Linux防火墙FIREWALL

最新推荐文章于 2024-02-19 17:45:54 发布
最新推荐文章于 2024-02-19 17:45:54 发布
阅读量390 收藏
点赞数
分类专栏: 运维 文章标签: firetables 地址转发 地址伪装 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dream_ya/article/details/79417922
版权

基础命令

 firewall-cmd --state                                      ###查看状态
 firewall-cmd --get-active-zones                           ###查看活跃状态
 firewall-cmd --get-default-zone                           ###查看默认的状态
 firewall-cmd --get-zones                                  ###显示所有域(名称)
 firewall-cmd --zone=public --list-all                     ###列出域为public状态的所有域
 firewall-cmd --get-services                               ###防火墙所有支持的服务,在/usr/lib/firewalld/services/下           
 firewall-cmd --list-all-zones                             ###显示所有域的详细信息
 firewall-cmd --set-default-zone=dmz                       ###设置默认状态为dmz

防火墙访问限制

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 systemctl stop iptables
 systemctl start firewalld
 yum install httpd -y
 echo "<h1>172.25.254.125</h1>" >/var/www/html/index.html
 systemctl start httpd 
 firewall-cmd --remove-interface=eth1
 firewall-cmd --add-interface=eth1 --zone=trusted 或 firewall-cmd --change-interface=eht1 --zone=trusted

测试

客户端:192.168.0.225,加入网关:192.168.0.125
由于防火墙的存在,我们通过http访问是无法成功的,因此加入防火墙信任区的eth1(192.168.0.125)可以访问,而eth0(172.25.254.125)就无法访问

 http://172.25.254.125
 http://192.168.0.125

这里写图片描述
服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 systemctl restart firewalld                                   ###由于我们刚写的命令都没加--permanent,没有写入到配置文件中,所以重启就还原配置了
 firewall-cmd --add-source=172.25.254.0/24 --zone=trusted      ###添加网段到信任域
 firewall-cmd --remove-source=172.25.254.0/24  --zone=trusted  ###测试完成我们可以把网段移出信任域

测试

客户端:192.168.0.225,加入网关:192.168.0.125

这里写图片描述

真机:172.25.254.56

这里写图片描述

防火墙端口访问

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 vim /usr/lib/firewalld/services/http.xml                      ###改变防火墙的默认开启端口
  5   <port protocol="tcp" port="8000"/>
 vim /etc/httpd/conf/httpd.conf                                ###改变http端口
  42 Listen 8000
 systemctl restart httpd
 systemctl restart firewalld
 firewall-cmd --add-service=http                               ###添加http到活跃域中

测试

客户端:192.168.0.225,加入网关:192.168.0.125

 http://172.25.254.125:8000

这里写图片描述

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 vim /usr/lib/firewalld/services/http.xml
  5   <port protocol="tcp" port="80"/>
 systemctl restart firewalld

测试

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

  firewall-cmd --add-service=http

客户端:192.168.0.225,加入网关:192.168.0.125
我们开启http服务发现并不能访问,由于我们开启的80端口

这里写图片描述
服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 systemctl restart firewalld
 firewall-cmd --zone=public --add-port=8000/tcp

客户端:192.168.0.225,加入网关:192.168.0.125
从中我们可以发现防火墙开启对应服务的权限就是对应的端口开启,当服务改变端口时,我们开启改变的端口就可以访问服务了

这里写图片描述

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=trusted

测试

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 firewall-cmd --permanent --remove-service=ssh

客户端:192.168.0.225,加入网关:192.168.0.125

 ssh root@172.25.254.125                                     ###我们可以ssh还可以连接

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 firewall-cmd --reload                                       ###重载,客户端ssh不能连接

这里写图片描述

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 firewall-cmd --complete-reload                              ###完全重载,客户端ssh连接断了

单个IP访问控制

 vim /etc/httpd/conf/httpd.conf
  42 Listen 80 
 systemctl restart httpd
 firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -s 192.168.0.225 -p tcp --dport 80 -j REJECT                ###剧界192.168.0.225访问80端口
 firewall-cmd --direct --get-all-rules                                                                            ###查看
 发现192.168.0.225 http无法访问
 firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -s 192.168.0.225 -p tcp --dport 80 -j REJECT             ###删除
 firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 192.168.0.225 -p tcp --dport 80 -j REJECT              ###只有192.168.0.225 http可以访问

地址转发(路由前)

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125

 firewall-cmd --permanent --remove-service=ssh  --zone=trusted                                                  
 firewall-cmd --permanent  --remove-source=172.25.254.0/24 --zone=trusted                                        ###上步和这步为了还原环境
 systemctl restart firewalld                                                                                     ###重启,可以清空之前的临时设置
 firewall-cmd --permanent --add-service=ssh
 firewall-cmd --permanent --zone=public --add-forward port=22:proto=tcp:toport=22:toaddr=172.25.254.56           ###地址转换为172.25.254.56(真机)
 firewall-cmd --permanent --add-masquerade                                                                       ###打开masquerade           
 firewall-cmd  --reload                                                                                          ###重新加载

这里写图片描述

测试

客户端:192.168.0.225,加入网关:192.168.0.125
注意:ssh连接输入的密码为真机(172.25.254.56)的密码

这里写图片描述

我们也可以用w来查看登陆的来源:

这里写图片描述

地址伪装(路由后)

服务器IP:eth0:172.25.254.125,eth1:192.168.0.125
(1)

 firewall-cmd --permanent --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.56               ###删除上面的设置,还原环境
 systemctl restart firewalld

(2)

 firewall-cmd --permanent --remove-masquerade                                                                 ###关闭masquerade
 firewall-cmd --reload
 firewall-cmd --add-rich-rule='rule family=ipv4 masquerade'

测试

我们可以发现上面2种的效果客户端(192.168.0.225)可以ssh真机(172.25.254.56),并且连接的IP为服务器的IP

这里写图片描述

Wielun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
firewalld高级配置,富语言、以及防火墙应用
礁之的博客
12-19 1107
IP伪装、端口转发,富规则,以及防火墙应用
firewall-cmd 使用总结
10-31 4912
firewalld的简要说明:     firewalld 、firewall-cmdfirewall-offline-cmd它们Python脚本,通过定义的在/usr/lib/firewalld下面的xml配置信息,   在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成   iptables规则后,在应用到系统中。      firewalld定义了几个概念:     zone: 它是安全域的范围,就类似于Window上的域网
firewall防火墙配置实战
最新发布
weixin_38924998的博客
02-19 235
centos7防火墙配置大全
Linux系统防火墙限制ssh连接
m0_72838865的博客
08-05 5296
执行下面的命令,允许ip或ip段访问22端口的ssh服务,例如下面命令执行后,将允许192.168.5.0/24这个ip段允许访问ssh服务,注意端口要正确。本文使用自带的防火墙服务firewalld.service来对访问进行控制,主要讲限制ssh连接访问。2.查看目前防火墙生效的策略,如果有关于ssh的就删除。1、先检查防火墙有没有运行,绿色代表已启动了。3.配置允许访问ssh服务的控制策略。再查看目前防火墙生效的策略,4.重载防火墙配置,使其生效。删除访问限制的ssh服务。放行指定服务(系统内)...
Red Hat 7 防火墙配置管理
baidu_17517885的博客
11-17 3163
firewall-cmd --permanent --add-rich-rule 'rule service name=ssh family=ipv4 source address=192.168.1.0/24 accept' 允许访问。 #firewall-cmd --permanent --add-rich-rule 'rule service name=ssh family=ipv4 source address=192.168.2.0/24 reject' 拒绝访问。
使用firewall-cmd限制ssh只能从指定IP段访问
jsntdhf的专栏
06-07 2216
参考文档(写的很详细) https://www.liquidweb.com/kb/an-introduction-to-firewalld/ 实现过程 下面的命令将配置192.168.1.0/24整个网段的IP允许访问服务器的22端口 // 先移除默认开启的没有访问限制的ssh服务 # firewall-cmd --permanent --remove-service=ssh // 添加复杂规则,只允许指定IP段访问22端口 # firewall-cmd --permanent --a...
CentOS7防火墙管理firewall-cmd
袁军伟的博客
03-25 3172
启动CentOS/RHEL 7后,防火墙规则设置由firewalld服务进程默认管理。 一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则. 查看 firewall 状态 : # firewall-cmd --state # eg :running 查看 firewall 版本 : # firewall-cmd --version #eg : 0....
Firewalld 用法解析
weixin_30879169的博客
11-03 668
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
linux防火墙查看状态firewall、iptable
05-22
linux防火墙
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
linux_firewall_netfilter-master.zip_LINUX防火墙_linux 防火墙_linux 防火
09-23
简单linux防火墙程序,基于netfilter
linux-firewall-java.rar_firewall_firewall linux_linux_防火墙_防火墙系统
07-14
基于linux操作系统,使用Java语言编程实现防火墙功能。
服务器启动No boot device available
热门推荐
Wielun
07-30 1万+
问题: 不小心执行了此命令: umount -lf /dev 发现/dev下面的所有东西的都不存在了,在其他服务器用ssh连接报错如下: ssh_exchage_identification: read: Connection reset by peer 逼不得已重启服务器,报错如下: 解决方案: 此结果产生的原因是引导导致的问题,进入BIOS设置引导为硬盘启动即可!!!...
Linux系统恢复
Wielun
02-22 1万+
系统启动过程 通电 bios初始化 grub2磁盘引导阶段 grub2文件引导街道 指定boot所在分区 启动内核,只读挂载/设备 启动init程序进入初始化阶段 启动systemd初始化进程 读取/etc/systemd/中的文件 启动程序 启动登录环境 grub文件引导阶段 由文件/boot/grub2/grub.cfg控制流程 指定/boot分区位置——&amp;amp;amp;amp;amp;amp;amp;...
NFS failed with result ‘dependency‘
Wielun
12-30 8394
NFS failed with result 'dependency' 操作系统: rhel7.4 (1)查看报错日志 ### systemctl restart nfs-server ### tail -200f /var/log/message Dec 30 10:24:14 test systemd: Cannot add dependency job for unit iptables.service, ignoring: Unit is...
Mellanox IB交换机SM HA
Wielun
09-23 7446
官网参考链接:https://community.mellanox.com/s/article/understanding-subnet-manager–sm–high-availability–ha–on-mellanox-infiniband-switches 一、Mellanox SM HA Solution (Mellanox InfiniBand Switches) When ena...
Linux Multipath+iscsi实现多路径配置
Wielun
03-20 5752
一、Multipath介绍 1、Multipath简介 普通的电脑主机都是一个硬盘挂接到一个总线上,这里是一对一的关系。而到了有光纤组成的SAN环境,由于主机和存储通过了光纤交换机连接,这样的话,就构成了多对多的关系。也就是说,主机到存储可以有多条路径可以选择。主机到存储之间的IO由多条路径可以选择。 2、实现功能 故障的切换和恢复 IO流量的负载均衡 磁盘的虚拟化 二、实验环境...
DNS解析及轮询
Wielun
02-14 4631
DNS排错 NOERROR ###查询成功 NXDOMAIN ###DNS服务器提示不存在这样的名称 SERVFAIL ...
linux防火墙端口
08-16
Linux防火墙上打开端口的方法取决于您使用的防火墙工具。以下是几种常用的防火墙工具及其相应的命令: 1. iptables: - 打开单个端口: ``` sudo iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wielun

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值