【包过滤防火墙——firewalld动态防火墙】的简单使用

已于 2023-09-03 15:15:27 修改
阅读量648 收藏 1
点赞数 1
分类专栏: # Linux 文章标签: 网络 服务器 防火墙 网络安全 web安全
于 2023-09-03 15:13:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhaoSong_/article/details/132650503
版权

文章目录

firewalld不要与iptables混用

firewald与iptables区别

  1. iptables 主要是基于接口,来设置规则,从而判断网络的安全性。firewalld 是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全,与硬件防火墙的设置相类似。
  2. iptables 防火墙类型为静态防火墙。firewalld 防火墙类型为动态防火墙。
  3. 使用 iptables 每一个单独更改意味着清除所有旧有的规则从 /etc/sysconfig/iptables 里读取所有新的规则。使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此 firewalld 可以在运行时间内,改变设置而不丢失现行连接
  4. iptables 在 /etc/sysconfig/iptables 中储存配置。firewalld 将配置储存在 /etc/firewalld/ (优先加载) 和 /usr/lib/ firewalld/ ( 默认的配置文件) 中的各种 XML 文件里。

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表

firewalld九个区域

  • trusted(信任区域):允许所有的数据包。
  • public(公共区域):拒绝流入的流量,除非与流出的流量相关;而如果是与ssh或dhcpv6-client服务相关 流量,则允许通过
  • external(外部区域):拒绝流入的流量,除非与流出的流量相关;而如果与ssh服务相关流量,则运行通过
  • home(家庭区域):拒绝流入的流量,除非与流出的流量相关;如果是与ssh、mdns、amba-client或dhcpv6-client服务相关 流量,则允许通过
  • internal(内部区域):默认值时与homel区域相同。
  • work(工作区域):拒绝流入的流量,除非与流出的流量相关;而如果是与 ssh、dhcpv6-client服务相关 流量,则允许通过
  • dmz(隔离区域也称为非军事区域):允许与ssh 预定义服务匹配的传入流量,其余均拒绝。
  • block(限制区域):拒绝所有传入流量。
  • drop(丢弃区域):丢弃所有传入流量,并且不产生包含ICMP的错误响应。

firewalld配置方法

使用 firewall-cmd 命令行工具
使用 firewall-config 图形工具
编写 /etc/firewalld/ 中的配置文件

firewalld参数和命令

参数作用
–get-default-zone查询默认区域
–set-default-zone=区域名称设置默认区域,使其永久生效
–get-zones显示可用区域
–get-active-zones显示当前区域与网卡的名称
–add-source=ip将源自此的ip或子网的流量导向指定的区域
–remove-source=ip不再将源自此的ip或子网的流量导向指定的区域
–add-interface=网卡 名称将源自此的网卡的流量导向指定的区域
–change-interface=网卡名称将某个网卡与区域进行关联
–list-all显示当前区域的网卡配置参数、资源、端口及服务信息
–list-all-zones显示所有区域的网卡配置参数、资源、端口及服务信息
–add-service=服务名称设置默认区域允许该服务的流量
–add-port=端口/协议设置默认区域允许该端口的流量
–remove-service=服务名称不再设置默认区域允许该服务的流量
–remove-port=端口/协议不再设置默认区域允许该端口的流量
–reload让永久生效的配置规则 立即生效,并覆盖当前的配置规则
–panic-on开启应急模式
–panic-off关闭应急模式
–query-masquerade检查是否允许伪装IP
–add-masquerade允许防火墙伪装IP
–remove-masquerade禁止防火墙伪装IP

firewalld两种模式

运行时模式 Runtime

  • 配置后立即生效,重启后失效

永久生效模式 permanent

  • 当前不生效,重启后生效

firewalld使用

  • 查看当前使用的区域
firewall-cmd --get-default-zone

image-20230902213939584

  • 查看指定网卡所在的区域
firewall-cmd --get-zone-of-interface=ens33

image-20230902214044715

  • 修改当前网卡所在的区域,并永久生效
firewall-cmd --permanent --zone=external --change-interface=ens33

image-20230902214225267

重启服务器,查看网卡所在区域

firewall-cmd --get-zone-of-interface=ens33

image-20230902214340197

  • 显示当前区域的网卡配置参数、资源、端口及服务信息
firewall-cmd --list-all

当前处于public区域

image-20230903121331594

现在防火墙处于开启的状态

image-20230903121417608

只能允许ssh,dhcpv6-client服务的流量通过

假如说开启了80端口,要想访问是访问不了的

  • 给public区域添加http服务
firewall-cmd --zone=public --add-service=http

在这里插入图片描述

这个时候开启http80端口是可以访问的,但是上面的配置在重启后配置 会失效

要想 永久生效必须加上--permanent参数

firewall-cmd --permanent  --zone=public --add-service=http
  • public区域移除http服务

当前立即生效,如果想永久生效需要加--permanent参数

firewall-cmd --zone=public --remove-service=http
  • 在配置规则比较多情况下,让永久生效的配置立即生效,可以使用--reload立即生效
firewall-cmd --reload
  • 添加80端口规则
firewall-cmd --zone=public --permanent --add-port=80/tcp
firewall-cmd --reload

image-20230903123202853

image-20230903123223865

  • 修改ssh服务默认端口

修改ssh默认端口之前需要禁用selinux

vim /etc/selinux/config

image-20230903124508229

vim /etc/ssh/sshd_config

image-20230903123711441

重启sshd服务

systemctl restart sshd.service

ssh服务默认是22端口,要想连接,需要设置防火墙规则运行2222端口通过

设置规则

 firewall-cmd --zone=public --permanent --add-port=2222/tcp
 firewall-cmd --reload

image-20230903124156804

连接2222端口

image-20230903130340155

  • 端口转发
vim /etc/ssh/sshd_config

修改ssh连接端口为8888

在这里插入图片描述

systemctl restart sshd.service

设置规则

firewall-cmd --permanent --zone=public --add-forward-port=port=2222:proto=tcp:toport=8888:toaddr=127.0.0.1
  • --add-forward-port 端口转发
  • port 从哪个端口来
  • proto 哪个协议
  • toport到目的地的哪个端口
  • toaddr到目的地的哪个地址
firewall-cmd --reload

在这里插入图片描述

添加好端口转发规则后,是连不上的,从2222端口转发到8888端口,我们只开放了2222端口,并没有开放8888端口,需要再加一条规则

firewall-cmd --permanent --zone=public --add-port=8888/tcp
firewall-cmd --reload

image-20230903132507065

发现还是连接不上,最后发现不能 用127.0.0.1这个地址

firewall-cmd --permanent --zone=public --add-forward-port=port=2222:proto=tcp:toport=8888:toaddr=192.168.80.131

firewall-cmd  --reload

image-20230903133426268

再次连接就成功了

image-20230903133501868

  • 移除端口转发
firewall-cmd --permanent --zone=public --remove-forward-port=port=2222:proto=tcp:toport=8888:toaddr=127.0.0.1

firewall-cmd --reload

在这里插入图片描述

实验

image-20230903144305909

给Centos添加 一块网卡,划分到LAN区段

image-20230903143048472

手动配置 静态IP

然后ip a,查看新添加的网卡名称为ens36

cd /etc/sysconfig/network-scripts

cp ifcfg-ens33 ifcfg-ens36

vim ifcfg-ens36

修改如下:

image-20230903140628291

重启网卡

systemctl restart network.service

查看IP
在这里插入图片描述

然后再开启一台win7,,网卡划分到同一LAN区段

手动配置IP地址

image-20230903141431739

启动80端口

image-20230903141338991

image-20230903142549013

查看两台是否互通

image-20230903142154034

在这里插入图片描述

这个时候Centos就能够访问Win7的网站了

curl 10.1.1.2

在这里插入图片描述

首先要让Win11能够访问到Centos8080端口

firewall-cmd --permanent --zone=public --add-port=8080/tcp

端口转发,让8080端口,能访问到10.1.1.280端口

firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=10.1.1.2

立即生效防火墙配置

firewall-cmd --reload

允许防火墙伪装IP

firewall-cmd --permanent --add-masquerade

 firewall-cmd --reload

image-20230903145217393

过期的秋刀鱼-
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于ndis的过滤实现firewall
01-21
基于中间层驱动的个人防火墙实现括ndis实现的框架,对网络过滤实现
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
通用线程:动态 iptables 防火墙
08-27 1134
通用线程:动态 iptables 防火墙灵活(有趣)的网络安全性 Daniel Robbins (drobbins@gentoo.org)总裁兼 CEO,Gentoo Technologies, Inc.2001 年 4 月防火墙非常有趣,但在需要对防火墙规则进行快速且复杂的更改时,您会做些什么?很简单。请使用本文中演示的 Daniel Robbins 的动态防火墙脚本。可以使用这些脚
防火墙(firewall)详细介绍(1),连续四年百度网络安全岗必问面试题
2401_83944328的博客
04-14 781
(1)定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。(2)衡量指标:并发连接数指标越大,抗攻击能力也越强。并发连接数就是指防火墙最大能够同时处理的连接会话个数。并发连接数指的是防火墙设备最大能够维护的连接数的数量,这个指标越大,在一段时间内所能够允许同时上网的用户数越多。
使用 firewalld 构建 Linux 动态防火墙
weixin_34232363的博客
08-30 202
firewalld 是新一 Linux 代防火墙工具,它提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具。它也支持允许服务或者应用程序直接添加防火墙规则的接口。在 Linux 历史上已经使用过的防火墙工具括:ipfwadm、ipchains、iptables。本文介绍一下使用 firewalld 构建 Linux 动态防火墙的方法和使用技巧。 前言...
HuaWei ❀ Firewalld 过滤防火墙
无糖可乐没有灵魂
05-13 412
过滤防火墙的基本原理: 通过配置ACL实施数据过滤,实施过滤主要是基于数据中的IP层所承载的上层协议的协议号、源/目的IP地址、源/目的端口号和报文传递的方向等信息,透明防火墙模式下,还可以根据报文的源/目的MAC地址、以太网类型等进行过滤过滤应用在防火墙中,对需要转发的数据,先获取数据头信息,然后和设定的ACL规则进行比较,根据比较的结果决定对数据进行转发或者丢弃; ...
使用iptable实现动态防火墙
派的无理性
12-19 1206
防火墙是一个非常重要的网络安全工具,但是如果在需要对防火墙规则进行快速、复杂的动态修改时你该如何实现呢?如果你使用本文介绍的Daniel Robbins 的动态防火墙脚本,这将是一件非常容易的工作。你可以利用这些脚本来增强你网络安全性和对网络攻击的实时响应性,并基于该脚本进行自己的创造性设计。 理解动态防火墙的脚本能够带来的益处的最好方法就是看它们在实际中的应用。假设我是一个某个ISP的系统
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start...
详解CentOS7使用firewalld打开关闭防火墙与端口
09-15
本篇文章主要介绍了CentOS7使用firewalld打开关闭防火墙与端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
【Linux】动态防火墙实现对攻击IP的动态拦截,一定程度上解决云服务器主机经常被境外IP尝试登录,屏蔽指定地区、国家的IP连接
qq_39165617的博客
02-20 6581
屏蔽指定地区、国家的IP 使用腾讯云/阿里云服务器时,登录时经常会出现There were XX failed login attempts since the last success,并且这个数量经常成百上千,那么该如何预防境外IP的尝试登录和国内IP的尝试登录次数呢? 可以设置一个动态防火墙,自动监控IP所属的国家地区等,并记录登录时间、失败次数,将非正常访问的IP地址添加到防火墙
基于数据过滤防火墙设计与实现
06-02
防火墙网络安全领域的一个重要方面。而过滤防火墙防火墙技术的一种。很 多高级的防火墙都是过滤防火墙的功能增强或扩展。过滤防火墙主要通过对ip数据 的源地址,目的地址,源端口,目的端口和TCP标志的信息和过滤规则进行比较来 实现数据过滤过滤方式是一种通用、廉价和有效的安全手段.它不是针对各个 具体的网络服务采取特殊的处理方式,适用于所有网络服务。所以,在节约成本并保证 安全的前提下设计一个简单有效的过滤防火墙,可以较好的满足目前的需求。
CENTOS7管理之动态防火墙FIREWALLD
kepa520的博客
12-17 969
自 fedora18 开始,firewalld 已经成为默认的防火墙管理组件被集成到系统中,用以取代 iptables service 服务,而基于 fedora18 开发的RHEL7,以及其一脉相承的CentOS7 也都使用 firewalld 作为默认的防火墙管理组件,无论是对于日常使用还是企业应用来讲这样的变更都或多或少的为使用者带来了影响。在浏览完本文前我们先不急着下结论到底这样的变化是好
使用FirewallD构建动态防火墙(9)
yyj1781572的博客
02-13 673
Firewalld 是新一代Linux防火墙工具,它提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具。它也支持允许服务或者应用程序直接添加防火墙规则的接口。本实验介绍使用 firewalld 构建 Linux 动态防火墙的方法和使用技巧。
12.9 动态防火墙服务--firewalld
qq_41627390的博客
12-20 1182
1.介绍 1)对于一个服务有哪些访问控制策略? 一、server:服务本身的访问控制策略 二、perm(权限):文件的读写执行权限的设定 三、sexlinux:内核防火墙 虽然无法读取数据,但是数据还是进入到系统了 防火墙:是让数据进不来 ,是一个表格,是一个访问策略 两种火墙管理方式,两种服务:一种为iptables(静态) , 6以后有firewalld动态)。最终操作的是iptabl...
过滤防火墙——iptables静态防火墙】的简单使用_centos 配置过滤防火墙(1)
最新发布
mm627mm的博客
04-16 545
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!其实刚开始在没有配置规则的使用,查看规则链的时候就是空的。对于从来没有接触过网络安全的同学,我们帮你准备了详细的。系统的,流量属于流入的流量,通过。
防火墙与状态防火墙详解】
jsj18700625723的博客
03-28 4681
通常,防火墙可以保护内部/私有局域网免受外部攻击,并防止重要数据泄露。在没有防火墙的情况下,路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制,而防火墙不仅能够监控流量,还能够阻止未经授权的流量。
简单实现数据嗅探系统与防火墙系统(Python3)
热门推荐
江左盟的博客
04-24 2万+
题目要求: 1、设计一个信息系统,系统必须通过客户端录入账号 2、系统内至少含3个以上账号 3、系统服务器可设定禁止登录的IP地址和账号信息 4、如果客户端从禁止的IP地址登录或使用禁止的账号则不允许登录,并断开连接 思路:实现客户端远程登录服务端用到socket模块 数据嗅探系...
Linux防火墙——Firewalld防火墙基础
不够优秀才会那么依赖其他人,不够成熟才会信任所有耀眼的外衣,不够强大才会浪费时光去迎合他们的玩闹!
03-29 457
目录标题firewalld概述firewalld与iptables的区别三级目录 firewalld概述 firewalld防火墙是CentOS7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,数据过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现过滤防火墙功能 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态
linux防火墙firewalld配置
10-10
在Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值