用活Firewalld防火墙之direct

最新推荐文章于 2024-06-11 20:43:59 发布
最新推荐文章于 2024-06-11 20:43:59 发布
阅读量1.6k 收藏 2
点赞数
原文链接:http://www.cnblogs.com/bldly1989/p/7215816.html
版权

原文地址:http://www.excelib.com/article/294/show

学生在前面已经给大家介绍过了Firewalld中direct的作用,使用他可以直接使用iptables、ip6tables中的规则进行配置,下面学生就给大家介绍direct的具体用法。

direct结构

我们还是先从配置文件入手,direct的配置文件为/etc/firewalld/direct.xml文件,结构如下

1 <?xml version="1.0" encoding="utf-8"?>
2 <direct>
3    [ <chain ipv="ipv4|ipv6" table="table" chain="chain"/> ]
4    [ <rule ipv="ipv4|ipv6" table="table" chain="chain" priority="priority"> args </rule> ]
5    [ <passthrough ipv="ipv4|ipv6"> args </passthrough> ]
6 </direct>

大家可以看到这里的direct一共有三种节点:chain、rule和passthrough,他们都是可选的,而且都可以出现多次。

属性

  • ipv:这个属性非常简单,表示ip的版本

  • table:chain和rule节点中的table属性就是iptables/ip6tables中的table

  • chain:chain中的chain属性用于指定一个自定义链的名字,注意,不可与已有链重名;rule中的chain属性既可以是内建的(也就是iptables/ip6tables中的五条链),也可以是在direct中自定义的chain

  • priority:优先级,用于设置不同rule的优先级,就像iptables中规则的前后顺序,数字越小优先级越高

  • args:rule和passthrough中的args就是iptables/ip6tables中的一条具体的规则,不过他们可以使用我们自定义的chain。

使用

  因为direct的使用跟iptables/ip6tables非常相似,换句话说,想用好direct需要有iptables/ip6tables的基础,而iptables/ip6tables并不是我们这套教程的重点,所以这里学生就不给大家详细讲解了。

  direct中自定义chain跟iptables/ip6tables中使用-N新建chain类似,创建完之后就可以在规则中使用-j或者-g来使用了。

Firewalld中跟direct相关的命令如下

 1 firewall-cmd [--permanent] --direct --get-all-chains
 2 firewall-cmd [--permanent] --direct --get-chains { ipv4 | ipv6 | eb } table
 3 firewall-cmd [--permanent] --direct --add-chain { ipv4 | ipv6 | eb } table chain
 4 firewall-cmd [--permanent] --direct --remove-chain { ipv4 | ipv6 | eb } table chain
 5 firewall-cmd [--permanent] --direct --query-chain { ipv4 | ipv6 | eb } table chain
 6  
 7 firewall-cmd [--permanent] --direct --get-all-rules
 8 firewall-cmd [--permanent] --direct --get-rules { ipv4 | ipv6 | eb } table chain
 9 firewall-cmd [--permanent] --direct --add-rule { ipv4 | ipv6 | eb } table chain priority args
10 firewall-cmd [--permanent] --direct --remove-rule { ipv4 | ipv6 | eb } table chain priority args
11 firewall-cmd [--permanent] --direct --remove-rules { ipv4 | ipv6 | eb } table chain
12 firewall-cmd [--permanent] --direct --query-rule { ipv4 | ipv6 | eb } table chain priority args
13  
14 firewall-cmd --direct --passthrough { ipv4 | ipv6 | eb } args
15 firewall-cmd --permanent --direct --get-all-passthroughs
16 firewall-cmd --permanent --direct --get-passthroughs { ipv4 | ipv6 | eb }
17 firewall-cmd --permanent --direct --add-passthrough { ipv4 | ipv6 | eb } args
18 firewall-cmd --permanent --direct --remove-passthrough { ipv4 | ipv6 | eb } args
19 firewall-cmd --permanent --direct --query-passthrough { ipv4 | ipv6 | eb } args

下面我们来看个文档(firewalld.direct(5))中提供的例子

1 <?xml version="1.0" encoding="utf-8"?>
2 <direct>
3     <chain ipv="ipv4" table="raw" chain="blacklist"/>
4     <rule ipv="ipv4" table="raw" chain="PREROUTING" priority="0">-s 192.168.1.0/24 -j blacklist</rule>
5     <rule ipv="ipv4" table="raw" chain="PREROUTING" priority="1">-s 192.168.5.0/24 -j blacklist</rule>
6     <rule ipv="ipv4" table="raw" chain="blacklist" priority="0">-m limit --limit 1/min -j LOG --log-prefix "blacklisted: "</rule>
7     <rule ipv="ipv4" table="raw" chain="blacklist" priority="1">-j DROP</rule>
8 </direct>

在这个例子中首先自定义了一个叫blacklist的链,然后将所有来自192.168.1.0/24和192.168.5.0/24的数据包都指向了这个链,最后定义了这个链的规则:首先进行记录,然后drop,记录的方法是使用“blacklisted: ”前缀并且限制1分钟记录一次。

当然,使用相似的方法大家也可以写出来上一节学生给大家留下的那个问题:对ping请求进行限制。

转载于:https://www.cnblogs.com/bldly1989/p/7215816.html

denghe6366
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux中firewallddirect rules和rich rules(转发,伪装)
橙汁Iter的博客
12-11 7133
1.firewall设置中的direct rules 这个指令可以设置火墙的默认设置是接受还是拒绝 firewall-cmd --direct --get-all-rules ##查看所有的direct rules 这里可以举个例子来证明一下 环境:虚拟机安装了httpd服务,但是火墙设置中没有添加httpd服务,所以默认情况下所有的计算机都不能使用虚拟机的htt...
firewalld高级防火墙规则-Direct Rules
Vic的博客
07-12 3886
1.查看防火墙上设置的规则 2.添加高级规则 通过如下测试来理解高级规则: 1)开启httpd服务并且httpd服务不添加进火墙策略 2)添加规则:允许172.25.254.77通过80端口访问172.25.254.110的httpd服务 3) 添加这条规则之后,172.25.254.10可以访问110的http服务 而其他主机不可以访问110的http服务 1)添加规则:只允许172.25.254.77通过22端口访问主机位为110的ssh服务 2)添加上述规则之后, 只有172.25.
firewalld 高级配置、IP 伪装与端口转发、配置IP伪装规则、配置端口转发规则、firewallddirect interface高级接口配置、富语言、富语言语法解释、地址伪装、端口转发
最新发布
jingyu飞鸟
06-11 917
息作为前缀加入。日志等级可以是emerg、alert、crit、或者debug中的一个。可以选择日志的用法,按以下方式限制日志:持续时间的单位为s、m、h、d。s表示秒,m表示分钟,h表示小时,d表示天。最大限定值是1/d(每天最多有一条日志进入)。
linux中防火墙direct文件的作用
01-22 1422
防火墙
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6451
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
firewalld防火墙
一个废人的博客
08-02 768
firewalld防火墙 1.firewalld防火墙入口 防火墙开放端口可使用区域开放 firewall-cmd --permanent --add-port=80/tcp --add-port=8080/tcp 或者是使用netfilter模块 firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -s 172.16.4.0/23 -j ACCEPT 禁止所有流量进入 firewall-cmd --permanent --di
firewalld防火墙详细介绍
A1100886的博客
05-22 4765
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
iptables 与firewalld 防火墙.docx
07-07
iptables 与 firewalld 防火墙配置使用方法 iptables 和 firewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptables 和 firewalld 的配置使用方法,并详细介绍...
firewall
chiliwa0464的博客
06-13 424
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, I...
Linux下轻松理解防火墙的工作原理及相关设置(三)firewalld服务、包括Direct Rules 和Rich Rules (地址伪装和转发)
weixin_45649763的博客
12-04 1273
文章目录firewalld概述firewall和iptables的不同firewalld常用命令firewalld基本操作 firewalld概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配置方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默...
firewalld中理解直接规则和富语言
看清所以看轻
09-03 3289
firewalld 中理解直接规则 firewalld提供了‘direct interface” (直接接口), 它允许管理员手动编写的iptables. ip6tables 和ebtables规则插入firewalld管理的区域中,适用于应用程序,而不是用户。如果对iptables不太熟.不建议使用直接接口,可能会无意中导致防火墙被入侵。firewalld 保持对所增加项目的追踪,所以它还能质...
Linux下firewalld命令管理详解
nigar_的博客
08-12 1126
Linux下firewalld命令管理详解 1.firewalld中的区域管理 阻塞区域(block) 任何传入的网络数据包都将被阻止 工作区域(work) 相信网络上的其他计算机,不会损害你的计算机 家庭区域(home) 相信网络上的其他计算机,不会损害你的计算机 公共区域(public) 不相信网络上的任何计算机,只有选择接受传入的网络连接 隔离区域(DMZ) 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接 信
linux系统中部署防火墙服务
hiro
05-21 4506
防火墙:一.图形化配置防火墙:firewall-config使用命令配置防火墙1. systemctl start firewalld    打开防火墙2. firewall-cmd --state         查看防火墙状态3. firewall-cmd --get-active-zones  查看正在使用的域4. firewall-cmd --get-default-zone   查看默认...
《Linux运维总结:基于Centos系统使用firewalld为docker容器配置防火墙策略》
东城绝神
11-09 8491
学习目标: 提示:这里可以添加学习目标 例如:一周掌握 Java 入门知识 学习内容: 提示:这里可以添加要学的内容 例如: 1、 搭建 Java 开发环境 2、 掌握 Java 基本语法 3、 掌握条件语句 4、 掌握循环语句 学习时间: 提示:这里可以添加计划学习的时间 例如: 1、 周一至周五晚上 7 点—晚上9点 2、 周六上午 9 点-上午 11 点 3、 周日下午 3 点-下午 6 点 学习产出: 提示:这里统计学习计划的总量 例如: 1、 技术笔记 2 遍 2、CSDN 技术博客 3 篇
CentOS7 firewalld XML 定义策略
weixin_34363171的博客
08-25 913
在 CentOS 6 防火墙 iptables 是以 Rules 写在 Chain 建立规则然后给 kernel 去执行,每次重建规则必须先清除原有规则,这会导致既有连线中断。到 CentOS 7 之后改用 firewalld 以 zone 的区域分割观念来建立,并以动态设定方式执行避免中断的问题。请注意:不能同时执行 iptables 跟 firewalld 这会造成冲突错...
Centos7 Firewalld 自定义规则
FUYY'S BLOG
09-27 1463
以下只是针对自定义规则的简单说明和举例,其实也就是帮助文档里面的东西;详细的说明自行参考 firewall-cmd --help 传递的参数 与 iptables, ip6tables 以及 ebtables 一致! Centos7 Firewall 用户操作接口依然调用系统内核的iptables模块来设定规则! 直接选项 –direct需要是直接选项的第一个参数。 将命令传递给防火墙。参数 ...
firewalld防火墙命令
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start firewalld ``` 2. 停止 firewalld 服务: ``` sudo systemctl stop firewalld ``` 3. 设置 firewalld 为开机启动: ``` sudo systemctl enable firewalld ``` 4. 禁止 firewalld 的开机启动: ``` sudo systemctl disable firewalld ``` 5. 查看 firewalld 状态: ``` sudo systemctl status firewalld ``` 6. 开启指定端口: ``` sudo firewall-cmd --zone=public --add-port=<port_number>/tcp --permanent ``` 7. 关闭指定端口: ``` sudo firewall-cmd --zone=public --remove-port=<port_number>/tcp --permanent ``` 8. 重新加载防火墙配置: ``` sudo firewall-cmd --reload ``` 这些是一些基本的 firewalld 命令,你可以根据实际需求进行配置和调整。记得在修改配置后重新加载防火墙才能生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值