FIREWALLD管理

最新推荐文章于 2022-05-06 12:32:46 发布
最新推荐文章于 2022-05-06 12:32:46 发布
阅读量420 收藏
点赞数
分类专栏: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37387597/article/details/79403446
版权

一、iptables简介

在企业6以及之前的版本,使用iptables别写火墙策略,iptables是编写火墙策略的工具而不是火墙,iptables默认通过3张表5条链管理火墙。
filter表(实现包过滤)
nat表(实现网络地址转换)
mangle表(实现包修改,即不属于filter和nat表的都归mangle表)
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARD:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。
具体可参考http://blog.csdn.net/longbei9029/article/details/53056744

二、iptables基本管理

yum install iptables
systemctl stop firewalld
systemctl mask firewalld
systemctl start iptables
systemctl enable iptables
iptables -nL n:不解析 L:列表
iptables -F F:刷新
这里写图片描述
> /etc/sysconfig/iptables 清空火墙配置文件
iptables -A INPUT -j ACCEPT 添加火墙策略(临时)
service iptables save保存火墙策略(永久)
这里写图片描述

三、添加策略

iptables参数:
-t 指定表 -s 来源
-R 修改策略 -d 目的地
-A 添加策略 -p 方式
-I 插入策略 –dport 端口
-D 删除策略 -j ACCRPT|DROP|REJECT 动作
策略读取顺序由上至下,REJECT策略一般在最后

四、火墙优化

iptables -A INPUT -m state –state RELATED ESTABLISHED -j ACCEPT
iptables -A INPUT -m state –state NEW -i lo -j ACCEPT
iptables -A INPUT -m state –state NEW -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -m state –state NEW -p tcp –dport 53 -j ACCEPT
iptables -A INPUT -m state –state NEW -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -m state –state NEW -p tcp –dport 443 -j ACCEPT
iptables -A INPUT ! -s 172.25.254.9
这里写图片描述
放行回环接口,放行ssh,samba和http端口,放行已连接的和正在连接的接口,拒绝不会死来自172.25.254.9d的端口,有效减少火墙压力和加快端口进程

五、nat的设置

环境搭建:desktop ip为192.168.0.209 server ip为172.25.254.109 192.168.0.109 真机为172.25.254.9

路由后地址转换SNAT(源地址转换)

desktop虚拟机网关为:192.168.0.109
在server虚拟机上:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.109(路由后地址转换为172.25.254.109)
这里写图片描述
sysctl -a | grep ip_forward(查看内核路由功能是否开启0关1开)
vim /etc/sysctl.conf(编辑内核配置文件添加路由功能)
net.ipv4.ip_forward=1
sysctl -p(刷新配置文件)
这里写图片描述
在desktop虚拟机上
ping 172.25.254.9可以通信
这里写图片描述

路由前地址转换DNAT(目的地地址转换)

在server虚拟机上
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 192.168.0.209(路由前地址转换为192.268.0.209)
这里写图片描述
在真机上
ssh root@172.25.254.109
ifconfig
这里写图片描述

六、、使用命令行接口配置火墙

firewall-cmd --state 查看火墙状态
这里写图片描述
firewall-cmd --get-active-zones 查看已经激活的域
这里写图片描述
firewall-cmd --get-default-zone 查看默认域
这里写图片描述
firewall-cmd --get-zones 列出所有域名
这里写图片描述
firewall-cmd --zone=public --list-all 列出公共域的详细信息
这里写图片描述
firewall-cmd --get-services 列出所有服务
这里写图片描述
firewall-cmd --list-all-zones 列出所有域的详细信息
firewall-cmd --set-default-zone=dmz 设置默认域为dmz
这里写图片描述

七、网络接口的管控

在server主机上

yum install httpd -y
echo 172.25.254.109 > /var/www/html/index.html
systemctl start http
firewall-config 在public域加入http服务
firewall-cmd --change-interface=eth1 --zone=trusted 将eth1网卡加入到trusted域中
firewall-cmd --get-active-zones
这里写图片描述

在真机上

打开浏览器访问http://172.25.254.109
这里写图片描述

在desktop虚拟机上

打开浏览器访问http://192.168.0.109
这里写图片描述
firewall-cmd --remove-interfacr=eth1将eth1网卡接口移除火墙
firewall-cmd --add-interface=eth1 --zone=public将eth1网卡接口添加到public域中
这里写图片描述

修改source控制端口

在server虚拟机中

firewall-cmd --add-source=172.25.254.0/32 --zone=trusted
这里写图片描述

在desktop中

打开浏览器访问http://172.25.254.109
这里写图片描述
firewall-cmd --remove-source=172.25.254.0/32 --zone=trusted

修改端口号

在server虚拟机上

vim /etc/httpd/conf/httpd.conf 修改为8080端口
systemctl restart httpd
vim /usr/lib/firewalld/services/http.xml 修改为8080端口
systemctl restart firewalld.service
firewall-cmd --add-service=http

在desktop虚拟机上

访问http://172.25.254.109:8080

即时与延时中断服务(ssh为例)

在server虚拟机上

firewall-cmd --permanent --remove-service=ssh 在火墙中移除ssh服务
firewall-cmd --list-all 此时在火墙中还能看到
firewall-cmd --reload 刷新火墙
这里写图片描述

在desktop虚拟机上

ssh root@192.168.0.109 连接失败
但不中断已经连接好ssh服务(filter策略中写到established)
这里写图片描述
这里写图片描述

在server虚拟机上

firewall-cmd --complete-reload
这里写图片描述

在desktop虚拟机上

ssh root@192.168.0.109 连接失败
已经连接好的ssh服务也会中断
这里写图片描述

编写特殊策略(类似iptables)

在server虚拟机上

firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -s 192.168.0.209 -p tcp --dport 80 -j REJECT
这里写图片描述

在desktop虚拟机上

访问http://192.168.0.109 失败
这里写图片描述

在真机上

访问http://172.25.254.109 成功
这里写图片描述

端口转发

在server虚拟机上

firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
firewall-cmd --perment --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.9
这里写图片描述

在desktop上

ssh root@任意ip
都会通过server转发到172.25.254.9
这里写图片描述

地址伪装

在server虚拟机上

firewall-cmd --permanent --remove-masquerade
firewall-cmd --perment --zone=public --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.9

在desktop虚拟机上

ping 172.25.254.9 可以通信
ssh root@172.25.254.9 无法连接

在server虚拟机上

firewall-cmd --add-rich-rule='rule family=ipv4 masquerade'
这里写图片描述

在desktop上

ssh root@172.25.254.9 成功,且显示连接地址为中转站ip172.25.254.109而不是192.168.0.209
这里写图片描述

八、tcpwrap设置

查看哪些服务支持tcpwaper

ldd /usr/sbin/sshd 存在libwrap的支持该服务
这里写图片描述

基本设置

vim /etc/hosts.deny
ALL:ALL 拒绝所有人连接所有服务
这里写图片描述
vim /etc/hosts.allow
sshd:172.25.254. :spawn echo date from %c to %s > /dev/pts/0
网段 监控 打印 时间 客户端 服务端 当前设备上
发送到root用户的邮件里 | mail -s warning root
发送到日志里 >> /var/log/messahes
这里写图片描述
这里写图片描述

九、守护进程

yum install xinetd telnet-server telnet -y
cd /etc/xinetd.d
vim telnet
service telnet
{
socket_type = stream
protocol = tcp
user = root
server = /usr/sbin/in.telnetd
disable = no
flags = REUSE
wait = no
}
这里写图片描述
systemctl restart xinetd.service
chkconfig --list
这里写图片描述
telnet localhost
这里写图片描述

懒散的阿飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux_firewalld管理
网络无法连接的博客
06-07 408
一.Firewalld 概述<1>动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。系统提供了图像化的配置工具...
Firewalld http api管理接口
09-17
基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
firewalld管理方式
weixin_46268244的博客
07-01 457
1.firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewalld 2.关于firewalld的域 trusted 接受所有的网络连接 home 用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
管理firewalld
浩瀚星辰
06-15 287
firewalld防火墙匹配规则: 1、如果传入包的源地址与区域的某个源地址规则设置相匹配,该包通过该区域进行路由; 2、如果包的传入接口与区域的过滤器设置相匹配,则将使用该区域; 3、否则将使用默认区域。 firewalld默认区域规则: 区域名称 默认配置 trusted 允许所有所有传入流量 home 除非与传出流量相关,或与ssh、mdns、ipp-client、samba-client或dhcpv6-client预定义服务匹配,否则拒绝传入流量 internal 除非与传出
Linux运维之防火墙之firewalld管理
qq_42303254的博客
12-13 536
一、防火墙的介绍 防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 (1)Netfilter:数据包过滤机制 (2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalld与iptables 二、firewalld介绍 动态防火墙后台程序 firewalld 提供了一个动态管理...
CentOS 7防火墙firewalld管理基础
Walle的博客
05-23 547
基本概念 CentOS 7及以上的版本,默认的防火墙是firewalld,所以如果你输入iptables配置防火墙报找不到命令时,你就要考虑用firewalld管理防火墙了。 firewalld文档连接 【firewalld】:firewall daemon,提供动态管理防火墙的能力,并支持对网络以及与其关联的连接、接口和源定义信任级别 【firewall-cmd】:firewalld的命令行管理工具,CentOS上防火墙的管理即主要依赖该命令 【Runtime Configuration 和 Perm
Linux下firewalld命令管理详解
nigar_的博客
08-12 1111
Linux下firewalld命令管理详解 1.firewalld中的区域管理 阻塞区域(block) 任何传入的网络数据包都将被阻止 工作区域(work) 相信网络上的其他计算机,不会损害你的计算机 家庭区域(home) 相信网络上的其他计算机,不会损害你的计算机 公共区域(public) 不相信网络上的任何计算机,只有选择接受传入的网络连接 隔离区域(DMZ) 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接 信
CentOS7防火墙firewalld管理
嗯!记录自己学习过程。
05-06 522
firewalld安装 1、 rpm -qa |grep firewalld 2、 yum install firewalld 3、 systemctl start firewalld.service firewalld常规操作 # 查看firewalld状态 systemctl status firewalld.service # 显示firewalld的状态 [root@host]# firewall-cmd --state running # 查看public中所有打开的端口 firewal
firewalld图形管理
u011999671的博客
06-04 296
1:选择运行时( Runtime)模式或永久 Permanent)模式的配置。 2:可选的策略集合区域列表。 3:常用的系统服务列表。 4:当前正在使用的区域。 5:管理当前被选中区域中的服务。 6:管理当前被选中区域中的端口。 7:开启或关闭 SNAT(源地址转换协议)技术。 8:设置端口转发策略。 9:控制请求 icmp服务的流量。 10:管理防火墙的富规则。 11:管理网卡设备。 12:被选...
防火墙策略之firewalld管理工具
weixin_46138661的博客
04-06 754
文章目录一.firewalld的开启二.关于firewalld的域三.关于firewalld的设定原理及数据存储四. firewalld管理命令5. firewalld的高级规则6.firewalld中的NAT 一.firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables sys...
Centos7 firewalld 端口管理
11-22
Centos7 firewalld 端口管理,快速放行、删除端口; 将此文件放入/usr/bin目录下,权限777; #myport add * #myport remove * *代表端口号,也可以设置端口区间
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Linux学习初识redhat7(七)
m0_37387597的博客
01-19 2638
管理网络 基础知识   1.ipv4                    2进制32位-----10进制                    172.25.0.10/255.255.255.0                    172.25.0.10:ip地址                    255.255.255.0:子网掩码                    子网
Python列表
m0_37387597的博客
03-22 2059
一、定义一个空列表 list=[] 定义一个包含元素的列表,元素可以是任意类型,列表是可变数据类型 list=["ftf",4,[1,2,3,4]] list1=['ftf',(4,'lc')]二、列表的索引下标是从0开始计算,list[0]读取列表第一个元素,list[-1]读取列表倒数第一个元素 三、列表的切片0代表从哪个索引开始切片 3代表切片到哪个位置,并且不包
Linux学习初识redhat7(二)
m0_37387597的博客
12-28 807
linux文件系统结构 linux文件系统是一个倒树结构 linux中所有的东西都是文件 这些文件都在系统顶级目录“/” /就是根目录 /目录以下为二级目录这些目录都是系统装机时系统自动建立的 二级目录的作用 /bin               二进制可执行文件也就是系统命令 /sbin             系统管理命令存放位置 /boot             启动分
LVM逻辑卷管理
m0_37387597的博客
01-31 596
一、lvm的存在意义用软件实现设备可拉神或缩减,而设备中存在的数据不变,使用户在无需停机的情况下可以方便地调整各个分区大小。二、lvm的术语pe最小存储单元 pv物理卷,时lvm的基本存储逻辑块,包含lvm相关参数 vg卷组,由一个或多个pv组成,可以在其上创建一个或多个lv lv逻辑卷,类似于非LVM系统中的磁盘分区,逻辑卷建立在卷组VG之上。在逻辑卷LV之上可以建立文件系统三、lvm的检测
iscsi与守护进程
m0_37387597的博客
03-06 534
一、守护进程vim /etc/xinetd.conf 全局变量 vim /etc/xinetd.d/ 各个服务的配置文件(局部变量) no_access 黑名单 only_from 白名单 max_load 最大负载 cps 50 10 同时有50个人连接停止10秒 instances 最大连接数 per_source 一个客户端最大连接数二、selinux对端口的
Linux学习初识redhat7(三)
m0_37387597的博客
01-03 527
vim命令模式操作 vim是一个功能强大,可定制度高的文本编辑器,可以进入 vim /etc/vimrc中配置自己需要的插件,如显示行号set number,自动补全filetype plugin indent on等等。这种配置是永久性的,而用vim打开的文件下方输入指令是临时性的,作以区分。 搜索关键字:/ 关键字 n向下匹配 N向上匹配(想要初始化,输入一个不存在的就行)
firewalld
最新发布
09-06
Firewalld是一个动态防火墙管理工具,在Linux系统中被广泛使用。它通过定义和管理网络链接的安全级别和防火墙区域来提供强大的网络安全功能。 Firewalld与iptables之间有一定的关系。Iptables是一个底层的防火墙工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值