防火墙

1.firewall

/etc/firewalld/zones/
重新加载会生效的域的配置文件
/usr/lib/firewalld/zones
所有的域,包括生效的和没有生效的
/usr/lib/firewalld/services
可以直接加上去的服务

permanent:永久生效,需要重启/重新加载
runtime:改了就生效,重启会失效

block(限制):拒绝所有的网络连接
dmz(非军事区):仅接受ssh服务连接
drop(丢弃):任何接受的网络数据包都被丢弃,没有任何回复
external (外部):出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务
home (家庭):用于家庭网络,仅接受ssh,mdns.ipp-client.samba-client或dhcpv6-client服务连接
internal (内部):用于内部网络,仅接受ssh,mdns.ipp-client.samba-client,dhcpv6-client服务连接
public (公共):在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
trusted (信任):可接受所有连接
work(工作):用于工作区。仅接受ssh,ipp-client或dhcpv6-client服务连接

firewall-config 图形界面管理
这里写图片描述
由于选择了Runtime,所以改了就生效

atch -n 1 firewall-cmd –list-all
监控命令
这里写图片描述
不加–permenent的都是临时的,重启会失效
加了的要重启才会生效

firewall-cmd –state
查看防火墙状态
这里写图片描述
firewall-cmd –get-active-zones
查看防火墙管理的设备
这里写图片描述
firewall-cmd –get-default-zone
查看生效的域
这里写图片描述
firewall-cmd –get-active-zones
查看网络设备所在的域
firewall-cmd –get-zones
查看所有的域
这里写图片描述
firewall-cmd –zone=public –list-all
查看public域中生效的策略
这里写图片描述
firewall-cmd –get-services
防火墙可以直接配置的服务
这里写图片描述
firewall-cmd –list-all-zones
查看所有的域的所有生效策略
这里写图片描述
这里写图片描述
firewall-cmd –set-default-zone=dmz
将域改为dmz
这里写图片描述
将eth0和eht1放到不同的域上,两个域的策略不同,会使浏览器访问不同ip的时候,有不同的结果
!注意 eht0和eth1必须在不同的网段
这里写图片描述
测试:
这里写图片描述
这里写图片描述

firewall-cmd –add-service=ftp
firewall-cmd –remove-service=ftp
添加删除服务(默认的域)
这里写图片描述
firewall-cmd –add-port=8080/tcp
firewall-cmd –remove-port=8080/tcp
添加/删除接口
这里写图片描述
firewall-cmd –add-interface=eth0
firewall-cmd –remove-interface=eth0
添加/删除设备

firewall-cmd –add-source=172.25.254.11
添加信任主机,允许11主机上的所有数据包通过
这里写图片描述
若后面加–zone=zmd
就是给zmd 这个域添加以上设备/接口/服务

firewall-cmd –permanent –add-source=172.25.254.11 –zone=block
拉黑11主机
firewall-cmd –reload
已经连的不会断开
firewall-cmd –complete-reload
已经连的也会断开
这里写图片描述
firewall-cmd –permanent –remove–source=172.25.254.11 –zone=block
从黑名单里把11号主机搞出来
这里写图片描述

只允许250连接ftp时,先开放所有的所有人
firewall-cmd –direct –add-rule ipv4 filter INPUT 2 ! -s 172.25.254.7 -p tcp –dport 21 -j REJECT
这里写图片描述
删除的时候,把add改为remove

当11网段的主机连接254网段的使用ssh时;只需要将11网段的主机的网关改为双网卡主机上的11网段的主机,就可以连接254网段的所有主机,此时双网卡机器类似于一个路由器
masquerade必须是yes

这里写图片描述

这里写图片描述

iptables

iptables -F
刷空iptables策略
service iptables save
保存状态

iptables -nL 查看默认链表的策略
这里写图片描述

iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
ESTABLISHED,RELATED 都直接通过
iptables -A INPUT -m state –state NEW -i lo -j ACCEPT
回环地址进来的都通过
iptables -A INPUT -m state –state NEW -p tcp –dport 22 -j ACCEPT
22号端口的tcp协议的通过
iptables -A INPUT -m state –state NEW -p tcp –dport 80 -j ACCEPT
80端口进来的通过
iptables -A INPUT -j REJECT
其他的都不通过
iptables -I INPUT 2 -S 172.25.254.49 -p tcp –dport 23 -j ACCEPT
172.25.254.49的23号端口进来的,同意,而且这条写在第二个
这里写图片描述

这里写图片描述

从本机出去地址会被伪装成路由器的172.25.49.111
这里写图片描述

这里写图片描述
D表示删除

iptables -t nat -A PREROUTING -i eth0 -d 172.25.254.111 -j DNAT –to-dest 172.25.49.111
真机172.25.254.7的信息从172.25.254.107进来 会自动跳转到172.25.7.107

这里写图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值