firewalld火墙管理--基础命令了解与权限管理:一步学会火墙安全服务

最新推荐文章于 2023-11-27 17:19:56 发布
最新推荐文章于 2023-11-27 17:19:56 发布
阅读量524 收藏 1
点赞数
分类专栏: linux笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myhyyyyyy/article/details/90761234
版权

防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security
Gateway),从而保护内部网免受非法用户的侵入
阻塞区域(block):任何传入的网络数据包都将被阻止。
在这里插入图片描述
在这里插入图片描述

firewalld

火墙管理
火墙的简介
在这里插入图片描述

火墙图形界面

[root@des etc]# yum install firewall-config
###下载图形管理软件
[root@des etc]# firewall-config
###打开图形管理界面
###在图形界面可以编辑火墙域,也可以查看允许的服务等

在这里插入图片描述
在这里插入图片描述

基本命令

[root@des etc]# firewall-cmd --state 
###查看火墙状态


[root@des etc]# firewall-cmd --get-active-zones 
###查看火墙正在运行的域


[root@des etc]# firewall-cmd --get-default-zone
###查看火墙默认域


[root@des etc]# firewall-cmd --get-zones
###查看火墙全部的域


[root@des etc]# firewall-cmd --zone=public --list-all
###列出public域中的全部信息


[root@des etc]# firewall-cmd --get-services 
###查看火墙支持的所有应用软件


[root@des etc]# firewall-cmd --list-all-zones 
###列出所有域中的所有信息


[root@des etc]# firewall-cmd --set-default-zone=trusted 
###修改默认域

实验环境

服务端(172.25.254.101)(1.1.1.101)

在虚拟机中添加网卡
使一个虚拟机具有两个不同ip的网卡
并重启网络使其生效

1.添加网卡

virt-manger

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

修改网卡配置文件

[root@localhost ~]# cd /etc/sysconfig/network-scripts/ifcfg-eth0
[root@localhost ~]# ls
[root@localhost ~]# cp ifcfg-eth0 ifcfg-eth1
[root@localhost ~]# vim ifcfg-eth1
[root@localhost ~]# systemctl restart network
[root@localhost ~]# ifconfig 
####修改成功
[root@localhost ~]# hostnamectl set-hostname des
###修改主机名


在这里插入图片描述
客户端(1.1.1.201)
修改ip使与服务端两个ip中的一个处于同一网端
同上,只用拥有一个网卡(默认)

[root@localhost ~]# cd /etc/sysconfig/network-scripts/ifcfg-eth0
[root@localhost ~]# vim ifcfg-eth0

客户端(172.25.254.1)
真机,不做修改
ip与服务端另一ip( 172.25.254.70)处于同一网端

实验过程

trusted域添加某一相同网端ip
服务端

[root@des ~]# firewall-cmd --list-all
[root@des ~]# firewall-cmd --add-source=172.25.254.1 --zone=trusted 
[root@des ~]# firewall-cmd --list-all
[root@des ~]# firewall-cmd --list-all --zone=trusted 
客户端只是被暂时添加,重新加载后失效

在这里插入图片描述

排错

不小心添加到public域(默认)

[root@des ~]# firewall-cmd --add-source=172.25.254.1 
[root@des ~]# firewall-cmd --list-all
[root@des ~]# firewall-cmd --add-source=172.25.254.1 --zone=trusted 
Error: ZONE_CONFLICT
###再次添加有报错
[root@des ~]# firewall-cmd --reload 
[root@des ~]# firewall-cmd --list-all
###172.25.254.1被移除
[root@des ~]# firewall-cmd --add-source=172.25.254.1 --zone=trusted 
[root@des ~]# firewall-cmd --list-all --zone=trusted 
###在tursted域中添加成功

在这里插入图片描述
在这里插入图片描述
客户端(172.25.254.1)
测试
添加后
在这里插入图片描述

将某一网卡添加到trusted域

服务端

[root@des ~]#firewall-cmd --list-all 
[root@des ~]#firewall-cmd --remove-interface=eth1 --zone=public 
[root@des ~]#firewall-cmd --list-all 
###移除public域中的eth1
[root@des ~]# firewall-cmd --add-interface=eth1 --zone=trusted 
[root@des ~]# firewall-cmd --list-all --zone=trusted

在这里插入图片描述
在这里插入图片描述
客户端(1.1.1.201)
访问服务端eth1
在这里插入图片描述
还原

[root@des ~]# firewall-cmd --change-interface=eth1 --zone=public 
###默认域不能删除后重新添加

在这里插入图片描述

将某一文件从允许列表中移除,终止服务

[root@des ~]# firewall-cmd --list-all
[root@des ~]# firewall-cmd --permanent --remove-service=ssh 
###因为我一直在ssh中进行实验,而此时连接没有中断,说明此时没有生效
[root@des ~]# firewall-cmd --list-all
[root@des ~]# firewall-cmd --reload
[root@des ~]# firewall-cmd --list-all
###服务被移除但是依然没有生效
[root@des ~]# firewall-cmd --complete-reload
###依然不生效

因为一直**ssh连接服务端**,在服务端主机直接进行reload
[root@des ~]# firewall-cmd --reload
[root@des ~]# firewall-cmd --complete-reload
###reload与complete reload的区别:
reload刷新之后不会中端连接,complete-reload刷新之后会中断连接。
###ssh连接断开

在这里插入图片描述
在这里插入图片描述

真机

[kiosk@foundation1 ~]$ killall -9 ssh
###恢复

在这里插入图片描述

drop域block域

二者都表示拒绝
drop只拒绝不回应
block不仅拒绝并且会回应
一般企业使用block域来有回应的拒绝,因为这样将不会再接收到被拒绝方发送来的任何数据

@将真机ip添加到drop域查看效果

[root@des ~]# firewall-cmd --add-source=172.25.254.70 --zone=drop
###ssh链接断开
[root@localhost html]# killall -9 ssh
[root@des ~]# firewall-cmd --list-all --zone=drop
###在真机ping服务端不通且无报错
[root@localhost html]# ping 172.25.254.101

在这里插入图片描述

还原

[root@des ~]# firewall-cmd --remove-sources=172.25.254.70 --zone=drop
[root@des ~]# firewall-cmd --list-all --zone=drop

在这里插入图片描述
@将真机添加到block域

[root@des ~]# firewall-cmd --add-source=172.25.254.70 --zone=block
[root@des ~]# firewall-cmd --list-all --zone=block
###在真机ping服务端不通且有报错

在这里插入图片描述
还原

[root@des ~]# firewall-cmd --remove-sources=172.25.254.70 --zone=block
[root@des ~]# firewall-cmd --list-all --zone=drop

在这里插入图片描述
firewall默认文件

firewalld默认提供了九个zone配置文件: block.xml、dmz.xml、drop.xml、external.xml、
home.xml、internal.xml、public.xml、trusted.xml、work.xml
他们都保>存在“/usr/lib/firewalld/zones/”目录下。

永久删除服务(ssh)

合理运用火墙命令

[root@des ~]# firewall-cmd --permanent --remove-service=ssh
###--permanent指永久性的
[root@des ~]# firewall-cmd --list-all
###依然存在
[root@des ~]# firewall-cmd --reload
###重新载入
[root@des ~]# firewall-cmd --list-all

在这里插入图片描述
还原
在这里插入图片描述

端口修改

[root@des services]# cd  /lib/firewalld/services/
[root@des services]# ls
[root@des services]# vim ssh.xml 
[root@des services]# firewall-cmd --reload 
[root@des services]# systemctl restart firewalld.service 
[root@des services]# logout
[root@localhost Desktop]# ssh root@172.25.254.101
###退出后再次连接失败

在这里插入图片描述
在这里插入图片描述
还原
在这里插入图片描述

黑白名单的设定

白名单

##仅允许70主机仅可以访问ssh;ssh的端口22
[root@des ~]# firewall-cmd --list-all
[root@des ~]# firewall-cmd --permanent --remove-service=ssh
[root@des ~]# firewall-cmd --reload 
[root@des ~]# firewall-cmd --list-all
###从默认public域允许ssh服务中删除ssh
[root@des ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.70 -j ACCEPT
success
[root@des ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.26 -jACCEPT


参数的含义:
 --direct          #direct规则
 filter            #filter表
INPUT 1            #第一条链
-p tcp             #tcp协议
--dport 80         #目的地端口为80
-s                 #设定被允许访问的ip
-j                 #要执行的动作,ACCEPT表示接受,DROP表示丢弃,REJECT表示拒绝,

REJIEC有反馈
DROP无反馈
ACCEPT接收

在这里插入图片描述
在这里插入图片描述

测试
真机可连接,虚拟机ssh不通
在这里插入图片描述
还原

[root@des ~]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.70 -j ACCEPT
success
[root@des ~]# firewall-cmd --direct --get-all-rules

黑名单

##仅拒绝70主机ssh连接本机
[root@des ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.70 -j REJECT
success
##查看所有的direct规则
[root@des ~]# firewall-cmd --direct --get-all-rules ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.70 -j REJECT

在这里插入图片描述

测试

[root@localhost Desktop]# ssh root@172.25.254.101
ssh: connect to host 172.25.254.101 port 22: Connection refused

在这里插入图片描述
另一客户端

[root@localhost Desktop]# ssh root@1.1.1.101

在这里插入图片描述
还原

[root@localhost Desktop][root@des ~]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.70 -j REJECT

在这里插入图片描述

端口转发与在地址伪装

服务端充当路由器,之前已经配置两块不同ip的网卡
客户端(172.25.254.70)充当外网
客户端(1.1.1.201)充当内网

服务端

###开启内核路由伪装
[root@des ~]# vim /etc/sysctl.conf 
[root@des ~]# systemctl restart network
[root@des ~]# sysctl -a |grep ip_forward
net.ipv4.ip_forward = 1
###开启火墙伪装
[root@des ~]# firewall-cmd --list-all
###查看
[root@des ~]# firewall-cmd --permanent --add-masquerade 
######开启火墙伪装
[root@des ~]# firewall-cmd --reload 
[root@des ~]# firewall-cmd --list-all

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
客户端(1.1.1.201)

配置网关
[root@localhost Desktop]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
###配置网关
[root@localhost Desktop]# systemctl restart network
###重启网络
[root@localhost Desktop]# route -n
查看网关是否添加成功

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

测试

[root@localhost Desktop]# ping 172.25.254.70

在这里插入图片描述

myhyyyyyy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux用户用户管理及相关的防火墙命令
weixin_46062722的博客
11-25 174
Linux 用户用户管理 一、用户账号的添加、删除与修改。 一、Linux系统用户组的管理。 1.添加新的用户账号使用useradd命令,其语法如下: useradd 选项 用户名 参数说明: 选项: -c comment 指定一段注释性描述。 -d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录。 -g 用户组 指定用户所属的用户组。 -G 用户组,用户组 指定用户所属的附加组。 -s Shell文件 指定用户的登录Shell。 -u 用户号 指定用户用户号,如果同时有-
Ansible搭建K8S说明
数通畅联
11-29 3642
kubernetes可以实现容器集群的自动化部署。本篇文章以kubernetes1.14.0为例,介绍如何使用ansible进行K8S三台服务器非高可用的一键式离线安装。
个人笔记整理
qq_36459997的博客
12-09 1126
目录 目录 目录扫描局域网存活主机使用apt更新和升级系统软件ssh指定端口连接tar命令操作破解wifipin码破解查看磁盘Linux查看进程bash快捷键光标移动到行首行尾等c++编译命令JNI使用pip将pip源更换到国内镜像dockernginxvpn查看端口号占用烽火HG2201T网关git查看当前路径命令Linux zip命令用于压缩文件。unzip命令查看开机启动项服务项信息重载列出所有服务状态linux修改文件所有者和文件所在组Linux添加/删除用户用户组安装/配置mysqlxz压缩工具
【Linux】firewall防火墙配置-解决Zookeeper未授权访问漏洞
实施工程师从入门到放弃
11-27 931
zookeeper未授权访问漏洞,进行限制访问,采用防火墙访问策略。
设置访问权限_CentOS7利用Firewall对PostgreSQL设置安全的访问权限
weixin_35729243的博客
01-15 261
最近新上了一台PostgreSQL数据库服务器,研发提出了部分建议:所有开发人员只能访问PostgreSQL数据库,不能远程ssh登录该数据库服务器DBA组的成员可以ssh访问PostgreSQL数据库服务器DBA的管理服务器可以ssh访问PostgreSQL服务器补充:服务器所在网段可以不受限制的访问该PostgreSQL服务器考虑使用防火墙来实现该安全访问需求。启动防火墙前的检查操作首先查看该...
Firewalld防火墙管理(一)
weixin_44360341的博客
01-08 730
linux基础 从传统意义上防火墙技术分为三种:包过滤,应用代理,状态检测 linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的的包过滤防火墙,在Centos7系统中几种防火墙共存:firewalld,iptables,enbtables默认使用firewalld管理netfilter子系统 netfilter:linux内核中实现包过滤防火墙内部结构,不以程...
firewalld防火墙管理
Chen的博客
08-20 274
文章目录一、什么是防火墙?二、firewalld域三、防火墙的图像化管理1、使用图形化管理2、使用命令接口配置防火墙 一、什么是防火墙防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出 防火墙是系统的第一道防线,其作用是防止非法用户的进入 火墙是内核里面的一种插件 二、firewalld域 通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制...
Linux运维-4.服务管理-尚硅谷网络服务视频课程目录.zip
11-02
服务安全性是运维的重要任务,包括防火墙规则配置(iptables或firewalld),SELinux策略调整,以及用户和组权限管理。 十、自动化运维 通过编写Shell脚本或使用Ansible、Puppet等自动化工具,可以实现服务的...
firewall-cmd命令 防火墙管理
01-09
firewall-cmd提供了一个动态管理防火墙,支持网络/防火墙区域来定义网络连接或接口的信任级别。它支持IPv4、IPv6防火墙设置和以太网网桥,并将运行时和永久配置选项分开。它还支持服务或应用程序直接添加防火墙...
itamae-plugin-resource-firewalld:Itamae资源插件来管理firewalld
05-05
资源插件,用于管理 。 用法 service 'firewalld' do action [ :start , :enable ] end firewalld_zone 'external' do interfaces %w( enp0s8 enp0s9 ) services %w( ssh ) masquerade true notifies :restart ...
firewalld-filesystem-0.5.3-5.el7.noarch.rpm
11-30
离线安装包,亲测可用
Linux基础课件-firewalld服务的安装与启动.pptx
11-02
Linux操作系统基础
Centos7使用firewall防火墙
anhao的博客
05-31 926
一、常用命令 systemctl status firewalld # 状态 systemctl start firewalld # 启动 systemctl stop firewalld # 关闭 systemctl enable firewalld # 开机启动 systemctl disable firewalld # 取消开机启动 firewall-cmd --reload #重新载入一下防火墙设置,使设置生效 firewall-cmd --list-all-zones #查看所有 fire
linux中的火墙策略优化
z17609273238的博客
07-13 793
linux中的火墙策略优化
firewalld高级防火墙规则-Direct Rules
Vic的博客
07-12 3964
1.查看防火墙上设置的规则 2.添加高级规则 通过如下测试来理解高级规则: 1)开启httpd服务并且httpd服务添加火墙策略 2)添加规则:允许172.25.254.77通过80端口访问172.25.254.110的httpd服务 3) 添加这条规则之后,172.25.254.10可以访问110的http服务 而其他主机不可以访问110的http服务 1)添加规则:只允许172.25.254.77通过22端口访问主机位为110的ssh服务 2)添加上述规则之后, 只有172.25.
Linux下的防火墙
大新软件老杨
05-19 810
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.10.20 -p tcp --dport 80 -j REJECT //拒绝IP为192.168.10.20的访问tcp的80端口 --direct 规则 --add-rule 添加规则 ipv4 filter 指定为ipv4的filter表 INPUT 链 -s 数据来源 -p采用的协议 --dport 目的地端口 -j 行为动作。版权声明:本文为CSDN博主「不想上课。
firewalld防火墙
一个废人的博客
08-02 779
firewalld防火墙 1.firewalld防火墙入口 防火墙开放端口可使用区域开放 firewall-cmd --permanent --add-port=80/tcp --add-port=8080/tcp 或者是使用netfilter模块 firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -s 172.16.4.0/23 -j ACCEPT 禁止所有流量进入 firewall-cmd --permanent --di
Linux防火墙firewall的使用
热门推荐
ck784101777的博客
07-10 2万+
使用软件:firewall 作用: 隔离 众多的策略,允许出站,严格控制入站 firewalld服务基础 • 系统服务:firewalld管理工具:firewall-cmd(命令)、firewall-config(图形化界面) 一、四个基本区域 根据所在的网络场所区分,预设保护规则集 – public:仅允许访问本机的ssh dhcp ping服务 – trusted:允许任...
聚类算法-一种无监督学习方法.docx
最新发布
08-12
聚类算法是一种无监督学习方法,用于将数据集中的数据点自动分组到不同的类别中,这些类别也称为“簇”或“群”。聚类的目标是让同一簇内的数据点尽可能相似,而不同簇之间的数据点尽可能不相似。聚类算法广泛应用于多种领域,如数据挖掘、模式识别、图像分析、信息检索等。 聚类算法的基本概念 无监督学习:聚类算法不需要事先标记数据点的类别标签,而是根据数据本身的相似性来分组。 相似性度量:聚类算法依赖于某种相似性或距离度量来决定数据点之间的相似程度。常用的度量包括欧氏距离、曼哈顿距离等。 目标函数:大多数聚类算法都会尝试最小化某种目标函数,例如簇内的平方误差和(SSE)。 常见的聚类算法 K-Means K-Means 是一种原型聚类算法,它通过迭代地将数据点分配到最近的质心来形成簇,并重新计算每个簇的质心,直到质心不再显著变化为止。 在 Python 的 scikit-learn 库中,可以通过 KMeans 类实现 K-Means 聚类。 层次聚类 层次聚类构建一个树状图(称为树状图或 dendrogram),显示数据点是如何逐渐合并成簇的。 这种算法可以是凝聚型(自底向上)或分裂型(自顶向下)。
Linux安全管理Firewalld与SELinux详解
第十三章深入探讨Linux系统安全管理,重点聚焦于Firewalld防火墙管理和SELinux安全策略。Firewalld是RHEL8及其后续版本中的核心防火墙服务,它作为host-level防火墙,与传统的iptables和ip6tables形成互补,提供了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值