firewalld防火墙:直接规则、富语言、地址伪装;以及综合示例

已于 2024-07-03 17:34:14 修改
阅读量1.1k 收藏 12
点赞数 37
分类专栏: Linux安全 文章标签: 服务器 apache linux 运维 网络 http
于 2024-07-03 17:25:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65551023/article/details/140156822
版权

目录

直接规则

示例

(1)创建一个黑名单功能链

(2)将来自192.168.10.0/24的数据包指向这个链

(3)每分钟记录一次日志

(4)设置该链的规则为DROP

(5)重载firewalld

清空直接规则

富语言

示例

(1)允许连接http,并使用审核每分钟记录一次

(2)测试

(3)将192.168.10.202地址加入白名单,允许该主机的ipv4连接

其他富语言示例

地址伪装

示例

(1)设置external区域地址伪装

关闭地址伪装、重载

设置external区域中只有192.168.1.0/24网段的数据包才有地址伪装效果

(2)端口转发

(3)将网关服务器的外网接口设置第二个ip地址,让外网主机能够通过两个IP访问Web服务

(4)使用富规则配置端口转发

(5)最后在外网测试机,使用curl命令测试两个ip能否访问Web服务

直接规则

将iptables的规则插入到firewalld防火墙的策略中

示例

将某个IP范围列入黑名单

防止DDOS攻击

(1)创建一个黑名单功能链

先使用firewall-cmd --direct --add-chain ipv4 raw blacklist命令在规则中添加一个名为 blacklist 的新的ipv4原始防火墙链

  1. --direct:这个选项告诉firewall-cmd命令直接在防火墙的底层规则中进行操作,而不是通过firewalld的标准配置接口。
  2. --add-chain ipv4 raw blacklist:在IPv4协议下的原始(raw)表中添加一个名为blacklist的新防火墙链。
    1. 原始表(raw table)是Linux防火墙的一部分,它允许更低层次的处理,通常用于某些特定的高级网络配置和包过滤。

由此命令也可以延伸出其他功能

firewall-cmd --direct --remove-chain ipv4 raw blacklist:删除一个名为blacklist的ipv4原始防火墙链

firewall-cmd --direct --add-chain ipv4 raw blacklist --permanent:在规则中永久添加一个名为 blacklist 的新的ipv4原始防火墙链

(2)将来自192.168.10.0/24的数据包指向这个链

再在该链上加一条规则,用于将指定网段的数据包跳转到blacklist链中

[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw PREROUTING 0 -s 192.168.10.0/24 -j blacklist

PREROUTING: 原始表中的PREROUTING链,该链用于处理进入主机的数据包。
0: 规则的编号。这里的0表示第1行规则,优先级最高,规则从0开始。
-s 192.168.10.0/24: 源IP地址为192.168.10.0/24,匹配从这个网段发起的数据包。
-j blacklist: 如果数据包符合上述条件,则将其跳转到名为 blacklist 的防火墙链进行进一步处理。

(3)每分钟记录一次日志

记录匹配特定条件的流量

[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklist"

blacklist 0:将规则添加到blacklist链中,0是规则的编号
-m limit --limit 1/min:使用limit模块限制每分钟记录的日志消息数量为1条。
-j LOG --log-prefix "blacklist":指定匹配的数据包应该使用前缀“blacklist”进行日志记录。

(4)设置该链的规则为DROP

在该链中添加一条规则,编号为 1,该规则的动作是丢弃 (DROP) 匹配的数据包。

[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 1 -j DROP

(5)重载firewalld

[root@localhost ~]# firewall-cmd --reload

此时另一台虚拟机就ping不通了这台配置规则的主机了

使用另一台机器ping过以后,因为是规则指定范围内的IP,所以在/var/log/message日志文件中就可以看到相关日志,以及我们设置的前缀为blacklist

清空直接规则

cd到/etc/firewalld目录下,删除direct.xml文件,再重载防火墙就行了

富语言

 firewalld的富语言(rich language)提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewalld 的基本语法中未涵盖的自定义防火墙规则。

示例

需求:允许主机建立连接,并且每分钟审核一下

yum -y install httpd安装Apache软件包

(1)允许连接http,并使用审核每分钟记录一次

[root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=http log prefix=httpAccess limit value=1/m audit accept'
--add-rich-rule:用于添加富规则。

(2)测试

使用echo "Test Web" > /var/www/html/index.html命令修改http服务的首页

另一台主机curl测试

201主机cat /var/log/message

(3)将192.168.10.202地址加入白名单,允许该主机的ipv4连接

[root@localhost firewalld]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.10.202" accept'
--add-rich-rule:用于添加富规则。 
family="ipv4":规定规则适用于 IPv4 地址族。
source address="192.168.10.202":指定允许来自 IP 地址 192.168.10.202 的流量通过。
accept:如果规则匹配,接受(允许)这些数据包。

其他富语言示例

允许了来自 192.168.10.0/24 网段的主机访问 TFTP 服务,并记录相关日志

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.10.0/24" service name="tftp" log prefix="MyTFTPLOG: " level="info" limit value="1/m" accept'

允许了来自相同网段的主机访问 TCP 端口范围在 7000 到 8000 的服务

[root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule="rule family='ipv4' source address='192.168.10.0/24' port port='7000-8000' protocol='tcp' accept"

地址伪装

源地址转换:内网访问外网

目标地址转换:外网访问内部服务器

示例

该示例是基于本人的上一章firewalld防火墙的博客中的示例为基础,在该基础之上实现地址伪装的功能

上一章firewalld防火墙博客:http://t.csdnimg.cn/5yN7K

实现外网主机访问内网Web服务器dmz区域的Web服务

需要在网关服务器做地址转换

(1)设置external区域地址伪装

[root@gateway-server ~]# firewall-cmd --list-all --zone=external 
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: 
  ports: 12345/tcp
  protocols: 
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules:
关闭地址伪装、重载
[root@gateway-server ~]# firewall-cmd --remove-masquerade --zone=external --permanent 
[root@gateway-server ~]# firewall-cmd --reload

此时内网的主机和服务器就不能访问外网了(ping)

设置external区域中只有192.168.1.0/24网段的数据包才有地址伪装效果

只有192.168.1.0/24网段的包才有地址伪装效果(可以访问外网主机),而内网Web服务器(192.168.2.10)就不能访问外网主机

[root@gateway-server ~]# firewall-cmd --zone=external --add-rich-rule="rule family='ipv4' source address='192.168.1.0/24' masquerade" --permanent
success
[root@gateway-server ~]# firewall-cmd --reload
success
[root@gateway-server ~]# firewall-cmd --list-all --zone=external
external (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: 
  ports: 12345/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules: 
    rule family="ipv4" source address="192.168.1.0/24" masquerade

(2)端口转发

将所有进入防火墙外部区域(external)的80端口的TCP流量转发到内部网络的192.168.2.10主机上

[root@gateway-server ~]# firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:proto=tcp:toaddr=192.168.2.10 --permanent
收到来自外网的80端口且是tcp协议的包;转发到192.168.2.10的80端口,也是tcp协议的
[root@gateway-server ~]# firewall-cmd --reload # 重启服务
  • port=80:proto=tcp:proto=tcp:toaddr=192.168.2.10 这部分指定了具体的转发规则
    • port=80: 表示要转发的端口是80端口,即HTTP服务的标准端口。
    • proto=tcp: 指定协议为TCP,这是HTTP服务使用的协议。
    • toaddr=192.168.2.10: 指定转发的目标地址,即所有发往防火墙的80端口的TCP流量都将被转发到192.168.2.10这台主机。

此时就实现了内网测试机可以访问内网Web服务器的http服务,外网测试机也能访问内网Web服务器的http服务,但是外网测试机不能访问整个内网,内网测试机却可以访问外网测试机

(3)将网关服务器的外网接口设置第二个ip地址,让外网主机能够通过两个IP访问Web服务

假如内网的Web服务器新申请了一个公网ip 100.1.1.15,将新的公网ip设置网关服务器的外网网卡ens33,作为第二个ip地址

vim /etc/sysconfig/network-scripts/ifcfg-ens33

使用ip a命令的效果,可以看到ens33接口有两个ip

(4)使用富规则配置端口转发

[root@gateway-server network-scripts]# firewall-cmd --zone=external --add-rich-rule="rule family=ipv4 destination address=100.1.1.15/32 forward-port port=80 protocol=tcp to-addr=192.168.2.10" --permanent
[root@gateway-server network-scripts]# firewall-cmd --reload

(5)最后在外网测试机,使用curl命令测试两个ip能否访问Web服务

变成我
关注
  • 37
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewalld中理解直接规则语言
看清所以看轻
09-03 3289
firewalld 中理解直接规则 firewalld提供了‘direct interface” (直接接口), 它允许管理员手动编写的iptables. ip6tables 和ebtables规则插入firewalld管理的区域中,适用于应用程序,而不是用户。如果对iptables不太熟.不建议使用直接接口,可能会无意中导致防火墙被入侵。firewalld 保持对所增加项目的追踪,所以它还能质...
firewalld高级应用-1
RunzIyy的博客
02-27 468
1.直接规则 1)直接使用iptables或firewall语句将规则写入管理区域中。 ​ 2)执行优先级最高,优先规则直接规则规则→区域规则 ​ 3)firewall语句与iptables语句互相通用 ​ 4)使用于服务或应用程序。 语句格式: ​ firewall-cmd --direct 例1:启用黑名单 firewall-cmd --direct --add-chain ...
firewalld防火墙
最新发布
m0_70627741的博客
07-03 1043
将iptables的规则插入到firewalld防火墙的策略中将某个IP范围列入黑名单防止DDOS攻击先使用firewall-cmd --direct --add-chain ipv4 raw blacklist命令在规则中添加一个名为 blacklist 的新的ipv4原始防火墙链由此命令也可以延伸出其他功能firewall-cmd --direct --remove-chain ipv4 raw blacklist:删除一个名为blacklist的ipv4原始防火墙链firewall-cmd --dir
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6461
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
firewall-cmd --direct
11-24 2543
直接选项 直接选项可以更直接地访问防火墙。这些选项要求用户知道基本的iptables概念,即table(filter / mangle / nat / ...),chain(INPUT / OUTPUT / FORWARD / ...),命令(-A / -D / -I / .. 。),参数(-p / -s / -d / -j / ...)和目标(ACCEPT / DROP / REJECT / ...)。直接选项应该仅作为最后的手段,当它不可能使用时诸如--add-service=‘service’或--
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
第二十章:Firewalld防火墙应用.pdf
08-08
第二十章:Firewalld防火墙应用.pdf
linux防火墙ifirewalld详解
zhangxm_qz的博客
08-05 1432
文章目录centos7防火墙介绍 centos7防火墙介绍 在CentOS 7里有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 启用 firewalld 防火墙服务后通过 iptables -nvL 命令仍然可以看到系统中的各种配置,如下 --启用firewall 防火墙服务 systemctl start firewalld systemctl enable firewa
firewalld 规则配置
热门推荐
oToyix的博客
09-21 1万+
一、概念 1、动态防火墙 启动新规则时,不会像ipatbles一样,先清空规则,再启动所有规则,如此会对现在程序有影响,哪怕只是一条规则。而firewalld 规则变更不需要对整个防火墙规则重载,可直接添加新规则 2、iptables与firewalld的关系 firewalld底层使用iptables作为防火墙规则管理入口。 firewalld内核模块还是netfilter,只是firewalld修改了daemon和service 添加规则还是通过iptables管理的,可以通过iptables查看
firewalld的基本规则
hahaha_yan的博客
12-04 7345
一、图形化管理火墙 系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配置 firewalld 永久性或非永久性运行时间的改变。 1、下载图形管理命令 yum install firewall-config 2、使用命令调出图形 firewall-config 3、在图形处进
centos7之firewalld规则详解(二)
aizhen_forever的博客
10-30 1万+
文章主要写了firewalld的管理、规则的概念、伪装及端口转发。同时也有对firewalld的概述及其工作拓扑,也就是firewalld的理论基础的深入学习。
firewalld标准规则
weixin_42374938的博客
09-04 2150
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是对于非预定义的服务只能手动为指定的区域添加端口。上面命令是添加端口和删除端口操作。
Centos7 Firewalld 自定义规则
FUYY'S BLOG
09-27 1473
以下只是针对自定义规则的简单说明和举例,其实也就是帮助文档里面的东西;详细的说明自行参考 firewall-cmd --help 传递的参数 与 iptables, ip6tables 以及 ebtables 一致! Centos7 Firewall 用户操作接口依然调用系统内核的iptables模块来设定规则直接选项 –direct需要是直接选项的第一个参数。 将命令传递给防火墙。参数 ...
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2307
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
firewalld高级应用
勿念勿扰,相安静好
07-28 812
1.1:IP伪装与端口转发 1.2:firewall-cmd高级配置 1:firewalld中理解直接规则 将某个IP范围列入黑名单 [root@localhost ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist   [root@localhost ~]# firewall-cmd --direc...
高级防火墙规则-Direct Rules
chaos_oper的博客
12-10 5813
一.Direct Rules概述 通过firewall-cmd工具,可以使用 --direct选项在运行时间里增加和删除链。如果不熟悉iptables,使用直接接口非常危险,因为可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便于在运行时间内增加特定的防火墙规则直接端口模式添加的规则优先应用 二.常用命令 1.查看防火墙上设置的规则 firewall-cmd --direct ...
firewalld防火墙开启端口:9000、8123
09-10
### 回答1: 你可以使用命令行工具iptables,来开启端口9000和8123:iptables -A INPUT -p tcp --dport 9000 -j ACCEPT iptables -A INPUT -p tcp --dport 8123 -j ACCEPT ### 回答2: 在Linux系统中,使用firewalld防火墙开启端口9000和8123十分简单。可以按照以下步骤进行操作: 1. 首先,以管理员身份登录到Linux系统。 2. 打开终端或控制台窗口。 3. 输入以下命令以开启9000端口: ``` sudo firewall-cmd --zone=public --add-port=9000/tcp --permanent ``` 这条命令将允许TCP流量在9000端口上通过防火墙。 4. 接下来,输入以下命令以开启8123端口: ``` sudo firewall-cmd --zone=public --add-port=8123/tcp --permanent ``` 同样地,这条命令将允许TCP流量在8123端口上通过防火墙。 5. 执行完上述命令后,记得重启firewalld服务以使更改生效。输入以下命令: ``` sudo systemctl restart firewalld ``` 以上步骤完成后,firewalld防火墙将会开放9000和8123端口,以允许TCP流量通过防火墙。这样,你的系统就可以正常与这些端口进行通信了。请注意,在这个过程中,我们使用了sudo命令,这是为了获取管理员权限来执行防火墙设置操作。 ### 回答3: 要在firewalld防火墙中开启端口9000和8123,可以按照以下步骤进行操作: 1. 首先,使用root权限登录到Linux系统。 2. 检查系统上是否已安装和启动了firewalld防火墙。可以运行以下命令来验证: ``` systemctl status firewalld ``` 3. 如果firewalld防火墙未启动,则可以使用以下命令启动它: ``` systemctl start firewalld ``` 4. 接下来,要允许端口9000通过firewalld防火墙,可以运行以下命令: ``` firewall-cmd --zone=public --add-port=9000/tcp --permanent ``` 这将在防火墙的public区域中添加一个永久的TCP规则,允许端口9000的通信。 5. 然后,要允许端口8123通过firewalld防火墙,可以运行以下命令: ``` firewall-cmd --zone=public --add-port=8123/tcp --permanent ``` 这将在防火墙的public区域中添加一个永久的TCP规则,允许端口8123的通信。 6. 最后,要使上述更改生效,需要重新加载firewalld配置。可以运行以下命令: ``` firewall-cmd --reload ``` 系统将重新加载配置文件,并且在防火墙中添加了允许9000和8123端口的规则。 现在,firewalld防火墙已经开启了端口9000和8123,允许通过它们进行通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值