firewalld 防火墙 - 02

最新推荐文章于 2022-12-06 09:30:36 发布
最新推荐文章于 2022-12-06 09:30:36 发布
阅读量166 收藏
点赞数
分类专栏: 集群架构 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mm970919/article/details/115648993
版权
一、防火墙富规则
firewalld中的富规则更有针对性,优先级在所有的防火墙策略中也是最高的,下面为firewalld富语言规则帮助手册

[root@ web01 ~]# man firewall-cmd
[root@ web01 ~]# man firewalld.richlanguage
    rule
         [source]
         [destination]
         service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
         [log]
         [audit]
         [accept|reject|drop|mark]

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
protocol value="protocol value"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop

#富语言规则相关命令
--add-rich-rule='<RULE>'        #在指定的区域添加一条富语言规则
--remove-rich-rule='<RULE>'     #在指定的区删除一条富语言规则

--query-rich-rule='<RULE>'      #找到规则返回0,找不到返回1
--list-rich-rules               #列出指定区里的所有富语言规则


# 查看防火墙配置
[root@web01 services]# firewall-cmd --list-all
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: yes
  forward-ports: port=6666:proto=tcp:toport=22:toaddr=172.16.1.5
  source-ports: 
  icmp-blocks: 
  rich rules:
1.实例一
允许10.10.0.1主机能够访问http服务,允许172.16.1.0/24能访问111端口

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.10.0.1 service name=http accept'
success

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port=111 protocol=tcp accept'
success

[root@web01 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0 eth1
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="10.10.0.1" service name="http" accept
	rule family="ipv4" source address="172.16.1.0/24" port port="111" protocol="tcp" accept
	
#.测试连接   
# 内网网段都可以访问  telnet 172.16.1.7 111
# 内网网段都可以访问  telnet 172.16.1.2 111

[D:\~]$ telnet 172.16.1.* 111  #只要在这个网段都可以
2.实例二
默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh reject'
success

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'
success

#drop和reject

drop    # 直接丢弃,不返回任何内容
reject  # 拒绝,会返回拒绝的内容
3.实例三
使用firewalld,允许所有人能访问http,https服务,但只有10.10.0.1主机可以访问ssh服务

[root@web01 ~]# firewall-cmd --add-service={http,https}
success

[root@web01 ~]# firewall-cmd --remove-service=ssh
success

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.10.0.1 service name=ssh accept'
4.实例四
当用户来源IP地址是10.10.0.1主机,则将用户请求的6666端口转发至后端172.16.1.5的22端口

[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.10.0.1 forward-port port=6666 protocol=tcp to-port=22 to-addr=172.16.1.5'

[root@web01 ~]# firewall-cmd --add-masquerade 
success
6.查看富规则
[root@web01 ~]# systemctl restart firewalld     #启动防火墙

[root@web01 ~]# firewall-cmd --list-rich-rules  #查看富规则1

[root@web01 ~]# firewall-cmd --list-all         #查看富规则2
7.禁ping
[root@web01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp drop'
二、防火墙备份
我们的防火墙规则,配置永久生效后,会保存在/etc/firewalld/zones/目录下, #名字随便写 只要在/zones/*.xml就行
我们如果要进行同样的防火墙配置,只需要讲该文件推送到新的服务器,并启动防火墙即可
如果要备份,备份的也是/etc/firewalld/zones/目录
[root@web01 ~]# systemctl restart firewalld     #启动防火墙
[root@web01 services]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="http"/>
</zone>
九、防火墙内部共享上网
在指定的带有公网的IP的实例上启动firewalld防火墙的NAT地址转换,以此达到内部主机上网

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dozCcvyw-1618243960887)(C:\Users\17155\Desktop\下载图片\1618241717758.png)]

# 1、防火墙备份
我们的防火墙规则,配置永久生效后,会保存在/etc/firewalld/zones/目录下,
我们如果要进行同样的防火墙配置,只需要讲该文件推送到新的服务器,并启动防火墙即可
如果要备份,备份的也是/etc/firewalld/zones/目录

# 2、防火墙内部共享上网
在指定的带有公网的IP的实例上启动firewalld防火墙的NAT地址转换,以此达到内部主机上网
1.开启IP伪装
[root@lb01 ~]# firewall-cmd --add-masquerade
[root@lb01 ~]# firewall-cmd --add-masquerade --permanent
2.开启内核转发
[root@lb01 ~]# cat /etc/sysctl.conf
net.ipv4.ip_forward = 1

#CentOS 6 系统需要手动开启,CentOS 7 默认就是开启的

[root@lb01 ~]# sysctl -p  #生效启动
3.修改内网服务器的网卡
[root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.5  #增加一个网关
DNS1=114.114.114.114

#重启网卡
[root@web01 ~]# ifdown eth1 && ifup eth1
4.测试
[root@web01 ~]# ip a

3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:8e:6b:4b brd ff:ff:ff:ff:ff:ff
    inet 172.16.1.7/24 brd 172.16.1.255 scope global noprefixroute eth1
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fe8e:6b4b/64 scope link 
       valid_lft forever preferred_lft forever

[root@web01 ~]# ping www.baidu.com
PING www.a.shifen.com (112.80.248.75) 56(84) bytes of data.
64 bytes from 112.80.248.75 (112.80.248.75): icmp_seq=1 ttl=127 time=11.7 ms
64 bytes from 112.80.248.75 (112.80.248.75): icmp_seq=2 ttl=127 time=9.53 ms
FikL-09-19
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Firewalld防火墙访问设置(二)
BBQwu1wukao的博客
05-12 963
Firewalld防火墙访问设置二一、firewalld高级配置1、IP地址地址伪装2、端口转发3、富语言规则二、配置防火墙1、富语言规则使用2、配置IP地址伪装3、配置端口转发 一、firewalld高级配置 1、IP地址地址伪装 1)IP地址伪装的作用 将多个私网IP地址映射到一个公网IP地址访问互联网 2)IP地址伪装特点 节约公网IP地址 隐藏内部网络 增强网络安全性 只能配置IPv4协议 2、端口转发 1)端口转发的作用 将一个IP地址和端口号映射到另一个IP地址和端口上上 2)
linux防火墙富规则,firewalld的富规则
weixin_36202273的博客
05-12 3840
firewalld的富规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中富规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
firewalld打开关闭防火墙与端口 mark
chunshengshao1344的博客
09-04 306
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld ...
mark】CentOS7防火墙firewalld容易配置和使用
steavont
12-07 206
CentOS7配置防火墙的两种方法:     一、使用xml配置文件的方式配置; 方法一 cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/firewall-cmd --reload     二、使用命令的方式配置; 方法二 ##Addfirewall-cmd --permanent --zone=publ...
Linux防火墙firewalld Rich规则的优先级
sinat_40629028的博客
12-06 1951
防火墙配置优先级
firewalld防火墙(二)
weixin_44360341的博客
01-09 622
IP地址伪装与端口转发: Firewalld支持两种类型的NAT:1,IP地址伪装和2,端口转发 1.地址伪装:过的数据包的源地址更改通过地址伪装NAT设备经过设备的包转发到指定接收方同时将通为其自己的接口地址。当返回的数据包达到时会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上,类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPv4,不支...
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
firewalld-0.9.3-7.el8.noarch(1).rpm
12-08
离线安装包,亲测可用
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linuxFirewalld防火墙
firewalld:禁ping设置
刘元林的博客
01-12 1万+
目录 1、rich rule禁ping 2、通过icmp-block-inversion实现禁ping 3、通过icmp-block实现禁ping Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法: 1、rich rule禁ping 通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现! rich rule会完全封堵icmp包,不再允许白名单设置:..
firewalld与iptables
记事本
12-07 940
firewalld与iptables
CentOS7使用firewalld
markinlqx的专栏
03-08 357
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld  停止: systemctl disable firewalld 禁用: systemctl stop firewalld   2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功
Linux Firewalld用法及案例
热门推荐
陈洋的博客
05-02 1万+
官方文档 RHEL FIREWALLD Firewalld概述 动态防火墙管理工具 定义区域与接口安全等级 运行时和永久配置项分离 两层结构 核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器 顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具 原理图 Fire...
linuxfirewalld规则优先级,理解多区域配置中的 firewalld
weixin_34887221的博客
05-16 2687
现在的新闻里充斥着服务器被攻击和数据失窃事件。对于一个阅读过安全公告博客的人来说,通过访问错误配置的服务器,利用最新暴露的安全漏洞或通过窃取的密码来获得系统控制权,并不是件多困难的事情。在一个典型的 Linux 服务器上的任何互联网服务都可能存在漏洞,允许未经授权的系统访问。因为在应用程序层面上强化系统以防范任何可能的威胁是不可能做到的事情,而防火墙可以通过限制对系统的访问提供了安全保证。防火墙基...
firewalld基本用法
lxxgogo的博客
12-16 546
安全OSI 1.硬件层面: 温度 机柜上锁 磁盘损坏 cpu异常 等等 <--监控 2.网络层面: 没有公网IP 3.系统层面: 打补丁 禁止Root直接登录 变更SSH端口 软防 4.应用层面: 监听在内网网卡 不要使用弱口令密码 5.web层面: 劫持和篡改网站 漏洞注入(非法方式进入网站) ddos(造成网站无法响应) 安骑士 云盾 ....
HTTP协议
明日之星
03-29 1141
HTTP (超文本传输协议) ## 一、HTTP协议 1.什么是http HTTP 全称:Hyper Text Transfer Protocol 中文名:超文本传输协议 是一种按照URL指示,将超文本文档从一台主机(Web服务器)传输到另一台主机(浏览器)的应用层协议,以实现超链接的功能。 http协议就是将用户的请求发送到服务器,再将服务器返回的内容传输给浏览器,浏览器进行解析,解析成便于人类读取的页面 超文本 包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件
linux firewalld防火墙详解
最新发布
09-24
FirewalldLinux系统中的一种动态防火墙管理工具。它使用底层工具iptables和ip6tables来控制网络流量,并提供了更加易于使用的命令行界面和图形用户界面,方便设置和管理防火墙规则。 一些关于firewalld的基本使用方法如下: - 启动firewalld:`systemctl start firewalld` - 查看firewalld状态:`systemctl status firewalld` - 停止firewalld:`systemctl disable firewalld` - 禁用firewalld:`systemctl stop firewalld` - 重启firewalld:`systemctl restart firewalld` Firewalld允许用户定义不同的"区域"来区分不同的网络环境,并为每个区域定义相应的防火墙规则。例如,您可以将公共网络、内部网络和信任网络分别配置为不同的区域,并为每个区域设置适当的访问控制规则。 此外,Firewalld还支持服务和端口的定义和管理。您可以定义允许通过防火墙的特定服务或端口,并根据需要进行适当的调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FikL-09-19

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值