前言:
最近整理一些以前的学习笔记。
过去都是存储在本地,此次传到网络留待备用。
防火墙
-
防火墙分类:
- 软件防火墙
- 硬件防火墙
-
防火墙作用:
- 隔离
-
防火墙处理接收到的访问消息规则:
- 匹配即停止:
1.查看客户端请求数据包中,源IP地址,查看自己所有的预设区域,那个预设区域有该源IP地址的策略,则进入哪个预设区域。
2.如果 规则1 不符合,则进入默认的预设安全区域。
- 匹配即停止:
-
防火墙与selinux的关系:
SELinux 防火墙默认区域 操作 permissive(宽松) trusted(信任) 将想要拒绝的源ip放入block/dorp enforcing(严格) block/dorp(阻塞/丢弃) 将想允许的源ip放入trusted
Linux软件防火墙
系统服务 | 管理工具 |
---|---|
firewalld | firewall-cmd;firewall-config(图形) |
iptales |
1.预设安全区域
-
根据所在的网络场所区分,预设保护规则集
- public :仅允许访问本机的sshd等少数几个服务。
- trusted :允许任何访问。
- block :阻塞任何来访请求(明确拒绝,客户端会接收到拒绝反馈)
- drop :丢弃任何来访的数据包(直接丢弃,节省服务器资源,客户端没有反馈)
-
查看防火墙当前默认安全区域
]# firewall-cmd --get-default-zone # firewall-命令 --获取-默认-区域
-
列出public全部区域规则
]# firewall-cmd --zone=pubilc --list-all # firewall-命令 --区域=区域名 --列出-全部
-
修改默认安全区域
]# firewall-cmd --set-default-zone=block # firewall-命令 --设置-默认-区域=区域名
2.防火墙对于服务的控制
-
为区域中添加服务
]# firewall-cmd --zone=public --add-service=http # firewall-命令 --区域=区域名 --添加-服务=服务名
3.防火墙永久配置
- 选项:--permanent(永久)
]# firewall-cmd --permanent --zone=public --add-service={http,ftp} # firewall-cmd --reload # 重新加载防火墙配置,每次配置完防火墙后需要重新加载
4.防火墙对源IP地址的控制
-
将源IP172.25.0.10加入block区域,阻塞源IP的访问。(source:源)
]# firewall-cmd --zone=block --add-source=172.25.0.10 ]# firewall-cmd --reload
-
删除区域中的源IP地址
]# firewall-cmd --zone=block --remove-source=172.25.0.10
5.端口转发
- 端口:以数字、编号 来标识进程或程序
- 常用默认端口:http=80 ; FTP=21
#172.25.0.11:5423 ----> 172.25.0.11(firewalld) ----> 172.25.0.11:80 #将ip的5423端口转发到ip的80端口 ]# firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80 # firewall-命令 --永久 --区域=区域名 --添加-转发-端口=端口=5423:协议(protocol)=tcp:给端口=80 ]# firewall-cmd --reload