firewalld防火墙

最新推荐文章于 2023-10-27 05:30:00 发布
最新推荐文章于 2023-10-27 05:30:00 发布
阅读量515 收藏 2
点赞数 1
分类专栏: RHCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CapejasmineY/article/details/99780306
版权

一、搭建实验环境
重置(reset)两个虚拟机
虚拟机server:
添加两块网卡
eth0 172.25.254.176
eth1 192.268.0.176
在这里插入图片描述
虚拟机desktop:
eth0 192.168.0.20
在这里插入图片描述
二、firewalld的域

trusted(信任)可接受所有网络连接
home(家庭)用于家庭网络,仅接受ssh、mdns、ipp-client或dhcpv6-client服务
internal(内部)用于内部网络,仅接收ssh、mdns、ipp-client、samba-client、dhcpv6-client服务
连接
work(工作)用于工作区,仅接收ssh、ipp-client或dhcpv6-client服务连接
public(公共)在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
external(内部)出去的ipv4网络连接通过此区域伪装和转发,仅接收ssh服务连接
dmz(非军事区)仅接收ssh服务连接
block(限制)拒绝所有网络连接
drop(丢弃)任何接收的网络数据包都被丢弃,没有任何回复

三、firewalld相关操作
1、启用firewalld

yum install -y firewalld firewall-config
systemctl start firewalld
systemctl enable firewalld
systemctl status firewalld

2、查看firewalld设置

firewall-cmd --stat  #防火墙的状态
firewall-cmd --get-active-zones #正在使用的域
firewall-cmd --get-default-zone #查看系统默认的域
firewall-cmd --get-zones        #查看系统所有域
firewall-cmd --zone=public --list-all #查看public域所有信息
firewall-cmd --get-services #查看系统中所有可以直接设置的服务名称
firewall-cmd --list-all-zones  #显示所有域信息
firewall-cmd --list-service  #查看当前火墙开启的服务
firewall-cmd --set-default-zone=dmz  #设置系统默认域为dmz

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

3、不同网卡时走不同的域
IP方式:

firewall-cmd --permanent --add-source=172.25.254.76/24 --zones=trusted #添加76主机为信任域
firewall-cmd --permanent --remove-source=172.25.254.76/24 --zones=trusted #从信任域中移出

网卡方式:

firewall-cmd --permanent --zone=trusted --add-interface=eth0 #将eth0网卡添加到信任域
firewall-cmd --permanent --zone=trusted --change-interface=eth0
firewall-cmd --permanent --zone=trusted --remove-interface=eth0

测试:
【1】
server端:

关闭火墙中的http、https服务
firewall-cmd --permanent --remove-service=http
firewall-cmd --permanent --remove-service=https
firewall-cmd --reload
systemctl restart httpd
firewall-cmd --add-source=172.25.254.76 --zone=trusted #添加为信任域
firewall-cmd --remove-source=172.25.254.76 --zone=trusted #移除
firewall-cmd --reload #刷新

在这里插入图片描述
在这里插入图片描述
添加到信任域:
在这里插入图片描述
76主机上搜索:
在这里插入图片描述
移除信任域:
在这里插入图片描述
76主机上搜索:
在这里插入图片描述

【2】
(1)
sever上:

firewall-cmd --list-all
firewall-cmd --zone=public --remove-interface=eth1
firewall-cmd --zone=trusted --add-interface=eth1
firewall-cmd --list-all --zone=trusted
firewall-cmd --reload

在这里插入图片描述
在同一网段desktop(192.168.0.20)上:
http://192.168.0.176
在这里插入图片描述
(2)
server上:

firewall-cmd --permanent --zone=public --change-interface=eth1
firewall-cmd --reload

在这里插入图片描述
在同一网段desktop(192.168.0.20)上:
http://192.168.0.176 #由于176主机火墙开启了http服务,所以可以查看到共享目录中的发布页面
在这里插入图片描述
4、火墙文件管理
/usr/lib/firewalld/services/ 火墙工作时访问的策略
/etc/firewalld/zones/ 封装了服务所开启的数据

firewall-cmd --permanent --zone=public --add-service=smtp
firewall-cmd --permanent --zone=public --remove-service=smtp
firewall-cmd --zone=public --list-ports
firewall-cmd --permanent --zone=public --add-port=8080/tcp
firewall-cmd --permanent --zone=public --remove-port=8080/tcp

火墙添加服务两种方式:
默认使用的域为public时:
【1】命令方式添加

firewall-cmd --permanent --add-service=http #自动在/etc/firewalld/zones/public.xml(现在使用的域中)文件中添加http服务
firewall-cmd --reload #刷新当前的状态

在这里插入图片描述
在这里插入图片描述
【2】文件方式添加

vim /etc/firewalld/zones/public.xml

firewall-cmd --reload
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
火墙中添加服务端口
【1】临时修改

firewall-cmd --list-ports #查看火墙上开启的端口
firewall-cmd --add-port=8080/tcp #添加端口
firewall-cmd --list-ports #查看此时已开启
firewall-cmd --remove-port==8080/tcp
firewall-cmd --list-ports #查看此时已开启

在这里插入图片描述
在这里插入图片描述
【2】永久修改

firewall-cmd --permanent --add-port=8080/tcp
#此时/etc/firewalld/zones/public.xml中生成端口状态
vim /etc/firewalld/zones/public
<port protocol="tcp" port="8080"/>
firewall-cmd --permanent --remove-port=8080/tcp

在这里插入图片描述
在这里插入图片描述
5、火墙刷新

fiewall-cmd --reload  # 刷新当前火墙状态,不会断掉当前的连接
firewall-cmd --complete-reload  #刷新当前火墙状态,会断掉当前连接

测试:
服务器:sever主机 eth1 192.168.0.176
客户端:desktop主机 eth0 192.168.0.20
客户端:

ssh root@192.168.0.176
ls

在这里插入图片描述
在这里插入图片描述
服务端:

firewall-cmd --zone=public --change-interface=eth1 #将eth1网卡移到public域中
firewall-cmd --permanent --remove-service=ssh
fiewall-cmd --reload

在这里插入图片描述
客户端

ls

在这里插入图片描述
服务端:

firewall-cmd --complete-reload

在这里插入图片描述
客户端:
完全不能操作
在这里插入图片描述
6、设置让单独某台主机不能访问

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.76 -p tcp --dropt
80 -j REJECT
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.254.76 -p tcp --
dropt 80 -j REJECT
firewall-cmd --direct --get-all-rules #查看所有规则
-s数据来源
-o协议
-dport目的地端口
-sport数据端口
-j行为
–direct后边跟规则
–add-rule添加规则
filter
INPUT表中规则(输入)
1排在第一个
DROP拒绝不提醒
ACCEPT接收
REJECT拒绝提醒,不停加载,不提示

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
7、地址伪装和端口转发
端口转发:
ssh服务开启端口 22

firewall-cmd --add-masquerade
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.76
firewall-cmd --list-all

在这里插入图片描述
客户端:
desktop虚拟机:设置IP为192.168.0.20
真机:设置IP为172.25.254.76

ssh root@192.168.0.176 #如果此时连接不上,需删掉提示中的/root/.ssh/know_hosts
输入真机密码

在这里插入图片描述
#input进来时,端口已经被转发

ip addr show #真机IP

在这里插入图片描述
w -i #查看真机上显示的是谁连接
在这里插入图片描述
#output时地址已经被伪装
进来时通过22端口,我帮你自动转换到别人。别人连我时我让你去连另一个人
出去时经过地址包装,展示给别的的是路由地址

CapejasmineY
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙firewalld
weixin_45368526的博客
08-20 366
1、firewalld域 trusted(信任) 可接受所有网络连接 home(家庭) 用于家庭网络,仅接受ssh、mdns、ipp-client或dhcpv6-client服务 internal(内部) 用于内部网络,仅接收ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接 work(工作) 用于工作区,仅接收ssh、ipp-clien...
firewalld
cywdeboke的博客
06-09 204
firewalld:动态防火墙后台程序 1.firewalld的配置 查看Firewalld的状态       firewall-cmd --state 查看当前活动区域,并附带一个目前分配的的接口列表    firewall-cmd --get-active-zones 查看默认区-zones域    firewall-cmd  --get-default-zone 查看所
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
linux中的防火墙firewalld方式
橙汁Iter的博客
12-11 870
linux中的防火墙,主要分为两种管理方法,一种是firewalld,一种是ip tables,而firewalld又分为两种方式,一个是通过图形界面的方式,还有一个就是通过命令的方式,让我们一起来学习一下吧~ 定义:     Firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且...
firewalld防火墙翻新重置版
qq_45682385的博客
01-10 591
Centos7-----firewalld详解 一.firewalld是啥玩楞?~~? 防火墙,顾名思义,是防火的墙,咳咳,可能说的有点直白。我们这里要讲的是centos7里面的firewalldfirewalld简介 ~支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 ~支持IPV4,IPV6防火墙设置以及以太网桥 ~支持服务或应用程序直接添加防火墙规则接口 ~拥有两种配置...
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
CentOS7使用firewall-cmd打开关闭防火墙与端口 以开放8080端口为例
热门推荐
克豪的博客
03-26 1万+
centos7版本对防火墙进行加强,不再使用原来的iptables,启用firewalld 简单上手(以配置8080端口为例) 输入命令查看防火墙的状态 firewall-cmd --state; 如果没有开启,输入命令 systemctl start firewalld.service; 开启8080端口,输入: firewall-cmd --zone=public --add-port=8080/tcp --permanent; zone=public:表示作用域为公共的; add-
Linux - firewall-cmd 命令添加端口规则不生效排查
最新发布
小工匠
10-27 5659
命令中的区域名称和端口号是正确的。如果你有更多的详细信息或特定的错误消息,可以提供它们以便更好地帮助你解决问题。:有时候,防火墙规则之间可能存在冲突。:在添加或更改规则后,需要重新加载防火墙规则以使更改生效。如果你仍然遇到问题,可能需要检查系统日志以获取更多信息,以便进一步诊断问题。:确保你正在为正确的防火墙区域(zone)添加端口规则。最后,如果你使用的是特定的防火墙区域或有定制需求,确保你的。命令查看所有规则,检查是否存在任何与所需规则冲突的规则。区域,请将区域名称更改为适合你的情况。
CentOS7 firewalld防火墙的基本使用
qq_24604781的博客
06-06 1428
CentOS7 firewalld防火墙的基本使用
linux防火墙firewall命令详解
iot_qizu的博客
08-16 711
firewall-cmd 命令是用于管理防火墙的命令,该命令可以用于 CentOS/RHEL 7 和更高版本中的防火墙管理。在修改防火墙规则时,建议使用 --permanent 选项,以便该规则在系统重启后仍然有效。–list-sources:列出所有已添加的 IP 或 IP 段。–add-source:添加一个 IP 或 IP 段。–add-rich-rule:添加一个更加复杂的规则。–add-service:指定要添加的服务名称。–list-ports:列出所有已添加的端口。
shell中exit退出值讲解
CapejasmineY的博客
08-26 4853
$? #$?是在命令执行完成之后产生的退出值,范围是【0-255】 当$?=0时标示命令执行没有错误输出,这个值可以用exit命令执行 exit 66 #命令方式设置退出值exit为66 例: 【1】 ls #正常查看 echo $? #值为0 【2】 ls /hello #/hello不存在 echo $? #不为0 【3】 vim /mnt/text echo "hello wo...
echo -n -e 的用法以及echo输出字体颜色设定
CapejasmineY的博客
08-21 2072
1、echo输出字符串 echo text #输出text字符 echo "text" #输出双引号(弱引用)中内容 echo 'text' #输出单引号(强引用)中内容 2、显示命令执行结果 echo `date` #反引号 3、echo -n 用法 指不换行输出 echo -n text #不换行 echo text #换行 4、echo -e 用法 用来处理特...
shell脚本-----计算器
CapejasmineY的博客
08-27 2015
要求: 编写脚本 利用以上命令制作一个计算器 要求:执行Calculator.sh后显示 请输入您要操作的数字: 请输入要操作的运算符: 请输入要操作的第二个数字: 执行后显示结果 vim Calculator.sh #!/bin/bash read -p "Please input first nmb1: " NMB1 read -p "Please input operator: " OPER...
Apache服务的详细讲解及应用
CapejasmineY的博客
08-15 1916
一、基础知识 Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。 apache  #使用perfork时间处理器,同步阻塞模型。稳定,可处理动态页面。例:php界面 nginx  #web服务器,使用...
循环语句 (for、while、until)
CapejasmineY的博客
08-25 1692
一、for语句(循环语句) for NUM in 1 2 3 for NUM in {1..3} for NUM in `seq 1 3' for NUM in `seq 1 2 10` #一到十依次增长,步长为二 do done 例:一到十秒一秒变化一次 vim time.sh for SEC in {10..1} do echo -n "AFTER ${S...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值