RHEL防火墙配置

于 2023-12-13 11:23:08 发布
阅读量1k 收藏 24
点赞数 16
文章标签: 服务器 linux 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S483374558/article/details/134946164
版权

目录

1.了解firewalld

2.firewalld的基本配置 

3.配置firewalld的规则 

4.icmp-blocks 

 5.Services

6.ports 

1.了解firewalld

在RHEL8中用的防火墙是firewalld,在 firewalld中又涉及zone的概念。首先来了解一下什么是zone

如在进地铁或高铁时需要安检,安检有不同的入口,如图25-1所示。 

不同的入口严格度不一样,有的入口大包小包都要检测;有的入口只要检测大包即可,背包或单肩包就不用检测了;有的入口是绿色通道,不用检测直接通过。这里不同的安检入口制定了不同的规则
同理,firewalld中的zone我们就理解为如上的安检入口,不同的zone中制定了不同的规则。某网卡要和某一个zone进行关联,如图25-2所示,ens160和 zone2进行关联,这样从网卡ens160进来的数据包都要使用zone2中的过滤规则。

网卡是不能同时和多个 zone关联的,最多只能和一个 zone关联。如果网卡没有和任何zone关联,则使用默认的zone中的规则。

2.firewalld的基本配置 

查看系统中有多少个zone,命令如下。 

[root@RHEL813 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work
[root@RHEL813 ~]#
在这许多的zone中,其中 block拒绝所有的数据包通过,trusted允许所有的数据包通过。所以,如果把网卡和 trusted关联,则来自这张网卡的数据包都能通过

查看系统默认的 zone,命令如下。  

[root@RHEL813 ~]# firewall-cmd --get-default-zone 
public
[root@RHEL813 ~]#

 可以看到,默认的zone是 public。

把默认的zone修改为trusted,命令如下。 

[root@RHEL813 ~]# firewall-cmd --set-default-zone=trusted 
success
[root@RHEL813 ~]# firewall-cmd --get-default-zone 
trusted
[root@RHEL813 ~]#

 再次把默认的zone改成public,命令如下。 

[root@RHEL813 ~]# firewall-cmd --set-default-zone=public 
success
[root@RHEL813 ~]#

 查看网卡ens160和哪个zone关联,命令如下。

[root@RHEL813 ~]# firewall-cmd --get-zone-of-interface=ens160 
public
[root@RHEL813 ~]#

 可以看到,网卡 ens160是和public关联的。

把网卡加入某个 zone,命令如下。  

 firewall‐cmd ‐‐add‐interface=网卡名 ‐‐zone=zone 名

 如果不指定zone名,则是默认的zone。

把ens160和home这个 zone关联,命令如下。 

[root@RHEL813 ~]# firewall-cmd --add-interface=ens160 --zone=home 
Error: ZONE_CONFLICT: 'ens160' already bound to a zone
[root@RHEL813 ~]#
一张网卡只能在一个zone中,这里可以看到ens160已经属于一个zone了,所以发生了冲突。
可以先把网卡从public中删除,然后重新添加,这里把ens160 从 public中删除,命令如下 
[root@RHEL813 ~]# firewall-cmd --remove-interface=ens160 --zone=public 
success
[root@RHEL813 ~]# firewall-cmd --get-zone-of-interface=ens160 
no zone
[root@RHEL813 ~]#
这样ens160就不属于任何zone了,如果不属于任何zone,则使用默认的zone中的规则

然后把 ens160加入 home中,命令如下。 

[root@RHEL813 ~]# firewall-cmd --add-interface=ens160 --zone=home 
success
[root@RHEL813 ~]# firewall-cmd --get-zone-of-interface=ens160 
home
[root@RHEL813 ~]#
以后ens160会使用home中的规则,不再使用public中的规则。先从 zone中删除,然后再添加到其他的zone 中,这个过程可以用一条命令替换,命令如下 
[root@RHEL813 ~]# firewall-cmd --change-interface=ens160 --zone=public 
success
[root@RHEL813 ~]#

 后面的练习均是在public 中做。

3.配置firewalld的规则 

网卡在哪个zone中就使用那个zone 中的规则,如果网卡不属于任何zone,则使用默认的zone中的规则
一个zone中的规则可以通过“firewall-cmd --list-all --zone=zone名”来查看,如果不
指定zone,则是默认的zone

现在查看 public这个 zone中的规则,命令如下。  

[root@RHEL813 ~]# firewall-cmd --list-all --zone=public 
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources: 
  services: cockpit dhcpv6-client mountd nfs rpc-bind ssh
  ports: 123/udp 323/udp 20-21/tcp 10010-10020/tcp
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[root@RHEL813 ~]#
因为默认的zone就是 public,所以这里即使不加--zone=public选项,显示的也是
public这个zone中的规则。

4.icmp-blocks 

平时测试网络通或不通是用ping进行测试的,使用的是 icmp 协议,如图25-3所示。

  

icmp有很多类型的数据包,ping的时候用的是以下两种
(1)echo-request:我ping对方时发出去的包。
(2)echo-reply:对方回应我的包

 一共有多少种类型的icmp包,可以通过“firewall-cmd --get-icmptypes”来查看。

在server 上执行 tcpdump命令进行抓包,命令如下 

[root@RHEL813 ~]# tcpdump -i ens160 icmp
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytes
(此处等待数据包进来)

 在server2 上ping server的IP两次,命令如下。

[root@RHEL8 ~]# ping 192.168.103.17
PING 192.168.103.17 (192.168.103.17) 56(84) bytes of data.
64 bytes from 192.168.103.17: icmp_seq=1 ttl=64 time=0.256 ms
64 bytes from 192.168.103.17: icmp_seq=2 ttl=64 time=0.339 ms
64 bytes from 192.168.103.17: icmp_seq=3 ttl=64 time=0.270 ms

 然后到server上查看,命令如下。

[root@RHEL813 ~]# tcpdump -i ens160 icmp
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytes
23:20:18.013919 IP 192.168.103.14 > RHEL813: ICMP echo request, id 3374, seq 1, length 64
23:20:18.014021 IP RHEL813 > 192.168.103.14: ICMP echo reply, id 3374, seq 1, length 64
23:20:19.051433 IP 192.168.103.14 > RHEL813: ICMP echo request, id 3374, seq 2, length 64
23:20:19.051518 IP RHEL813 > 192.168.103.14: ICMP echo reply, id 3374, seq 2, length 64
23:20:20.075408 IP 192.168.103.14 > RHEL813: ICMP echo request, id 3374, seq 3, length 64
23:20:20.075452 IP RHEL813 > 192.168.103.14: ICMP echo reply, id 3374, seq 3, length 64
23:20:21.099186 IP 192.168.103.14 > RHEL813: ICMP echo request, id 3374, seq 4, length 64

 这里server2往server发送了两个echo-request包,server均回应了echo-reply包。

在server上用防火墙设置拒绝别人发过来的echo-request包,命令如下。 

[root@RHEL813 ~]# firewall-cmd --add-icmp-block=echo-request 
success
[root@RHEL813 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 virbr0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules: 
[root@RHEL813 ~]#
此时,server就不再接收别人发过来的echo-request包了,然后到server2再次 ping,命令如下 
[root@RHEL8 ~]# ping 192.168.103.17
PING 192.168.103.17 (192.168.103.17) 56(84) bytes of data.
From 192.168.103.17 icmp_seq=1 Packet filtered
From 192.168.103.17 icmp_seq=2 Packet filtered
From 192.168.103.17 icmp_seq=3 Packet filtered
From 192.168.103.17 icmp_seq=4 Packet filtered
可以看到,在server2上已经 ping不通server 了。

如果要想继续ping操作,就取消对应的设置,命令如下。  

[root@RHEL813 ~]# firewall-cmd --remove-icmp-block=echo-request 
success
[root@RHEL813 ~]#

 5.Services

两台主机通信必须使用某个协议,例如,浏览器访问网站用的是http,远程登录到Linux服务器用的是ssh 协议等。

默认情况下,public这个 zone只允许很少的服务通过,如下所示。 

[root@RHEL813 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 virbr0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[root@RHEL813 ~]#
可以看到,这里没有允许http通过。如果要查看防火墙是否开放了某个协议,也可以通过如下语法来查看。 
firewall‐cmd ‐‐query‐service=服务名

 要获取系统所支持的所有服务,可以通过如下命令来查看。

firewall‐cmd ‐‐get‐services

 再次验证http是否被firewall允许,命令如下。 

[root@RHEL813 ~]# firewall-cmd --query-service=http
no
[root@RHEL813 ~]#
在server上通过yum install httpd -y安装httpd包,启动服务并写一些测试数据,命令如下 
[root@RHEL813 ~]# systemctl start httpd
[root@RHEL813 ~]# echo "Hello rhce" > /var/www/html/index.html
[root@RHEL813 ~]# cat /var/www/html/index.html 
Hello rhce
[root@RHEL813 ~]#

 然后在宿主机上用浏览器访问server(IP地址是192.168.103.17),如下图所示。

可以看到,现在根本访问不了,这是因为server上的防火墙并不允许http的数据包通过,然后在防火墙中开放http,命令如下。 
[root@RHEL813 ~]# firewall-cmd --add-service=http
success
[root@RHEL813 ~]# firewall-cmd --query-service=http
yes
[root@RHEL813 ~]#

 再次打开浏览器验证,如下图所示

此时可以正常打开了。如果要从防火墙中把此服务删除,则可用--remove-service选项,命令如下。 
[root@RHEL813 ~]# firewall-cmd --remove-service=http
success
[root@RHEL813 ~]# firewall-cmd --query-service=http
no
[root@RHEL813 ~]#

 此时浏览器中是访问不了192.168.103.17的。

6.ports 

前面介绍了对服务进行过滤与放行,这些服务使用的都是标准端口,例如,http对应的是端口80,ssh对应的是端口22等。
但有时服务使用的是一个非标准端口,例如,把服务httpd的端口更改为8080。如果在防火墙中只是放行http这个服务,本质上就是放行了端口80,此时用户肯定是访问不到Web服务的,因为只能通过端口8080才能访问到Web 服务。

先临时关闭SELinux,命令如下。 

[root@RHEL813 ~]# setenforce 0
[root@RHEL813 ~]# getenforce 
Permissive
[root@RHEL813 ~]#
确保SELinux是处在Permissive模式的。

用如下命令把 httpd的端口替换为8080,并重启httpd服务,命令如下。 

[root@RHEL813 ~]sed ‐i '/^Listen/cListen 8080' /etc/httpd/conf/httpd.conf
[root@RHEL813 ~]# systemctl restart httpd
首先在防火墙中放行http,命令如下。 
[root@RHEL813 ~]# firewall-cmd --add-service=http
success
[root@RHEL813 ~]#
在浏览器中访问192.168.103.17:8080,结果下图所示。

 

可以看到,访问失败,因为放行http也只是允许端口80而非端口8080。 

把 http服务从防火墙中删除,命令如下。 

[root@RHEL813 ~]# firewall-cmd --remove-service=http
success
[root@RHEL813 ~]#

 下面开始放行端口,常用的语句如下。

(1) firewall-cmd --query-port=N/协议:查询是否开放了端口N。
(2)firewall-cmd --add-port=N/协议:开放端口N。
(3)firewall-cmd --remove-port=N/协议:删除端口N。这里的协议包括TCP、UDP

 

在防火墙中添加端口,也可以添加一个范围。例如,要在防火墙中开放1000~-2000范围的端口,可以用如下命令。 
[root@RHEL813 ~]# firewall-cmd --add-port=1000-2000/tcp
success
[root@RHEL813 ~]#

 这里“-”表示到的意思。

下面把端口8080放行,命令如下 

[root@RHEL813 ~]# firewall-cmd --add-port=8080/tcp
success
[root@RHEL813 ~]# firewall-cmd --query-port=8080/tcp
yes
[root@RHEL813 ~]#

 然后再次在浏览器中访问,结果如下图所示。

现在已经可以正常访问了 

在防火墙中删除此端口,命令如下 

[root@RHEL813 ~]# firewall-cmd --remove-port=8080/tcp
success
[root@RHEL813 ~]# firewall-cmd --query-port=8080/tcp
no
[root@RHEL813 ~]#

 下面把环境还原,再次开启SELinux,确保状态为Enforcing模式,命令如下。

[root@RHEL813 ~]# setenforce 1
[root@RHEL813 ~]# getenforce 
Enforcing
[root@RHEL813 ~]#

 再次把httpd的端口改为80,并重启服务,命令如下

[root@RHEL813 ~]# sed -i '/^Listen/cListen 80' /etc/httpd/conf/httpd.conf
[root@RHEL813 ~]# systemctl restart httpd.service 
[root@RHEL813 ~]#
IT_社恐刘某
关注
  • 16
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决虚拟机在能ping通网关情况下出现From 192.168.1.10: icmp_seq=1 Redirect Network(New nexthop: 192.168.1.1)问题...
07-11 2663
解决问题的思路: 1.排查路由器的问题 2.进行服务器的排查,先ping 了下路由器(本意是测试下与路由器的连接问题),结果就发现了问题如下: From 192.168.1.10: icmp_seq=1 Redirect Network(New nexthop: 192.168.1.1) From 192.168.1.10: icmp_seq=2 Redirect Network...
Linux系统防火墙firewalld
云计算运维工程师的成长之路
09-17 1046
防火墙是,取代了之前的iptables防火墙,也是工作在,属于。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都(属于内核态)来交现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。和。
每天一个linux命令(54):ping命令
weixin_34378922的博客
03-06 2743
Linux系统的ping命令是常用的网络命令,它通常用来测试与目标主机的连通性,我们经常会说“ping一下某机器,看是不是开着”、不能打开网页时会说“你先ping网关地址192.168.1.1试试”。它通过发送ICMP ECHO_REQUEST数据包到网络主机(send ICMP ECHO_REQUEST to network hosts),并显示响应情况,这样我们就可以根据它输出的信息来确定目标...
【计算机网络】(5)ping的过程分析+icmp协议
qq_51275515的博客
07-20 2655
iptables是一个防火墙工具可以使别人ping不通将输入的icmp请求包全部丢掉允许192.168.0.237pint通显示当前使用的iptables规则清除规则innergetewayprotocol内部网关协议用在一个自治系统內部。
firewalld:禁ping设置
刘元林的博客
01-12 9663
目录 1、rich rule禁ping 2、通过icmp-block-inversion实现禁ping 3、通过icmp-block实现禁ping Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法: 1、rich rule禁ping 通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现! rich rule会完全封堵icmp包,不再允许白名单设置:..
RHEL 7中防火墙配置和使用方法
09-15
下面小编就为大家带来一篇RHEL 7中防火墙配置和使用方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
RHEL防火墙
07-16
关于linux防火墙配置文档。学习Linux有帮助。
firewall防火墙配置_RHEL7.docx
03-14
firewall防火墙配置_RHEL7.docx
firewall防火墙配置_RHEL7.pdf
01-09
firewall防火墙配置_RHEL7.pdf
CentOS6下一次网络ping包没回应的故障分析
weixin_33778544的博客
10-26 986
1)现象描述 今天有同事访问,他在用vmware workstation做测试的时候,使用nat模式,在家里能够ping通www.baidu.com,但是在公司怎么ping都不通,但是访问内网和网关都正常。并且测试机的selinux和iptables都是已经关闭。2)处理过程a、测试到内网其它主机[root@mysql-master~]#ping-c510.10....
解决虚拟机在能ping通网关情况下出现From 192.168.1.10: icmp_seq=1 Redirect Network(New nexthop: 192.168.1.1)问题
wangchaoqi1985的博客
08-06 5172
解决虚拟机在能ping通网关情况下出现From 192.168.1.10: icmp_seq=1 Redirect Network(New nexthop: 192.168.1.1)问题
linux服务篇-Firewalld服务
太极淘的博客
05-18 3858
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问自己的网络。是指设置在不同网
CentOS7服务器的第一道屏障防火墙firewall的使用
Marswill
05-29 3223
防火墙是系统的第一道防线,其作用是防止非法用户的进入,是内部网和外部网(Internet)之间的保护屏障。在我们构建服务器应用的时候首先应该想到的是安全,不能让用户随意的获取服务器的资源甚至系统的用户数据。这种安全事件频频发生我们更应该注重安全,安全也是未来互联网行业必须重视的重中之重。 防火墙应用的现状 如果大家直接购买阿里云的ECS或者腾讯云的云服务器可能很少关注防火墙,DDoS攻击等问题...
From 172.25.254.48 icmp_seq=1 Destination Host Unreachable
a18829898663的博客
05-26 8831
网络问题解决
ping 192.168.x.x icmp_seq=1 Destination Host Unreachable无法ping通宿主机(本机)
hdxlXB的博客
04-26 2155
ping 192.168.x.x icmp_seq=1 Destination Host Unreachable无法ping通宿主机(本机) 第一步:打开VM,编辑,虚拟网络编辑器,恢复默认设置 第二步:修改网络连接为桥接模式 第三步:本机把虚拟网卡网络设置所有改为自定获取IP 最后,重启虚拟机,连接ok ...
linux系统中防火墙的设定
Antonhu的博客
03-10 730
实验环境: 一个双网卡的虚拟机 ip 172.25.254.125 192.168.4.125 一个单网卡的虚拟机 ip 192.168.4.225 真实主机 ip 172.25.254.25 ###1.火墙接受 1.netfilter ###2.关于火墙的域 trusted ##接受所有的网络连接 home ##用于家庭网络,允许接受ssh mdns ipp-client dhcp-client work ##工作网络 ssh ipp-client public #
linux使用ping的通内外网,但是有提示From 192.168.1.3 (192.168.1.3) icmp_seq=1 Redirect Network(New nexthop: gatewa
热门推荐
李在奋斗的博客
10-16 1万+
linux使用ping的通内外网,但是一直提示:From 192.168.1.3 (192.168.1.3) icmp_seq=1 Redirect Network(New nexthop: gatewa [root@localhost ~]# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. From 19...
阿里云服务器域名解析错误,即可ping IP地址但无法直接ping域名
qq_42263115的博客
11-15 3114
阿里云服务器域名解析错误,即可ping IP地址但无法直接ping域名错误预览DNS分析原因1,DNS设置问题2,防火墙与端口开放问题3,DNS缓存服务nscd问题NSCD结果 错误预览 可ping IP地址但无法直接ping域名。初步确定为服务器的域名解析有问题,无法正确的访问DNS服务器,来解析域名。 ping api.weixin.qq.com [root@iZv61ak4bj68kuZ ~]# ping api.weixin.qq.com ping: unknown host api.weixin.
linux系统如何打开防火墙配置
最新发布
06-07
Linux 系统中,可以使用以下命令打开防火墙配置: 1. 对于 CentOS/Fedora/RHEL 系统: 打开防火墙配置命令如下: ``` sudo systemctl start firewalld ``` 停止防火墙命令如下: ``` sudo systemctl stop ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值