firewalld火墙管理工具

最新推荐文章于 2024-02-05 14:20:34 发布
最新推荐文章于 2024-02-05 14:20:34 发布
阅读量524 收藏
点赞数
分类专栏: Linux rhce 文章标签: firewalld服务 firewalld高级规则 firewalld SNAT源地址伪装 firewalld DNAT 目的端口转发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llllyr/article/details/99705499
版权
Linux 同时被 2 个专栏收录
37 篇文章 0 订阅
订阅专栏
rhce
6 篇文章 0 订阅
订阅专栏

文章目录

1.firewalld基本知识

  • 1.1 firewalld概述
    动态防火墙后台程序firewalld 提供了一个动态管理的防火墙,用以支持网络“zones”,以分配对一个网络及其相关链接和界面一定程度的信任。具备对ipv4和ipv6防火墙设置的支持、以太网桥的支持,并有分离运行时间和永久性配置选择;还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。
    系统提供了图像化的配置工具firewall-config、system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld永久性或非永久性运行时间的改变;其依次用iptables工具与执行数据宝筛选的内核中的netfilter通信
    在这里插入图片描述

  • 火墙的三张表
    mangle表 input链 preouting链 forward链 postouting链 output链
    filter表   input链 forward链 output链(通过本机内核的数据)
    nat表    input链 preouting链 postouting链 output链

  • firewall域

网络区名称默认配置
trusted(信任)接受所有的网络连接
public(公共)firewalld默认使用域,仅接受ssh或dhcpv6-client服务连接
block(限制)拒绝所有网路连接,有回复提示
drop(丢弃)任何接收的网络数据包都被丢弃,无回复
home(家庭)用于家庭网络,接受ssh,mdns,ipp-client,samba-client或dhcpv6-client服务连接
internal(内部)用于内部网络,接受ssh,mdns,ipp-client,samba-client或dhcpv6-client服务连接
work(工作)用于工作区,接受ssh、ip-client或dhcp6-client服务连接
external(外部)出去的ipv4网络连接通过此区域伪装和转发,接受ssh服务
dmz(非军事区)接受ssh服务连接

2.firewalld防火墙的管理

2.1 图形化firewalld管理:firewall-confige

  • Zones模块中高量显示的域为当前默认域
    Servers可显示或添加域中相应的连接服务
    Ports可显示或添加相应的连接端口
    Interfaces可显示或修改网卡服务
    Sources 可显示或修改服务来源
    在这里插入图片描述

在这里插入图片描述

  • Services模块显示所有的服务,Ports and Protocols 显示服务对应的端口信息
    在这里插入图片描述
  • Options模块
    Reload Firewalld 重新加载火墙
    Change Zones of Connections 改变网卡的服务域
    Change Default Zone 修改默认使用域
    在这里插入图片描述
  • Configration 选择修改临时性或永久性
    在这里插入图片描述

2.2 firewalld-cmd管理火墙

查看火墙

firewall-cmd --state查看火墙状态
firewall-cmd --list-all列出火墙服务
firewall-cmd --list-all-zones列出火墙所有域及域的服务
firewall-cmd --get-zones查看所有域
firewall-cmd --get-active-zones查看工作的域
firewall-cmd --get-default-zone查看默认的域
firewall-cmd --zone=public --list-all查看指定域的火墙服务
firewall-cmd --get-services查看所有火墙服务
firewall-cmd --list-ports查看火墙所有端口
firewall-cmd --direct --get-all-rules查看火墙所有规则

设置火墙

firewall-cmd --set-default-zone=trusted设置火墙默认域
firewall-cmd --permanent --zone=xxx --add-source=x.x.x.x/24为特定主机授予特权
firewall-cmd --zone=xxx --remove-source=x.x.x.x/24删除特定主机特权
firewall-cmd --zone=xxx --add-interface=eth0为域添加网卡服务
firewall-cmd --zone=xxx --change-interface=eth0改变域的网卡服务
firewall-cmd --zone=xxx --remove-interface=eth0删除域的网卡服务

注意:对域中网卡的管理不用加permanent参数,否则命令无效

  • 为trusted域添加指定ip,该指定ip能满足trusted域中所有连接
    在这里插入图片描述
    即使默认域中没有开启ssh连接,指定的主机依旧可以连接ssh服务
    在这里插入图片描述
    在这里插入图片描述
    其他主机不能实现连接
    在这里插入图片描述
  • 为trusted添加网卡服务
    在这里插入图片描述
    在这里插入图片描述
    通过eth1网卡进入火墙的可以连接服务
    在这里插入图片描述
    通过eth0网卡进来的只能连接public域中的服务,此时public域没有ssh服务,ssh服务连接会失败
    在这里插入图片描述

重加载火墙

firewall-cmd --reload只是刷新火墙状态,不会断开连接
firewall-cmd --complete-reload刷新火墙状态,并断开客户端所有的连接,然后再去连接符合要求的连接
  • 在服务端有ssh服务时,连接服务端ssh服务;删除服务端ssh服务,并重加载
    当reload重加载后,客户端不会断开连接
    在这里插入图片描述
    在这里插入图片描述
    当complete-reload时,客户端连接断开
    在这里插入图片描述
    在这里插入图片描述

2.3火墙的高级管理

(1) 火墙的插件/usr/lib/firewalld/services
用firewall-cmd为火墙添加一个火墙中不存在的服务iscsi,会出现报错
在这里插入图片描述
在火墙插件中添加一个服务文件

cd /usr/lib/firewalld
cp -p http.xml iscsi.xml

vim iscsi.xml 修改服务文件
在这里插入图片描述
sysmctl restart firewalld 重启服务
firewall-cmd --get-services 发现火墙服务中多了一个我们用文件添加的服务iscsi
此时用firewall-cmd --permanent --add-service=iscsi 添加成功
在这里插入图片描述
(2)火墙的服务管理 /etc/firerwalld/zones
使用firewall-cmd --permanent --zone=public --add-port=3260/tcp 添加成功后
cat /etc/firewalld/zones/public.xml 查看public域文件,会看到添加的端口信息也加载到文件中
在这里插入图片描述
在这里插入图片描述

(3)firewalld 高级规则
通过“rich language”语法,可以用比直接接口方式更易理解的方法建立复杂的防火墙规则;能永久保留设置;高级语法使用关键词值,是iptables工具的抽象表示。

1) 对特定主机限定特定服务的高级规则

添加firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s x.x.x.x -p tcp --dport 22 -j REJECT|ACCEPT|DROP

  • 设定规则:拒绝172.25.254.1主机连接ssh服务
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

删除firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s x.x.x.x -p tcp --dport 22 -j REJECT|ACCEPT|DROP
在这里插入图片描述

参数含义
–permanent永久性
–direct
filter INPUTfilter表中INPUT链
1链表中的第一行规则
-ssource 数据来源
-p协议
–dport服务端口
-j动作行为

DROP 与 REJECT区别: DROP丢弃 没有提示信息;REJECT拒绝 有提示信息

2)火墙的伪装——路由之后SNAT(以ssh服务为例)

准备:为服务端添加双网卡,配置eth0和eth1的ip分别为172.25.254.201、192.168.0.201;为客户端更改ip为 192.268.0.101
服务端

a.火墙伪装功能设定

firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
firewwall-cmd --list-all

b.内核的路由功能设定

vim /etc/sysctl.conf
sysctl -p
sysctl -a | grep ip_forward

客户端
设置网关:

vim /etc/sysconfig/ifcfg-eth0
GATEWAY=192.168.0.201

通过火墙的伪装功能,使192网段的客户端主机能与172网段的主机通信,并且与172网段主机通信身份为服务端ip:172.25.254.201

3)火墙的端口转发——路由之前DNAT(以ssh服务为例)

服务端

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.27.254.X
firewall-cmd --reload
firewwall-cmd --list-all

在192.168.0.101客户端连接服务端网段的任意主机都会发生跳转,跳转至服务端设定的目的主机端口;这里连接服务器网段的主机都会发生跳转的原因是因为没有限定通过哪个ip的端口,只要进入该服务器的ip都会发生跳转

在这里插入图片描述

lllyr(ฅ>ω<*ฅ)
关注
专栏目录
RHEL7系统的防火墙管理工具之一——firewalld
qq_40628106的博客
11-19 438
一、搭建firwalld的管理环境:        ## 首先搭建好yum源(本地或者网络都OK)        ## 搭建防火墙服务firewalld [root@desktop-foundation ~]# yum install firewalld.noarch -y [root@desktop-foundation ~]# yum install firewall-config...
Firewalld——字符管理工具
weixin_45683092的博客
12-20 180
Firewalld
firewalld--系统的动态防火墙管理器
qq_45364825的博客
01-11 203
如何使用firewalld服务的防火墙配置管理工具
Linux防火墙管理工具firewalld
A soul tortured by desire
05-08 432
centos7默认的防火墙firewalld,代替了之前的iptables firewalld服务引入了一个信任级别的概念来管理与之相关联的连接与接口。采用firewall-cmd(命令行)或firewall-config(xwindows/gui)来动态的管理kernel netfilter的临时或永久的接口规则,并实时生效而无需重启服务。 查看firewall版本:firewall-cm...
火墙策略之firewalld管理工具
weixin_46138661的博客
04-06 943
文章目录一.firewalld的开启二.关于firewalld的域三.关于firewalld的设定原理及数据存储四. firewalld的管理命令5. firewalld高级规则6.firewalld中的NAT 一.firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables sys...
firewalld火墙策略
FYRXP的博客
03-26 212
一. 火墙介绍 1.netfilter 2.iptables 3.iptables|firewalld 二. 火墙管理工具切换 在rhel8中默认使用的是firewalld 1. firewalld----->iptables 安装iptables dnf install iptables-services -y 停止firewalld systemctl stop fire...
基于linux的FIREWALLD火墙管理(部分)
xbw_linux123的博客
06-06 195
Firewalld 概述 1.动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙 , 用以支持网络 “ zones” , 以分配对一个网络及其相关链接 和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设 置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选 择。它还具备一个通向服务或者应用程序以直接增加防火墙规则 的接口 系统提供了图像化的配置工具 f...
firewalld火墙策略(一)
xy_的博客
03-21 563
1.什么是防火墙火墙是指设置在不同网络,或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 防火墙(Firewall),是一种硬体设备或软体系统,主要架设在内部网路和外部网路间,为了防止外界恶意程式对内部系统的破坏,或是阻止内部重要资讯向外流出,有双向监督的功能。藉由防火墙管理员的设定,...
iptables+firewalld火墙策略优化
tst8023ryq的博客
12-14 462
iptables+firewalld火墙策略优化1.火墙介绍2.火墙管理工具切换3. iptables 的使用4.火墙默认策略firewalld1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld高级规则6.firewalld中的NAT 1.火墙介绍 2.火墙管理工具切换 3. iptables 的使用 4.火墙默认策略 firewalld 1 firewalld的开启 2.关于firewalld
Firewalld:管理 Linux 防火墙的更简单方法
wuli1024的博客
02-05 1165
你还可以创建自定义区域,例如,创建一个名为custom如果需要使用未在预定义服务中列出的服务,你可以创建自定义服务。首先,在目录下创建一个新的服务文件,例如。
itamae-plugin-resource-firewalld:Itamae资源插件来管理firewalld
05-05
板前::插件::资源::防火墙 资源插件,用于管理 。 用法 service 'firewalld' do action [ :start , :enable ] end firewalld_zone 'external' do interfaces %w( enp0s8 enp0s9 ) services %w( ssh ) masquerade true notifies :restart , 'service[firewalld]' end firewalld_zone 'public' do interfaces %w( enp0s3 ) services %w( ssh https mysql ) ports %w( 8080/tcp 4243/udp ) default_zone true notifies :rest
Linux 之 Firewalld
2301_76858832的博客
06-11 602
firewalld火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
Firewalld火墙(包含firewall-config图形工具和firewall-cmd命令行工具如何使用)
chengu04的博客
07-29 2306
包含运行时配置/永久配置 关联网卡到指定区域 改变默认区域 连接状态 “区域”选项卡 “服务”选项卡
电脑技巧:防火墙设置简化小工具Firewall App Blocker介绍
IT技术分享社区
03-07 2335
Windows火墙设置界面看起来比较复杂,而且比较繁琐,需要设置入站、出站之类的,针对普通用户设置起来还是比较麻烦的。Firewall App Blocker,一款Sordum上的防火墙工具,支持批量添加程序、文件夹和进程至Windows Defender防火墙,可以帮我们大大简化防火墙的使用步骤。防火墙是保障我们上网安全必备的工具是网络安全的重中之重,如果使用第三方防火墙设置过于麻烦,而且占用不少的系统资源,通常我们会启用Windows自带的防火墙
火墙firewalld
weixin_30708329的博客
09-02 413
本文转载,以备查阅,仅仅在阅读时根据自己的一些理解稍作修改。原文地址:http://www.excelib.com/article/286/show 你真的理解防火墙吗 “防火墙”到底是什么 “防火墙”在我国最早是一种建筑,他又叫“封火墙”,其主要作用就是防火,因为那时候的建筑都是以木质结构为主,而且又非常密集,所以一个住宅着火就很容易传播到邻近的住宅,最初的防火墙就是在这种木质结构上涂上灰...
iptables防火墙之SNAT、DNATfirewalld火墙
2303_79207100的博客
10-07 1049
SNAT源地址转换DNAT目的地址转换核心:通过iptables进行地址转换SNAT内网→外网:改变源地址DNAT外网→内网:改变目的地址(重要)linux系统能抓包吗?可以。使用linux系统自带的抓包工具tcpdump来抓包抓包方式:1、指定抓包的数量tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个2、动态抓包。
路由器的基本知识(1)
qq_68163788的博客
06-05 600
一、静态路由的扩展配置## 标题 1.负载均衡:当路由器访问同一个目标具有多余开销相似路径时,可以让设备将流量拆分后,延着多条路径同时传输—叠加带宽。 2.手工汇总:当路由器访问多个连续子网(可以汇总的网段)时,若均通过相同的下一跳,可以将这些网段进行总和计算之后仅仅编辑到达汇总网段的静态路由即可;这样做可以大大减少路由器中路由表的数量(加快转发效率) 3.路由黑洞:在汇总地址中若包含了网络内实际不存在的网段时,将可能到流量有去无回,浪费链路资源;良好的地址划分和精确的汇总计算可以尽量的减少黑洞出现。...
离线安装ambari 更换spark版本 集成carbondate文档
weixin_44742962的博客
05-27 2885
1、Linux系统环境配置 1.1 配置IP地址 vim /etc/sysconfig/network-script/ifcfg-eth0 “DEVICE”:网卡对应的设备别名,如ifcfg-eth0第一块网卡; “HWADDR”:网卡物理地址; “BOOTPROTO”:网卡获得ip地址的方式,Static(静态 ip地址)dhcp(通过dhcp协议获取ip)bootip通过boot...
33. linux中firewalld火墙的地址伪装与地址转发
qq_43687755的博客
08-19 1581
Lesson33 linux中防火墙iptables的使用 文章目录1. 防火墙的相关概念 1. 防火墙的相关概念
firewalld图形化管理
最新发布
08-03
Firewalld是Linux系统中常用的一种防火墙服务,它是一个动态、用户友好的包筛选防火墙工具,特别注重易用性和策略一致性。firewalld提供了一个图形化的管理界面,让用户可以通过直观的方式配置防火墙规则,无需深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值