口号/类型

在这里插入图片描述

指定zone和永久生效方法和上述一样(指定zone:–zone=**,永久参数:–permanent),这里就不一一做测试了,直接指定zone为home且永久生效吧:

在这里插入图片描述

ICMP过滤器

图形化:

ICMP过滤器,需要注意这里和服务是相反的,勾上的表示禁用,未勾上的表示启动。

在这里插入图片描述

ping的原理就是你发送一个request请求,我给你一个reply回应,为一个ping,测试:a服务器执行抓包:tcpdump -i ens160(网卡) icmp,b服务ping a服务器ip -c2 ,然后回到a服务器看状态:

a服务器执行抓包:

在这里插入图片描述

b服务器加上参数-c2 ping该ip:

在这里插入图片描述

在到a服务器看状态:

在这里插入图片描述

如果不想别人能够ping通你 ,把echoo-request勾上即可:

在这里插入图片描述

命令行操作:

查看所有类型:firewall-cmd --get-icmptpes

在这里插入图片描述

查看单独某个类型有没有被勾上(默认zone,需要查看指定zone加上参数 --zone=zone名称):firewall-cmd --query-icmp-block=echo-request

在这里插入图片描述

开启禁pin功能(永久生效需要加上参数 --permanent):firewall-cmd --add-icmp-block=echo-request

在这里插入图片描述

别人ping该服务器状态为:

在这里插入图片描述

关闭禁ping功能:firewall-cmd --remove-icmp-block=echo-request

来源

图形化:

以http为例:

比如说当前ip设置了一个zone为public,但public并没有开启http服务,所以http并不能使用,但home这个zone中http可以使用,所以,我们在home这个zone的来源中添加一个ip段,这样,当前ip只要满足来源中ip段,则即可以使用public这个zone的规则和home这个zone的规则,即使public中http服务不能使用,但home中的http可以使用,当前服务器的http满足后者,所以http服务能正常使用:

在这里插入图片描述

命令行:

查看当前自定zone的所有规则:firewall-cmd --list-all --zone=zone名称:

在这里插入图片描述

添加来源(永久生效需要加上参数 --permanent):firewall-cmd --add-source=ip/掩码 --zone=zone名称

在这里插入图片描述

删除来源:firewall-cmd --remove-source=ip/掩码 --zone=zone名称

在这里插入图片描述

伪装、端口转发

IP地址伪装和端口转发都属于NAT(网络地址转换)。

地址伪装和端口转发的区别如下:

IP地址伪装:

1、通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包

2、源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改

3、为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。

4、类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持ipv4,不支持ipv6。

端口转发:

也可以称之为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。一般公司内网的服务器都采用私网地址,然后通过端口转发将使用私网地址的服务器发布到公网上。

在firewalld中,有一个富语言的概念,firewalld的富语言提供了一种不需要了解iptables语法的通过高级语言配置复杂的防火墙规则的机制,通过这种语言,可以表达firewalld的基本语法中不能实现的自定义防火墙规则。

富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向syslog和auditd),以及端口转发、伪装和速率限制。

伪装配置:

测试需要3台服务器,关系如下图(内网和外网服务器均一张网卡即可,但模拟交换机需要两张网卡,内网和外网同时存在):

在这里插入图片描述

创建私网ip和模拟交换机内网,首先得保证这2台处于同一个网段,所以添加网卡信息的时候选择同一个vlan区。

在这里插入图片描述

设置内网ip和模拟交换机内网ip(模拟交换机一张网卡配内网,另一种网卡配外网):

在这里插入图片描述在这里插入图片描述

均需要重启网络。

模拟交换机上关闭networkmanager:/etc/init.d/NetworkManager stop

在这里插入图片描述

模拟交换机还需要开启转发功能,如图:

在这里插入图片描述

上述操作做完配置变完成了,下面开始测试:模拟交换机ping自己,ping私网网关和ping外网网关是能正常ping通的:

在这里插入图片描述

外网网关虽然能ping通,但ping外网ip的时候并ping不通:

在这里插入图片描述

原因:抓包看状态,首先外网服务器上执行抓包命令:tcpdump -i 网卡名称 icmp

在这里插入图片描述

交换机上再次ping外网ip:

然后回到外网服务器查看抓包状态:

在这里插入图片描述

解决模拟交换机能ping通外网网关,但ping不通外网服务器的情况有两种处理方法:1、通过交换机,2、通过伪装

1、 通过交换机处理(弊端:互联网上能看到私网地址):

route -n查看网关信息,发现外网服务器并没有设置网关,这时候把网关设置为和模拟交换机同样的网关即可:

在这里插入图片描述

此时在外网服务器抓包后再去交换机ping当前服务器,即可正常ping同,抓包状态为:

在这里插入图片描述

但是通过交换机接通外网方式互联网是能看到私网iP的,所以真正的服务器是不允许这样的,所以删除服务器配置的和交换机一样的网关:route del default gw 网关

在这里插入图片描述

2、 通过伪装

因为只要ip位置完毕以后,伪装只需要勾上即可:

在这里插入图片描述

此时在外网服务器抓包后再去交换机ping当前服务器,即可正常ping同,抓包状态为:

在这里插入图片描述

通过命令行开启伪装:永久生效和指定zone需要加上参数--permanent--zone=zone名称

开启:firewall-cmd --add-masquerade

关闭:firewall-cmd --remove-masquerade

查看:firewall-cmd --list-all

在这里插入图片描述

端口转发:

在这里插入图片描述

测试首先在内网服务器和外网服务器均装上http:yum -y install http

启动该服务:systemctl start httpd

任意在内网服务器http中写入内容:echo inetnal xxxxx > /var/www/html/index.html

到模拟交换机把http服务关闭,因为不关闭 就会访问交换机的端口,而不会转发到内网端口:systemctl stop httpd

难道这样就够了吗?不,远远不够!

提前多熟悉阿里往年的面试题肯定是对面试有很大的帮助的,但是作为技术性职业,手里有实打实的技术才是你面对面试官最有用的利器,这是从内在散发出来的自信。

备战阿里时我花的最多的时间就是在学习技术上,占了我所有学习计划中的百分之70,这是一些我学习期间觉得还是很不错的一些学习笔记

我为什么要写这篇文章呢,其实我觉得学习是不能停下脚步的,在网络上和大家一起分享,一起讨论,不单单可以遇到更多一样的人,还可以扩大自己的眼界,学习到更多的技术,我还会在csdn、博客、掘金等网站上分享技术,这也是一种学习的方法。

今天就分享到这里了,谢谢大家的关注,以后会分享更多的干货给大家!

阿里一面就落马,恶补完这份“阿里面试宝典”后,上岸蚂蚁金服

阿里一面就落马,恶补完这份“阿里面试宝典”后,上岸蚂蚁金服

image.png

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
所有学习计划中的百分之70,这是一些我学习期间觉得还是很不错的一些学习笔记

我为什么要写这篇文章呢,其实我觉得学习是不能停下脚步的,在网络上和大家一起分享,一起讨论,不单单可以遇到更多一样的人,还可以扩大自己的眼界,学习到更多的技术,我还会在csdn、博客、掘金等网站上分享技术,这也是一种学习的方法。

今天就分享到这里了,谢谢大家的关注,以后会分享更多的干货给大家!

[外链图片转存中…(img-EvQi0H44-1714740321205)]

[外链图片转存中…(img-qzzM3INC-1714740321205)]

[外链图片转存中…(img-1jf2Y0To-1714740321205)]

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

2401_84153285
关注
专栏目录
Centos7防火墙设置
所谓向日葵族
08-05 1229
CentOS 7中使用的防火墙为firewall,在CentOS 6.5中在iptables防火墙中进行了升级了。 用于实现持久的网络流量规则。 可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接 使用区域(zone)和服务(service) 默认是拒绝的,需要设置以后才能放行 CentOS 7放行端口需要在云服务器管理后台和服务器firewall同时设置才有效!注意默...
Redhat7.x/CentOS7.x OpenSSH版本升级9.4sp1
09-01
OpenSSH是实现安全远程登录和文件传输的开源软件,被广泛应用于Linux系统,如Redhat7.x和CentOS7.x。此次我们关注的话题是将这两个系统的OpenSSH版本升级到9.4sp1。这是一项关键的安全维护任务,因为定期更新OpenSSH...
centos防火墙设置方法
wang_book的博客
08-28 639
你可以添加自定义的规则,使用。
Red hat防火墙
加载中。。。请等待
12-27 205
/* 关闭防火墙服务 */service iptables stop/* 开启防火墙服务 */service iptables start/* 系统自启动 关闭防火墙  */ chkconfig iptables off   添加端口     vi  /etc/sysconfig/iptables -A RH-Firewall-1-INPUT -m state --state NEW -...
redhat 7 防火墙
蓝枫的专栏
05-11 678
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld  停止: systemctl disable firewalld 禁用: systemctl stop firewalld   2.systemctl是redhat7的服务管理工具中主要的工具,它融合之前
Centos7.3防火墙配置
weixin_30369087的博客
05-25 999
Centos7.3防火墙配置 1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 # 开启 service firewalld start # 重启 service ...
Linux下设置防火墙白名单(RHEL 6和CentOS 7)的步骤
01-09
进入Linux 命令行,编辑防火墙规则配置文件 iptables vi /etc/sysconfig/iptables 下面是一个白名单设置的例子: # Firewall configuration written by system-config-securitylevel # Manual customization of ...
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要...
CentOS7 Redhat7 openssh8.4p1升级包
10-21
本文将详细介绍关于"CentOS7 Redhat7 openssh8.4p1升级包"的知识点,包括OpenSSH服务的重要性,如何进行RPM包升级,以及在升级过程中可能遇到的问题及解决方案。 **OpenSSH服务** OpenSSH是Secure Shell (SSH)协议...
centos7 nfs离线安装包
03-25
总结来说,"CentOS7 nfs离线安装包"是为那些希望在没有互联网连接的环境中部署NFS服务的用户提供了一套完整的解决方案。通过正确安装和配置,NFS可以极大地促进跨设备的文件共享和协作,简化系统管理任务。
Redhat防火墙
hahaxixi131的博客
08-09 3142
Redhat防火墙 什么防火墙防火墙防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 ​ 防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers都可以称为软件防火墙。这儿主要介绍linux系统本身提供的软件防火墙的功能,那就是Netfil
linux常用命令
qq_38736134的博客
03-30 769
1.关闭防火墙命令:systemctl stop iptables systemctl start iptables systemctl restart iptables 2.启动elasticsearch命令:切换tiger用户,进入elasticsearch/bin目录 cd /home/tiger/elasticsearch/bin 执行 ./elasticsearch 3.查看进程:ps -ef | grep nginx 重启命令网卡:service network restart 1. 启
CentOS 7 开放防火墙端口命令
热门推荐
Cheers Li 软件测试博客
09-14 14万+
CentOS 7 开放防火墙端口 命令         最近公司新的server要求用CentOS7, 发现以前CentOS 6 系列中的 iptables 相关命令不能用了,查了下,发现Centos 7使用firewalld代替了原来的iptables。 使用方法如下: >>> 关闭防火墙 systemctl stop firewalld.service        ...
centos7 firewalld防火墙(一)
m0_73311601的博客
09-23 822
firewall-cmd --zone=internal --add-service=mysql s设置internal(内网)区域允许访问mysql服务。firewall-cmd --zone=internal --remove-port=443/tcp 区域禁止访问端口443。firewall-cmd --get-zone-of-interface=ens33 显示当前网卡ens33所对应的区域。Firewall-cmd --list-all-zone 查看防火墙指定的区域。
RedHat防火墙
wsyhok的博客
02-28 785
查看防火墙状态 service iptables status 防火墙为开启状态: 防火墙为关闭状态 关闭或开启防火墙 永久关闭或开启 chkconfig iptables on chkconfig iptables off 即时生效,重启后失效 service iptables start service iptables stop ...
centos7 防火墙命令
tiandao321的专栏
06-29 1408
1.查看已开放的端口(默认不开放任何端口)firewall-cmd --list-ports2.开启80端口firewall-cmd --zone=public(作用域) --add-port=80/tcp(端口和访问类型) --permanent(永久生效)3.重启防火墙firewall-cmd --reload4.停止防火墙systemctl stop firewalld.service5.禁...
centos7 防火墙设置
水布天
04-02 8363
centos7 防火墙设置1 概述2 防火墙服务操作2.1 查看防火墙服务状态2.2 开启防火墙2.3 关闭防火墙2.4 重启防火墙2.5 设置开机自启动2.6 查看防火墙开机启动是否成功3 防火墙操作3.1 查看防火墙状态3.2 查看规则3.3 查看所有开放端口3.4 查看服务器操作系统端口3.5 开启端口3.6 重启防火墙3.7 查询端口是否开放3.8 移除端口 1 概述 防火墙为centos系统默认子带的组件,在centos6上为iptables,centos7升级为firewalld,较之前的版本有
防火墙-CentOS7-firewalld
最新发布
sq2048935747@163.com的博客
09-26 748
防火墙是一种网络安全设备或软件,旨在监控和控制进出网络的流量,以保护内部网络免受外部攻击和不必要的访问。在防火墙中,“入站”和“出站”是用来描述网络流量方向的两个基本概念。1. 入站流量(Inbound Traffic)定义:入站流量指的是从外部网络(例如互联网)进入内部网络或计算机的所有数据包。特点来源:入站流量的源地址通常是外部IP地址。目的:目的地是防火墙内部的特定设备或服务(如服务器、工作站等)。管理规则设置:防火墙会根据设定的规则决定是否允许这些入站数据包通过。
CentOS7小版本升级指南:从7.6到7.9
"本文档是关于CentOS 7小版本升级的笔记,主要记录了从7.6到7.9的升级过程,包括更新前的准备、安装必要软件包、关闭防火墙、修改主机名、执行升级命令以及验证升级结果。" 在Linux环境中,尤其是服务器操作系统,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值