网络端口安全--------firewalld
1.概述
1)动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以
分配对一个网络及其相关链接和界面一定程度的信任。
*它具备对 IP v4 和 IP v6 防火墙设置的支持。
*它支持以太网桥,并有分离运行时间和永久性配置选择。
*它还具备一个向服务或者应用程序以直接增加防火墙规则的接口。
端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables
工具与执行数据包筛选的内核中的 Netfilter通信。
• iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在
/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.
/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规
则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现
行连接。
4)基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域。
NetworkManager通知firewalld一个接口归属某个区域,新加入的接口被分配到默认区域
网络区名称 默认配置
trusted( 信任 ) 可接受所有的网络连接
home( 家庭 ) 用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6-client服务连接
internal( 内部 ) 用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接
work( 工作 ) 用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接
public( 公共 ) 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
external( 外部 ) 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
dmz( 非军事区 ) 仅接受ssh服务接连
block( 限制 ) 拒绝所有网络连接
drop( 丢弃 ) 任何接收的网络数据包都被丢弃,没有任何回复
2.管理防护墙
1)启动防火墙/使用firewalld服务,同时关掉iptables服务
systemctl start firewalld
systemctl enable firewalld
systemctl stop iptables
systemctl mask iptables.service
2)使用命令行接口配置firewalld
查看firewalld的状态:
firewall-cmd --state
查看当前活动的区域,并附带一个目前分配给它们的接口列表:
irewall-cmd --get-active-zones
查看默认区域:
firewall-cmd --get-default-zone
查看所有可用区域:
firewall-cmd --get-zones
列出指定域的所有设置:
firewall-cmd --zone=public --list-all
列出所有预设服务:
firewall-cmd --get-services
(这样将列出 /usr/lib/firewalld/services/ 中的协议名称)
firewall-cmd --set-default-zone=public
firewall-cmd --add-interface=eth0 --zone=trusted
firewall-cmd --add-service=http --zone=public
firewall-cmd --list-ports
firewall-cmd --add-port=53/tcp
firewall-cmd --list-ports
firewall-cmd --list-all
firewall-cmd --remove-service=ssh
firewall-cmd --reload
测试:
在真机中ssh连接虚拟机,ls
firewall-cmd --complete-reload
整段卡住。
firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.42 -p tcp --dport 22 -j ACCEPT
除了42外,其他可ssh连接
firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
每分钟允许2个新连接同时访问ftp服务
3.
转发:
firewall-cmd --add-service=ssh
firewall-cmd --add-masquerade
firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:tpport=22:toaddr=172.25.254.1
[root@localhost ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0 eth1
sources:
services: dhcpv6-client http ssh
ports:
masquerade: yes
forward-ports: port=22:proto=tcp:toport=:toaddr=172.25.254.1
icmp-blocks:
rich rules:
测试:
在真机ssh连接100,跳到1主机
伪装:
firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=172.25.254.100masquerade'
[root@localhost ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0 eth1
sources:
services: dhcpv6-client http ssh
ports:
masquerade: yes
forward-ports: port=22:proto=tcp:toport=:toaddr=172.25.254.1
icmp-blocks:
rich rules:
rule family="ipv4" source address="172.25.254.100" masquerade
在另外一台单网卡主机上配置网络:
GATEWAY=172.25.0.11
重启网络服务
测试:
另外一台单网卡主机可ssh连接到100