Firewall

最新推荐文章于 2024-10-13 17:55:01 发布
最新推荐文章于 2024-10-13 17:55:01 发布
阅读量2.1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PrIn3e/article/details/78698512
版权

Firewall  防火墙

firewall-ifconfig  防火墙web管理工具
通过在web界面可以对防火墙进行设置
firewall-ifconfig


配置分为两种runtime和permanent
 runtime表示当前运行生效,当前设置的参数,当系统重启之后就会失效
 permanent表示永久生效,设置的参数永久生效,但是在完成设置之后,必须重新载入防火墙,
zone表示选择的区域
选择区域之后,选择这个区域的服务,可以添加协议和端口


给http服务添加端口

semanage port -a -t http_port_t -p tcp 6666
emanage port -l | grep http 就可以看见刚才添加的端口

firewall-cmd --state
 查看防火墙状态
firewall-cmd --get-active-zones
 查看active域
firewall-cmd --get-default-zone
 查看默认的域
firewall-cmd --get-zones
 查看所有的域
firewall-cmd --zone=public --list-all
 查看public域的所有信息


firewall-cmd --get-services
 查看支持的服务服务
firewall-cmd --list-all-zones
 查看所有的域的信息


firewall-cmd --set-default-zone=dmz
 设置默认的域为dmz域


firewall-cmd --list-all   查看firewall允许的服务
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client ssh
  ports: 80/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:


如果不允许http服务,则另外的主机不能通过http访问本台主机
http://172.252.54.225  则会显示连接失败

firewall-cmd --get-services   查看firewall支持的服务
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

添加http服务
临时添加http服务
firewall-cmd --add-service=http

firewall-cmd --list-all


当重启firewalld,这个就会失效
systemctl restart firewalld

firewall-cmd --list-all


添加http服务,这个是永久添加,添加完之后必须重新载入firewall
firewall-cmd --permanent --add-service=http   
firewall-cmd --reload

当firewalld服务重启之后,添加的协议依然生效

firewall-cmd --permanent --add-source=172.25.254.67 --zone=trusted

将172.25.254.67加入tursted域,这个地址在访问本机是遵循的时trusted域的规则,而其他IP访问本机则遵循默认域的规则

改变http默认端口
vim /etc/httpd/conf/httpd.com
  LISTEN 8080



然后再通过另外一台主机,访问这台主机的8080端口还是看不到界面,因为firewall没有允许8080端口,需要添加
添加8080端口
firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --reload
永久添加8080端口,并且添加完之后重新载入firewall
通过firewall-cmd --list-all查看刚才的配置


public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http ssh
  ports: 8080/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

另外一台主机要用http访问此主机,必须添加8080端口

firewall 三张表
filter  input output forward  
nat  input output snat(postrouting 路由后) dnat(prerouting 路由前)
mangle
firewall-cmd --direct --get-all-rules  查看firewall设置的规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1  ! -s 172.25.254.67 -p tcp --dport 22 -j REJECT    除了172.25.254.67可以访问,其他的地址执行的动作都是拒绝


添加规则,ipv4 在filter表里,INPUT数据流 第一条
! -s 172.25.254.67 表示除了源地址是172.25.254.67
-p tcp 协议为tcp
--dport 22 通过22端口
-j REJECT 表示执行的动作是拒绝

目的地址转换 访问本机其实最终是访问到172.25.254.67
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.67
 ssh 172.25.254.225 其实是远程到了172.25.254.25这台主机


源地址转换  将所有地址转换成172.25.254.225
firewall-cmd --add-rich-rule='rule famliy=ipv4 source address=172.25.254.225 masquerade' 


 加完这条策略之后,不同网段的地址可以通信
 server 双网卡主机有两个地址段的地址,172.25.254.225,192.168.1.100


 desktop 192.168.1.200 

在没添加策略和网关之前不同网段是不能通信的

网关配置为192.168.1.100


 真机 172.25.254.67
 策略加完之后,当192.168.1.200ping172.25.254.67时,192.168.1.200会伪装成172.25.254.225和172.25.254.67通信,以达到不同网段可以互相访问的目的

iptables
netstate  查看网络链接状态
安装服务
yum install iptables-services.x86_64 -y
systemctl stop firewalld
systemctl mask firewalld
systectl start iptables-services
systectl enable iptables-services

查看iptables策略表   iptables -nL


修改iptables策略命令
iptables -A 增加策略
 iptables -A INPUT -j REJECT
 增加一条策略,执行的动作是REJECT


iptables -I 插入策略
 iptables -I INPUT 3 -p tcp --dport 80 -j ACCEPT
 增加一条策略,插入到第三条,动作为允许tcp协议的80端口访问


iptables -R 修改策略
 iptables -R INPUT 3 -p tcp --dport 8080 -j ACCEPT
 修改第三条策略,动作为允许tcp协议的8080端口访问


iptables -P 修改默认区域规则
 iptables -R INPUT DROP
 将默认区域规则改为DROP丢弃
iptables -N 新建链接
iptables -E 修改链接名称
iptables -X 删除链接
-j 后可以跟的执行动作有 REJECT,DROP,ACCEPT,SNAT,DNAT

SNAT  源地址转换
 iptables -t nat -A POSTROUTING -j SNAT --to-soure 172.25.254.225  
 将源地址转换为172.25.254.225,然后不同网段可以互相通信


DNAT  目的地址转换
 iptables -t nat -A PREROUTING -j DNAT --to-dest 192.168.1.200
 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.1.200
 目的地址转换,其他主机通过http访问本台主机,其他看到的时192.168.1.100默认发布目录下的内容


PrIn3e
关注
personal firewall
01-24
控制程序对互联网的访问,日志记录,数据报文匹配截获报警。
Firewalld 用法解析
weixin_30879169的博客
11-03 717
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
管理网络安全firewall
m0_52592128的博客
12-12 2919
网络安全 Firewalld:动态防火墙管理器。   我们都在生活中听说过防火防盗,那身为互联网家庭的成员,我们需要防什么呢?对了,没错,就是防火,好的,首先让我们看看系统防火到底要防什么?我们都知道钱很重要,所以咱们防盗贼,于是我们就把门锁上,一系列措施整起来,同理,防火防火,顾名思义就是防止外面的妖火,那对于一个互联网的社会,流量就很重要了,因此我们防的就是流量,想象一下,别人随意进出你家,搜取你的信息,太吓人了吧。   在这里,我们需要理解一些关于区域的内容了。我觉得哈,区域就是分工合作的划分地盘,每
[Web安全 网络安全]-Web应用防火墙(WAF)
最新发布
刘鑫磊
10-13 872
Web应用防火墙(WAF)
firewall-cmd小记
zxx2096的博客
08-20 487
//为指定ip添加端口的访问权限 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="8080" accept" firewall-cmd --reload firewall-cmd --list-all //为指定ip删除端口的访问权限 firewall-cmd --permanent --remove-rich-rule="ru
firewalld防火墙详解
weixin_33749131的博客
07-06 659
众所周知,在RHEL7系统中,firewalld防火墙取代了iptables防火墙。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防...
Linux 防火墙:netfilter、iptables、firewalld、firewall-cmd、ufw
热门推荐
freeking101的博客
04-19 1万+
防火墙 (Firewall) 也称防护墙,是隔离两个网络的一种 隔离技术,它是位于 "内部网络" 与 "外部网络" 之间的一项信息安全的防护系统。依照特定的规则来控制 "进入、出去"的网络流量(数据包),即拦截和放行数据包。拦截有害的包,放行正常的包。防火墙可以比喻为"通信警察",让正常的包通过,有害的包都过滤掉,最大限度地阻止黑客来访问你的网络。
Sophos XG Firewall SFOS 18.0.rar
11-02
目录 网盘文件,永久连接 SW-18.0.0 GA-Build379-379,iso V-18.0.0_GA-Build379. HYV-379 zip V-18.0.0 GA-Build379. VMW-379zIp VI-18.0._GA-Build379.XEN-379 zip VI-18.0.0 GA-Build379.KVM-379z
WindowsFirewall.diagcab
07-26
当然,如果遇到有 WindowsFirewall.diagcab 无法解决的问题,可以点击查看详细信息来获取相关问题的报告,再到搜索引擎去查找或者咨询 IT Pro。 win10系统如何重置防火墙设置? 如果排查工具没有发现任何错误,可以将...
firewall防火墙
11-01
firewall防火墙配置与使用, CentOS7使用firewalld打开关闭防火墙与端口
firewallcmd命令.txt
09-16
3、firewalld防火墙有两个管理工具,命令行工具:firewall-cmd,图型化的管理工具:firewall-config 。也可以直接编辑XML文件(官方不建议使用些方法)。 4、frewall-cmd创建防火墙规则分基本规则与富规则(Rich ...
firewall命令
zhao_xinhu的博客
04-03 995
查看防火墙状态 firewall-cmd --state 停止防火墙 systemctl stop firewalld.service 启动防火墙 systemctl start firewalld.service 开放8080端口(所有IP) firewall-cmd --zone=public --add-port=8085/tcp --permanent 指定IP与端口 firewa..................
使用firewall-cmd仅允许某个ip访问主机指定端口
ugo的博客
01-15 2648
当请求到达主机,firewald先判断默认zone规则,默认规则走完后遍历系统内其他zone区,如果其他zone设置规则,继续执行其他所有规则。针对上面的实现可以理解为:所有外来访问默认走public规则,即不允许访问25480端口;sources: 10.0.0.1 ##可以是ip,mac,但不能是ip段,遇到ip段如何设置欢迎知道的评论回复。firewall-cmd是个很棒的工具,使用通俗易懂的语法,让你轻松制定出复杂的防火墙规则,对于日常网络管理很有帮助。
linux 防火墙firewall-cmd 详解
探索者的博客
03-08 1498
firewall-cmd 命令是用于管理防火墙的命令,该命令可以用于 CentOS/RHEL 7 和更高版本中的防火墙管理。
Linux--firewalld防火墙服务使用
一颗红小豆
05-29 843
firewalld 防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。 动态防火墙后台程序firewalld提...
Linux---使用命令行接口配置firewalld的管理
Argued_D的博客
06-07 1076
Firewalld 概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则 的接口系统提供了图像化的配置工具 firewal...
RHEL/CentOS的firewalld防火墙服务配置
Stestack的博客
12-08 473
此外我们还可以自定义服务及其关联的端口集合,自定义服务xml文件的写法可以去抄预定义服务xml文件的作业;此时就可以像使用预定义服务一样,去使用自定义服务了(自定义服务的服务名即为xml文件的文件名,例如demo1.xml文件对应的服务名即为demo1)每个区域使用独立的防火墙规则。这样只需添加相应的服务到防火墙规则中,即可打开该服务关联的所有端口。预定义服务的xml文件位于 /usr/lib/firewalld/services/ 下,可通过查看相应服务的xml文件确认其所关联的端口。
Linux系统中的Firewall防火墙
jay_youth的博客
06-04 3141
一.什么是防火墙 防火墙也称防护墙,是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。 二.firewalld所有的域 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、 samba-client、ssh服务 internal(内部):用于内部...
Linux巩固篇008-Linux 防火墙
HongXianDR的博客
10-26 529
简问简答请简述防火墙策略规则中DROP 和REJECT 的不同之处答:DROP 的动作是丢包,不响应;REJECT 是拒绝请求,同时向发送方回送拒绝信息如何把iptables 服务的INPUT 规则链默认策略设置为DROP答:执行命令iptables -P INPUT DROP禁止源自192.168.10.0/24 网段的流量访问本机的sshd 服务(22 端口)
linux firewall
09-15
Linux firewall是一种用于保护Linux系统安全的防火墙软件。它可以通过过滤网络流量来阻止潜在的入侵,并允许合法的网络通信。为了配置Linux firewall防火墙,您可以使用一些常用的命令。 首先,您可以使用命令`systemctl start firewalld`来开启firewall防火墙。这个命令会启动firewalld服务,使防火墙开始工作。 接下来,您可以使用其他一些命令来配置防火墙规则。例如,您可以使用`firewall-cmd`命令添加规则来允许或阻止特定的网络流量。比如,`firewall-cmd --zone=public --add-port=80/tcp --permanent`可以允许在公共区域(public zone)的80端口的TCP流量。 另外,您还可以使用`firewall-cmd --reload`命令重新加载防火墙规则,以使新的规则生效。这个命令在修改了防火墙规则后很有用。 除了命令行方式,还可以通过配置文件`/etc/firewalld`来进行更复杂的防火墙配置。您可以编辑这个文件来添加、删除或修改防火墙规则。 总的来说,使用这些命令和配置文件,您可以灵活地配置Linux firewall防火墙以满足您的安全需求。请确保在对防火墙进行任何更改之前,您已经了解了防火墙的基本知识,并且谨慎操作。希望这些信息对您有帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值