firewalld的基础、应用
FIREWALLD原理
概述:
1、支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
2、支持IPv4、IPv6防火 墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口:|
拥有两种配置模式:
1、运行时配置
2、永久配置
Firewalld与Iptables
netfilter
1、位于Linux内核中的包过滤功能
2、称为Linux防火墙的“内核态”
Firewalld/iptables
1、CentOS7默认的管理防火墙规则的工具(Firewalld)
2、称为Linux防火墙的“用户态”
区域介绍
Firewalld 数据处理流程
图形界面Firewalld-config图解
这些子选项包括:
实操验证原理
实验要求
我们需要准备三台虚拟机分别为
20.0.0.140
20.0.0.141
20.0.0.142
其中20.0.0.140作为服务器,20.0.0.141做客户机,20.0.0.142做客户机
要求:1 禁止客户机20.0.0.141ping 服务器 2 至允许 20.0.0.141 主机访问ssh服务3 允许所有主机访问Apache服务
实验
先去20.0.0.140安装一个httpd
[root@localhost ~]# yum -y install httpd
去20.0.0.141与20.0.0.142下分别安装lynx服务
[root@localhost ~]# yum -y install lynx
宿主机打开浏览页访问20.0.0.140
先关闭140主机的防火墙下面我们去关闭20.0.0.140主机的防火墙,同时开启http服务
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl start httpd
分别用20.0.0.141和20.0.0.142使用lynx服务访问一下httpd,再用自己的电脑打开浏览页访问20.0.0.140可以看到:
141与142访问成功了
自己的电脑网页也访问成功了,说明http服务可以正常使用!! 接下来我们开始做三条要求配置如下
简述一下实验过程
首先去141安装一个httpd
去主机141与142分别安装lynx服务,这一步是为了测试http好坏
去虚拟机下操作:
第二步确保140服务器的防火墙开启
输入命令进入控制界面到work下选择sources里的ADD 把20.0.0.141添加进去
到work下选择Icmp Filter 勾选一下echo-request
到work下services 只勾选ssh和http
这里我们操作的是为了让20.0.0.141ping不通20.0.0.140,同时让20.0.0.141可以远程登录20.0.0.140,可以访问http服务
最后去public 只勾选http 其他全部不勾选只开放http服务,其他一律不开通
验证
我们发现直接登录140是登录不了的,而20.0.0.141主机却可以远程登录服务器,20.0.0.142也同样远程登录不了140服务器
验证
141主机不能ping140主机可以ping
验证
都可以访问http