Firewalld 防火墙

最新推荐文章于 2024-07-04 17:55:47 发布
最新推荐文章于 2024-07-04 17:55:47 发布
阅读量323 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luxunlx123/article/details/99614608
版权

############启用firewalld##########
yum install -y firewalld firewall-config #安装防火墙和图形界面
systemctl start firewalld #启动防火墙
systemctl enable firewalld #开机自启动防火墙
systemctl disable firewalld #开机不自启防火墙
systemctl stop firewalld #关闭防火墙

##########使用命令行接口配置防火墙################
firewall-config #显示图形界面
firewall-cmd --state #显示防火墙状态
firewall-cmd --get-active-zones #显示正在运行
firewall-cmd --get-default-zone #显示当前默认环境
firewall-cmd --get-zones #显示所有存在的环境
firewall-cmd --zone=public --list-all #显示public环境里的信息
firewall-cmd --get-services #显示所有的服务
firewall-cmd --list-all-zones #显示所有环境中的信息
firewall-cmd --set-default-zone=dmz #更改dmz为默认域

##############防火墙更改IP 网卡#################################
在虚拟机desktop中进行测试:
真机:172.25.254.51
dektop中两块网卡:
eth0: 172.25.254.151
eth1: 192.168.0.151
server中一块网卡:
eth0: 192.168.0.251

前提:启动httpd服务

firewall-cmd --add(添加)-source=172.25.254.55 --zone=trusted #此时真机可以访问虚拟机desktop
在这里插入图片描述
firewall-cmd --remove(移除)-source=172.25.254.55 --zone=trusted #此时真机不可以访问虚拟机desktop
在这里插入图片描述
firewall-cmd --remove-interface=eth1 --zone=public #移除虚拟网卡eth1
firewall-cmd --list-all #查看eth1已经被移除
在这里插入图片描述
在这里插入图片描述
firewall-cmd --add-interface=eth1 --zone=trusted
#将eth1放到trusted域中 此时虚拟机server可以访问desktop而真机不能呢个访问desktop 访问方式是真机:172.25.254.151 server中输入 :192.168.0.151
在这里插入图片描述
在这里插入图片描述
firewall-cmd --list-all --zone=trusted #查看eth1已经添加到trusted中
firewall-cmd --change(另一种用来改变网卡位置的方法)-interface=eth1 --zone=public #将eth1添加到public中
firewall-cmd --list-all #查看添加成功

在这里插入图片描述

###############################################################

火墙访问的数据:cd /usr/lib/firewalld
火墙访问的策略:cd /etc/firewalld/zones

–complete reload:刷新火墙状态,会断开连接
–reload:刷新火墙状态

–permanent
等同于 cd /usr/lib/firewalld/services 中写 服务名.xml文件

firewall-cmd --list-services #显示所允许的服务
firewall-cmd --get-services #显示所有服务

cd /usr/lib/firewalld #防火墙访问的数据
ls
icmptypes services(服务文件配置) zones(域)

可以书写.xml文件此过程等同于 --permanent --add-service=xxxx 添加允许服务

例:
vim iscsi
{

<?xml version="1.0" encoding="utf-8"?> ISCSI iscsi service. #对sicsi的描述 }

等同于 firewall-cmd --permanent --add-service=iscsi
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
firewall-cmd --list-ports #显示允许的端口
firewall-cmd --add-port=8080/tcp #添加允许的端口
firewall-cmd --list-ports
在这里插入图片描述

firewall-cmd --permanent --remove-service=ssh #删除ssh服务
firewall-cmd --reload #刷新防火墙服务
firewall-cmd --list-all #查看是否已经删除服务

真机ssh连接desktop后依旧可以操作
在这里插入图片描述
firewall-cmd --complete-reload

此时已经连接desktop的真机,不能进行操作
在这里插入图片描述

##############################

filter
nat
mangle
在这里插入图片描述

#实验环境
desktop(拥有两块网卡,且不为同一网段):

eth0:172.25.254.251 eth1:192.168.0.251

server(一块网卡,和desktop同网段):

eth1:192.168.0.151

真机(仅和desktop有一个同网段的网卡):

ip:172.25.254.55

#############################

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.55 -p tcp --dport 80 -j REJECT

#拒绝250用户访问http

测试:
浏览器中输入:172.25.254.251 #拒绝访问
在这里插入图片描述

######################################

firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
firewall-cmd --list-all

masquerade:yes #将masquerade的状态改为yes

desktop(双网卡):
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.55 #通过ssh(22端口)连接desktop的用户转连接向真机(ip:172.25.254.55)

firewall-cmd --list-all #显示是否添加成功

#当其他ip通过ssh连接desktop时访问的是真机
在这里插入图片描述
########################################

server:
vim /etc/sysconfig/network-scripts/ifcfig-eth0
{
GATEWAY=192.168.0.151 #设置网关
}
systemctl restart network
route -n #查看是否设置成功

ping 172.25.254.55 #可以ping通
在这里插入图片描述
########################################################
-t table(表名)
-j 添加一个动作
-m 状态
-A 添加(默认最后面)
-I 插入(默认最前面)
-D 删除
-R 替换
-F 刷新
-N 链名 #新建一个链
-E 重命名
-X 删除一个链名
-P 修改默认规则(ACCEPT(允许),DOPT(丢弃),REJECT(拒绝)),但是不能修改 REJECT为其他规则
-Z 将new全部转化为related,established状态
iptables-save > /etc/sysconfig/iptables #保存
systemctl stop firewalld #关闭防火墙
systemctl disable firewalld #开机不自启动防火墙
systemctl mask firewalld #锁定防火墙
yum install iptables -y #下载 iptables
systemctl start iptables #启动 iptables
systemctl enble iptables #开机自启动 iptables

iptables -nL在这里插入图片描述

iptables -t filter -nL #查看 filter 内容
在这里插入图片描述
iptables -t nat -nL #查看 nat 内容在这里插入图片描述

iptables -t filter -A -p tcp --dport 22 -j ACCEPT(允许) #添加
iptables -nL
iptables -t filter -A INPUT -s 172.25.254.55 -p tcp --dport 22 -j REJECT(拒绝)#添加 ip 55 用户,拒绝访问
iptables -nL
#此时 55 用户依旧可以访问,读取顺序自上向下,先读取允许所有,所以 55 用户依旧可以访问在这里插入图片描述

iptables -D INPUT 2 #删除INPUT第二行内容
iptables -nL
在这里插入图片描述
iptables -t filter -I INPUT -s 172.25.254.55 -p tcp --dport 22 -j REJECT #插入
iptables -nL
iptables -t filter -R INPUT 2 -s 172.25.254.55 -p tcp --dport 22 -j REJECT #替换第二行
iptables -nL
在这里插入图片描述
在这里插入图片描述

####################################################在这里插入图片描述#####################

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW lo -j ACCEPT #
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 3128 -j ACCEPT
在这里插入图片描述

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.251
iptables -t nat -nL在这里插入图片描述

#server(ip:192.268.0.151)可以ping通真机(ip:172.25.254.55)
在这里插入图片描述
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.151:22
iptables -t nat -nL
在这里插入图片描述
#真机(ip:172.25.254.55)连接desktop(eth0:172.25.254.251 eth1:192.162.0.251)时转到server(ip:192.268.0.151)
在这里插入图片描述

semanage port -l | grep httpd
semanage port -a -t httpd_port -p tcp 8888
semanage port -l | grep httpd
在这里插入图片描述

房东的喵
关注
firewalld防火墙设置详解
悦分享
01-08 961
Centos7以上的发行版都试自带了firewalld防火墙的,firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。
Firewalld防火墙的地址伪装和端口转发
weixin_44401148的博客
01-09 2389
Firewalld防火墙的地址伪装和端口转发 一.实验环境 实验要求 推荐步骤 二.实验步骤 1.在网关服务器上配置主机名及网卡地址 Hostname gateway-server 为网关服务器添加两块网卡,分别为ens37和ens38 为三块网卡设置合适的ip地址 ens33:192.168.1.2/24 Ens37:192.168.2.2/24 Ens38:192.168.3.2/24...
firewalld
weixin_34245169的博客
06-05 99
*firewalld(动态防火墙后台程序) 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 * 系统提供了图像化的配置工具...
防火墙firewall和iptables的使用 —— Linux系统
最新发布
小蜜蜂vs码农
07-04 291
Linux系统下防火墙的开启关闭配置方式
练习使用firewalldmasquerade和nat功能
weixin_42145772的博客
01-16 4570
目的是练习使用firewalldmasquerade和nat功能,物理连接如下图: 手机开启便携式热点,台式机有两个网卡,一个是USB无线网卡wlan0连接手机便携式热点可以上网使用外网,动态IP地址为192.168.43.XXX同手机便携式热点分配,台式机的另一网卡eth0通过网线连接无线路由器TP-LINK,固定IP地址为192.168.8.102由路由器TP-LINK分配,笔记本电脑内置无线网卡wlan0通过WIFI连接到无线路由器TP-LINK,固定IP地址为192.168.8.101由路由器T
Linux运维笔记-文档总结-Firewalld服务
Bigstar的博客
06-09 690
以下所有操作都是在Red-hat 7.0上Firewalld概述动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。系统提供了图像化的配
防火墙firewalld
MCB134的博客
02-19 1081
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。
Firewalld防火墙
fengmaohuli的博客
06-05 279
firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具它支持IPv4、IPr6防火墙设置以及以太网桥(在某些高级服务可能
Firewalld防火墙基础
rqaz123的博客
05-23 287
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
执行 systemctl start firewalld 命令后出现Failed to start firewalld.service: Unit is masked
热门推荐
chen_yi_ping的专栏
08-04 5万+
firewalld服务被锁定,不能添加对应端口 执行命令,即可实现取消服务的锁定 # systemctl unmask firewalld 下次需要锁定该服务时执行 # systemctl mask firewalld
Linux | systemctl & firewalld
俗人
01-10 1065
#启动一个服务 systemctl start firewalld.service #关闭一个服务(临时关闭防火墙) systemctl stop firewalld.service #重启一个服务(重启防火墙) systemctl restart firewalld.service #显示一个服务的状态 systemctl status firewalld.service #在开机时启...
防火墙firewalld用法
小树苗
05-07 415
启动:systemctl start firewalld 查看状态:systemctl status firewalld 关闭:systemctl stop firewalld 开机关闭:systemctl disable firewalld.service 开机打开:systemctl enable firewalld.service 查看所有打开的端口: firewall-cmd --zone=public --list-all public (default, active) interfac.
Firewalld防火墙(二)
m0_73311601的博客
09-24 69
通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口。用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发、伪装和速率限制。用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发、伪装和速率限制。指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口。Firewalld中直接规则、区域规则、富规则匹配的先后顺序是什么?2、端口转发(Forward-port)
linux系统防火墙systemctl,Linux防火墙和 systemctl管理
weixin_30985047的博客
05-12 556
reject #拒绝accept #接受firewall-cmd --list-all #列出所有防火墙systemctl list-unit-files #开机启动项systemctl enable firewalld #设置开机自启动systemctl disable firewalld #禁...
centos防火墙firewalld相关指令
ovejur的专栏
10-22 239
Centos7默认防火墙firewalld,以下是相关命令 # service firewalld status; #查看防火墙状态 # service firewalld start; 或者 #systemctl start firewalld.service;#开启防火墙 # service firewalld stop; 或者 #systemctl stop firewalld....
Linux——firewalld防火墙(二)
zj2059129607的博客
01-10 1088
地址伪装(masquerade):通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。P地址伪装仅支持IPv4,不支持IPv6。
firewalld防火墙
03-29
Firewalld是Linux系统中的一个防火墙管理工具,它可以控制网络流量的进出,并允许或阻止特定的网络连接。Firewalld是Red Hat Enterprise Linux(RHEL)7及更高版本的默认防火墙解决方案,它也可以在其他Linux发行版...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值