firewalld的富规则以及应用场景

于 2024-03-27 13:46:51 发布
阅读量339 收藏 3
点赞数 3
文章标签: 网络 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chrshh2006/article/details/136303511
版权

 Firewalld的一个重要特性是它支持富规则(rich rules),这使得用户可以更精细地配置和控制网络访问。富规则基于源和目标地址、源和目标端口、协议、网络接口等多种条件进行过滤和转发,提供了更大的灵活性和精确度。

    Rich rules支持多种规则类型,包括filter、nat、mangle和raw,每种规则类型都有不同的应用场景和配置选项。

1. Filter规则: 

Filter规则用于过滤数据包,即决定是否允许或拒绝某个数据包通过防火墙。常用的Filter规则选项包括:

  • --source和--destination:指定源和目标地址

  • --protocol:指定协议

  • --port:指定端口

  • --state:指定连接状态

  • --icmp-type:指定ICMP类型

  • --limit:限制数据包流量的速率

2. Nat规则: 

Nat规则用于网络地址转换和端口转发。常用的Nat规则选项包括:

  • --add-masquerade:添加源地址转换规则

  • --add-forward-port:添加端口转发规则

  • --remove-masquerade:移除源地址转换规则

  • --remove-forward-port:移除端口转发规则

3. Mangle规则: 

Mangle规则用于修改数据包的头部信息,包括TTL、TOS等。常用的Mangle规则选项包括:

  • --set-tos:设置TOS值

  • --set-ttl:设置TTL值

  • --ipt-set-mark:设置数据包标记

4. Raw规则: 

Raw规则用于修改数据包的内容。常用的Raw规则选项包括:

  • --string:匹配特定字符串

  • --hex-string:匹配特定十六进制字符串

  • --ttl:设置数据包TTL

除了上述规则选项,还可以使用条件组合、用户自定义参数等方式进一步扩展和优化富规则的功能。

使用Firewalld和rich rules常见的网络访问控制场景:

  1. 源和目标地址过滤:

  • 允许特定IP地址的访问:firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.10 accept'

  1. 端口过滤:

  • 允许特定端口的访问:firewall-cmd --add-rich-rule='rule family=ipv4 service name=http accept'

  1. 协议过滤:

  • 允许特定协议的访问:firewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp accept'

  1. 源和目标端口过滤:

  • 允许从特定端口访问特定目标端口:firewall-cmd --add-rich-rule='rule family=ipv4 service name=ssh source port=1024-65535 destination port=22 accept'

  1. 高级条件过滤:

  • 限制特定IP地址的访问速率:firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.10 limit value=3/m burst=5 accept'

  1. 网络地址转换和端口转发:

  • 启用源地址转换:firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.10 masquerade'

在使用Firewalld的富规则时,需要注意以下几点:

  • 富规则的优先级高于常规规则,可以更精确地控制数据包流量。

  • 在添加和移除规则时,需要重新加载防火墙配置和重启Firewalld服务。

  • 配置规则时,应谨慎操作,避免误操作导致网络故障。

总而言之,Firewalld与rich rules的结合提供了一种强大的方法来管理和控制网络访问。通过使用rich rules,用户可以根据特定需求定制精确的网络访问策略,并保护系统的安全性和可用性。

业祥运维室
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则
linux防火墙规则,firewalld规则
weixin_36202273的博客
05-12 3784
firewalld规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
firewalld-规则使用内容事项:
wtt234的专栏
01-18 1675
规则的使用事项: **1:**规则可以指定更丰的匹配条件[相对基本规则]…可以指定动作 **2:**首先需要把流量关联到某个zone内或者网卡关联到某个zone内 **3:**编写规则或者规则 示例:规则格式: "-add-rich-rule=‘rule family=ipv4 source address=XX (service name=)(port port=xxx protocol=tcp/udp) accept 或者reject’ 如果协议不是tcp icmp protocol valu
firewalld防火墙详解
weixin_33749131的博客
07-06 632
众所周知,在RHEL7系统中,firewalld防火墙取代了iptables防火墙。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防...
firewalld防火墙详细介绍
A1100886的博客
05-22 3992
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
Linux防火墙-firewalld的rich规则配置
binzhili88的博客
11-20 3576
Linux防火墙-firewalld的rich规则配置
fds:转到FirewallD CLI应用程序
03-19
细末到F irewallD CLI应用程序,d oesn't小号的科军。 什么是fds ? 防火墙管理通常是您在设置服务器时一次执行的任务。但是,如果您要维护像PRO这样的服务器,那么您将监视日志并定期阻止恶意用户的到来。 ...
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
Firewalld http api管理接口
09-17
基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
firewalld 端口、规则
舍人的学习工厂
08-07 6046
​​​​​​​​​​​​章节概述: 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用。 本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全...
firewalld防火墙处理的命令
qq_43677558的博客
11-10 1390
add-interface= 将源自该网卡的所有流量都导向某个指定区域。–list-all-zones 显示所有区域的网卡配置参数、资源、端口以及服务等信息。–set-default-zone= 设置默认的区域,使其永久生效。–remove-service= 设置默认区域不再允许该服务的流量。–add-service= 设置默认区域允许该服务的流量。–add-source= 将源自此IP或子网的流量导向指定的区域。–add-rich-rule=:添加规则族。
Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 4842
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则
防火墙(2)语言规则
m0_57207884的博客
08-13 1815
第三章 firewalld防火墙(二) 一.IP伪装与端口转发 nat技术一般配置在企业边界路由器或防火墙 2.Firewalld支持两种类型的网络地址转换 2.1 IP地址伪装(masquerade) 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 2.2端口转发(Forward-port) 也称为目的地址转换或端口映射 通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口 例:企业内网服务器一般采用私网地址,可以
Linux -- firewalld语言规则
最新发布
2301_77023501的博客
01-11 1449
firewalld语言(rich language)提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewalld 的基本语法中未涵盖的自定义防火墙规则。通过地址伪装,NAT 设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址,当返回的数据包到达时,会将目的地址修改为原 始主机的地址并做路由。(1)为认证报头协议AH使用新的IPv4和IPv6连接。
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 6338
查看防火墙策略。
Linux下轻松理解防火墙的工作原理及相关设置(三)firewalld服务、包括Direct Rules 和Rich Rules (地址伪装和转发)
weixin_45649763的博客
12-04 1214
文章目录firewalld概述firewall和iptables的不同firewalld常用命令firewalld基本操作 firewalld概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配置方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默...
第2篇:Linux防火墙-firewalld的rich规则配置
10-31 5280
第2篇:Linux防火墙-firewalld的rich规则配置 这是承接上一篇的内容 在某些情况下,我们可能需要创建更复杂的规则,而不仅仅是允许区域中的某些端口或服务。例如,我们可能想要创建一条规则来阻止来自特定机器的某种类型的流量。这就是rich规则的意义所在。规则基本上由两部分组成:在第一部分中,我们指定要应用规则必须满足的条件,在第二部分中,指定要执行的操作:accept、drop或reject 实验目的 在下面的实验拓网络拓扑中,防火墙的ens33网卡是分配到external区域,ens3.
firewalld规则
05-26
firewalld是一种防火墙管理工具,它允许用户设置和管理规则以保护计算机系统。规则firewalld中的高级规则,它们可以包括更复杂的条件和操作,例如针对特定IP地址或端口的流量控制。 下面是一个示例规则,该规则允许来自特定IP地址的TCP流量通过端口80: ``` <?xml version="1.0" encoding="utf-8"?> <rule> <family>ipv4</family> <source address="192.168.1.100"/> <protocol value="tcp"/> <destination port="80"/> <accept/> </rule> ``` 这个规则的含义是: - family: 规则适用于IPv4地址 - source address: 源地址为192.168.1.100 - protocol: 协议为TCP - destination port: 目标端口为80 - accept: 接受匹配的流量 要添加规则,请将其保存为名为“myrule.xml”的文件,并使用以下命令将其添加firewalld: ``` sudo firewall-cmd --new-rich-rule-from-file=/path/to/myrule.xml --permanent sudo firewall-cmd --reload ``` 这将使规则永久保存,并重新加载firewalld以使其生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值