Linux——Firewall防火墙（firewalld与iptables两种管理方式）_firewalld 旁路由 透明代理

• 使用图形工具firewall-config
• 使用/etc/firewalld/中的配置文件
• 启用firewalld

1. systemctl start firewalld 　　开启火墙
2. systemctl stop firewalld 　　关闭火墙
3. systemctl enable firewalld　　设置火墙开机自启动
4. systemctl disable firewalld　　设置火墙开机禁用
5. systemctl status firewalld 　　查看状态

• firewall-cmd常用命令
  --get-default-zone 　　　查询当前默认区域。
--set-default-zone= 　　设置默认区域。此命令会同时更改运行时配置和永久配置。
--get-zones 　　　　　　列出所有可用区域。
--get-services 　　　　　列出所有预定义服务。
--get-active-zones 　　　列出当前正在使用的所有区域（具有关联的接口或源）及接口和源信息。
--add-source= 　　　　　将来自IP地址或网络/掩码的所有流量路由到指定区域。
--remove-source= 　　　从指定区域中删除用于路由来自IP地址或网络/掩码的所有流量规则。
--add-interface= 　　　将来自该接口的所有流量到指定区域。
--change-interface= 　将接口已有绑定区域而与其他区域关联。
--list-all 　　　　　　列出默认区域的所有配置（接口、源、服务和端口）。
--list-all-zones 　　　列出所有区域的所有配置（接口、源、服务和端口）。
--add-service= 　　　　允许区域某服务的流量。
--add-port= 　　　　　允许区域某端口的流量。
--remove-service= 　　　从区域删除某服务规则。
--remove-port= 　　　　从区域删除某端口规则。
--reload 　　　　　　　丢弃Runtime配置并应用Permanet配置。

6. 查看火墙的状态
   
7. 查看火墙正在使用的域
   
8. 查看火墙默认的域
   
9. 查看火墙所有的域
   
10. 查看work域的信息
    
11. 列出可使用的服务
    
12. 火墙允许http服务
    
13. 火墙删除http服务
    
14. 将指定ip主机加入trusted域
    
15. 将指定ip主机从trusted域删除掉
    
16. 拒绝主机172.25.254.29的所有网络连接（有回应）
    
    
17. 拒绝主机172.25.254.29的所有网络连接（无回应）
    
    
18. 将eth0接口从public域 移除
    
    
19. 添加eth0接口到trusted域
    
20. 直接将eth1从原来的区域转到public这个区域
    
21. 将8080端口加入public域
    
22. 查看firewalld的服务相关配置文件
    

• 添加一个http8080.xml
  
  
  修改端口信息
  
  重启服务
  
  修改成功
  

23. 查看firewalld的区域相关配置文件
    

• 查看默认public域的信息
  
• 编辑public域配置文件
  
• 将指定ssh一行删除掉（此处已删除）
• 再次查看默认public域的信息
  

24. firewall-cmd --permanent
    –reload 不改变状态的条件下重启防火墙
    firewall-cmd --permanent
    –complete-reload 状态信息将丢失，当防火墙有问题的时候可以使用
    
    
25. 临时只接受ip为172.25.254.29的主机访问服务端的网页 （80端口是为http开放的）
    
    
26. 删除这条规则
    
    

四、firewalld管理的地址伪装（SNAT与DNAT）

• 原地址转换（SNAT）

1. 给路由器主机添加一个网卡（现在有两个）
   
   设置一个内网与外网
   
   路由器可以ping通主机
   
   开始路由器的路由功能
   
2. 给测试端设置与内网在同一个区域的ip
   
   添加网关（与路由器内网ip一直）
   
   测试：可以ping通路由器内网，也可以ping通主机的网址（路由功能实现）
   
   

• 但是，当测试端（1.1.1.229）通过ssh连接主机的时候，显示的却是路由器的外网ip
  
• 目的地地址转换（DNAT）

1. 在路由器主机中添加转换端口——1.1.1.229
   
2. 在主机中连接路由器外网时，自动转换到1.1.1.229
   

五、 iptables管理防火墙

• 概念：
  　　iptables（网络过滤器）是一个工作于用户空间的防火墙应用软件。
  防火墙在做信息包过滤决定时，有一套遵循和组成的规则，这些规则存储在专用的信息包过滤表中，而这些表集成在linux内核中。
• iptables有三张表五条链：
  
• 三表：
  Filter表：过滤数据包
  NAT表：用于网络地址转换(IP、端口)
  Mangle表：修改数据包的服务类型、TTL、并且可以配置路由实现QOS
• 五链：
  INPUT链——进来的数据包应用此规则链中的规则
  OUTPUT链——外出的数据包应用此规则链中的规则
  FORWARD链——转发数据包时应用此规则链中的规则
  PREROUTING链——对数据包作路由选择前应用此链中的规则
  POSTROUTING链——对数据包作路由选择后应用此链中的规则
• 首先先把firewalld关闭并冻结
  

1. 安装iptables-services
   
2. 开启服务并设置开机自启动
   
3. 显示iptables中的所有策略（做解析），默认列出filter表
4. 显示iptables中的所有策略（不做解析）
   
   先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前在阿里

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Linux运维全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上运维知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以点击这里获取！

经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上运维知识点，真正体系化！**

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

需要这份系统化的资料的朋友，可以点击这里获取！