1.firewalld介绍
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接
和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。
它支持以太网桥 , 并有分离运行时间和永久性配置选择,它还具备一个通向服务或者应用程序以直接增加防火墙规则
的接口
系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配
置 firewalld 永久性或非永久性运行时间的改变 : 英语培训费用它依次用iptables 工具与执行数据包筛选的内核中的 Netfilter 通信
2.firewalld和 iptables service
firewalld 和 iptables service 之间最本质的不同是 :
- iptables service 在 /etc/sysconfig/iptables 中储存配 置
- firewalld 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里 .
当 firewalld 在Red Hat Enterprise Linux上安装失败时, /etc/sysconfig/iptables 文件就不存在
3,firewalld域
基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域
1.命令管理firewalld
下载并开启服务关闭iptables
打开图形管理工具
firewalld管理命令
2.修改默认域
安装apache并修改默认发布页
查看默认域:
测试:
修改默认的域为trusted
再次测试:
3.对指定ip或网段的控制
添加一块新的网卡,并且给其配ip
临时添加主机域,重启之后会失效:
永久生效需要添加参数–permanentt
重启之后不消失
从trusted域移除
4.用文件的方式添加
5.修改端口
6.移除防火墙的服务
暂时性移除
永久性移除
测试:
添加direct rules 使62这台主机可以访问80端口 -p 协议 –dport 目的端口 -s 来源 -j 动作
查看direct rules
测试:
在62这台主机可以访问172.25.254.105
其他主机不能访问
当别的主机通过22端口连接105时会转发至205这台主机
测试:
取消地址转发:
在desktop中:
添加两块网卡 分别修改ip为 eth0 172.25.4.105 eth1 172.25.254.105
使内核让两块网卡可以通信
在server中:
修改ip为172.25.4.205 GATEWAY=172.25.4.105
再测试:ping 172.25.254.62 成功