2.8 Linux的火墙策略优化

最新推荐文章于 2023-09-20 14:34:10 发布
最新推荐文章于 2023-09-20 14:34:10 发布
阅读量205 收藏
点赞数
分类专栏: RH135 Linux系统管理及网络服务 运维入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lunarlibrary/article/details/114270971
版权

Linux的火墙策略优化

实验准备

  • 需要3台机器用作实验
  • 1台IP处于172.25.254网段
  • 1台IP处于192.168.4网段
  • 1台具有双网卡的设备同时拥有2个网段的IP

基础讲解

Linux系统中可以通过两个软件对iptables进行控制,分别为firewalldiptables.但同时只能用其中一个进行管理.RHEL7之前系统中没有firewalld,RHEL8后系统中默认使用firewalld.

对两者后进行比较的话,iptables偏向与表格修改,而firewalld的操作更类似Windows.

切换管理软件

systemctl disable --now firewalld
systemcel mask firewalld
dnf search iptables-services
dnf install iptables-services -y
systemctl enable --now iptables.service 

##iptables的火墙状态查看命令
iptables -nL

其中target表示动作
	port表示协议
	source表示来源
	destination表示目的地

Firewalld的操作

关于火墙的域

名称 含义
trusted 接受所有的网络连接
home 用于家庭网络,默认允许ssh,mdns,dhcp-client,ipp-client
work 用于工作网络,默认允许ssh和ipp-client
public 用于公共网络,默认允许ssh和dhcp-client
dmz 军用网络,仅允许ssh
block 拒绝所有
drop 丢弃所有数据并不进行任何回复
internal 内部网络,默认允许ssh mdns ipp-client samba-client dhcp-client
external ipv4网络地址伪装转发,默认允许sshd 
##关于firewalld的配置
/etc/firewalld			##火墙配置文件
/lib/firewalld  		##火墙模块目录

##对于域的操作

##查看所有的域
firewall-cmd --list-all-zones
##查看活跃的域
firewall-cmd --get-default-active-zones
##修改默认域为全信任
firewall-cmd --set-default-zone=trusted

firewall-cmd --state
running		##运行状态
not running	##非运行状态

firewall-cmd --list-all							##显示默认状态的火墙策略
firewall-cmd --list-all --zone=trusted			##显示域为trusted的火墙策略
firewall-cmd --get-default-zone					##显示默认的域
firewall-cmd --set-default-zone=trusted			##设置默认的域为trusted
firewall-cmd --add-service=http					##临时添加http到策略,不需要重启即刻生效
												##缺点是重启服务后策略消失
firewall-cmd --permanent --add-service=http		##永久添加策略
firewall-cmd --permanent --add-port=8080/tcp	##永久添加8080/tcp端口到火墙策略中

/lib/firewalld/services中采用xml格式存储了火墙中关于服务的策略,直接修改文件也能起到修改策略的效果.

IP的规则设定

##不允许172.25.254网段连接的设置方法
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block

##查看block域,设置成功
[root@Node1 ~]# firewall-cmd --list-all --zone=block 
block (active)
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 172.25.254.0/24
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
  
##删除IP限制策略的方法
[root@Node1 ~]# firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block 
success
[root@Node1 ~]# firewall-cmd --reload 
success
[root@Node1 ~]# firewall-cmd --list-all --zone=block 
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

分别对不同网卡设置不同规则

在同一台主机上拥有多块网卡时,可以分别对单个网卡设备设置对应的域.举个实际应用的例子就是两块网卡分别对应内部网络和外部网络,内部网络使用trusted域,而外部网络使用public域.

##删除网卡所在域策略
firewall-cmd --permanent --remove-inteface=网卡设备 --zone=目前所在域
##添加网卡到目标域策略
firewall-cmd --permanent --add-inteface=网卡设备 --zone=目标域
##修改网卡所在域策略
firewall-cmd --permanent --change-inteface=网卡设备 --zone=目标域

##删除和添加网卡所在域的方法
[root@Node1 ~]# firewall-cmd --list-all
public (active)
  target: default
  icm
最低0.47元/天 解锁文章
洛冰音
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux--firewalld防火墙字符管理工具(防火墙维护和状态查询命令,重载配置,区域操作,服务操作,端口操作,阻塞ICMP操作命令详解与总结)
CN_TangZheng的博客
12-09 982
firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则 - firewalld防火墙规则分为两种状态: 一种是runtime,指正在运行生效的状态,在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者再重启系统后这些规则将会失效 - 另一种是permanent,指永久生效的状态,在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效
linux火墙
weixin_45725244的博客
12-09 474
Firewalld简介 1、支持网络区域所定义的网络连接以及接口安全等管理 2、支持IPv4、ipv6防火墙设置及以太网桥 3、支持服务或应用程式直接添加防火墙接口 4、拥有两种配置模式 1运行时配置 实时生效,并持续至firewalld重新启动或重新加载配置 不中断现有连接 不能修改服务配置 2永久配置 不立即生效,除非firewalld重新启动或加载配置 中断现有链接 可以修改服务配置 Fir...
Linux火墙-----iptables与firewalld
qq_42761527的博客
12-09 660
一.netfilter、iptables、firewalld的概念 netfilter netfilter位于Linux内核中的包过滤功能体系,称为Linux火墙的“内核态”。 netfilter的主要工作模块位于内核,在网络层的五个位置(prerouting,posrouting,input,output,forware)注册了一些函数,用来抓取函数包 把数据包的信息拿出来匹配各个链位...
第7周第5课:iptables、firewalld
weixin_34043301的博客
01-26 128
2019独角兽企业重金招聘Python工程师标准>>> ...
2017-12-1 7周5次课 linux火墙--netfilter
wagskun的博客
12-03 381
保存和备份iptables 规则 [root@wagskun ~]# iptables-save > /tmp/ipt.txt [root@wagskun ~]# cat /tmp/ipt.txt # Generated by iptables-save v1.4.21 on Sun Dec 3 09:03:14 2017 *mangle :PREROUTING ACCEPT [1013:93
服务器安全狗linux版(64位) v2.8.21076
10-14
《服务器安全狗Linux版(64位) v2.8.21076:全方位保护服务器的安全防线》 在信息化社会中,服务器安全的重要性不言而喻。针对Linux系统的服务器,"服务器安全狗Linux版(64位) v2.8.21076"是一款强大的安全管理软件...
Redis2.8配置文件中文详解
09-10
在Redis 2.8版本中,配置文件是管理Redis实例的关键文件,它定义了服务器的行为、持久化策略、网络设置以及安全性等多个方面。本文将详细解读Redis 2.8.9配置文件的各项中文解释。 首先,`daemonize` 参数决定了...
NetBox2.8安装程序
11-04
2.8版本中,NetBox继续优化了用户体验,增加了新特性,并修复了一些已知问题。这个"NetBox2.8安装程序"是专为2.8版本设计的安装包,旨在帮助用户在他们的系统上快速、简便地部署NetBox环境,以适应课程教学或实际...
手持终端Linux实时性机制与分类调度策略研究.pdf
09-06
总结来说,本研究为手持终端的Linux系统提供了增强实时性的解决方案,通过引入实时机制和优化调度策略,改善了系统的响应时间,提升了整体性能,特别是对于那些对实时性要求极高的应用。这对于开发面向手持终端的...
服务器安全狗linux版(64位) v2.8.17991.gz
07-17
服务器安全狗linux v2.8.16709更新日志 Apache/Nginx全支持,云端操作更便捷 云端体检联动,扫描修复更便捷 1.新增云端体检功能,支持云端手动扫描,修复 2.优化版本性能 3.优化版本安装目录 全面优化CPU占用...
Linux——防火墙(二)
ML908的博客
12-09 694
文章目录Firewalld防火墙的配置一、Firewalld防火墙的配置方法运行时配置永久配置二、Firewall-config图形工具配置运行时配置/永久配置重新加载防火墙关联网卡到指定区域修改默认区域连接状态“区域”选项卡“服务”选项卡案例三、Firewall-cmd字符界面配置1、Firewalld防火墙维护命令2、Firewalld防火墙重载配置的命令重新加载Firewalld的配置3、查...
日常运维常用命令工具3-firewalld、任务计划、systemd等
weixin_33943347的博客
06-09 575
为什么80%的码农都做不了架构师?>>> ...
使用Iptables与Firewalld防火墙
最新发布
2301_77284388的博客
09-20 1003
火墙管理工具 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1)虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。就像家里安装的防盗门一样,目的是保护亲人和财产安全。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动了。
学习Linux的第七天(安全管理)
ly2635的博客
10-18 1217
查看firewalld服务当前所使用的位置、网卡在服务中的区域、firewalld服务的当前默认区域设置为public、启动/关闭firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用)
Squid代理服务器
大虾好吃吗
06-22 5026
Squid是Linux系统中最常用的一款开源代理服务软件,可以很好地实现HTTP和FTP,以及DNS查询、SSL等应用的缓存代理,功能十分强大。squid的功能用于web代理,缓存网页对象,减少重复请求。
linux 添加内网路由器,开启 CentOS 7 路由功能实现内网机器连接公网
weixin_42357916的博客
05-03 1003
很多时候我们线上服务器并没有那么多的公网IP可用,有些机器也不需要连接公网,在有需要的时候可以用一台有公网IP的内网机器做路由来连接公网,在CentOS7下实现非常简单。一、假设A机器有公网IP地址可以连接公网, 需要在A机器开启转发vi/etc/sysctl.conf添加:net.ipv4.ip_forward=1或者直接echo"net.ipv4.ip_forward=1"&gt...
centos 7配置firewall防火墙的地址伪装和端口转发实例
weixin_34087301的博客
06-17 645
环境如下图所示,网关服务器和网站服务器都采用centos 7操作系统,网关服务器安装3块千兆网卡,分别连接Internet、企业内网、网站服务器。 网关服务器连接互联网卡ens33配置为公网IP地址,分配到firewall的external区域;连接内网网卡ens37地址为192.168.1.1,分配到firewall的trusted区域;连接服务器网卡ens38地址为192.168.2.1,...
第十章Linux日常运维管理(下)预习笔记
你的坚持,终将美好!
08-28 4277
10.19 iptables规则备份和恢复 备份iptables规则,名字自定义 iptables-save > /tmp/ipt.txt 恢复备份的规则  iptables-restore < /tmp/ipt.txt 10.20 firewalld的9个zone 关闭iptables  systemctl disable iptables.servic...
C++优化指南:Windows, Linux, Mac平台性能提升策略
"Agner Fog 的《Optimizing Software in C++》是一本专注于在Windows、Linux和Mac平台上的软件优化指南,由丹麦技术大学的Agner Fog撰写。该书版权自2004年至2017年,最后一次更新日期为2017年5月2日。书中涵盖了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值