Linux下firewalld命令管理详解
1.firewalld中的区域管理
| 阻塞区域(block) | 任何传入的网络数据包都将被阻止 |
|---|---|
| 工作区域(work) | 相信网络上的其他计算机,不会损害你的计算机 |
| 家庭区域(home) | 相信网络上的其他计算机,不会损害你的计算机 |
| 公共区域(public) | 不相信网络上的任何计算机,只有选择接受传入的网络连接 |
| 隔离区域(DMZ) | 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接 |
| 信任区域(trusted) | 所有的网络连接都可以接受 |
| 丢弃区域(drop) | 任何传入的网络连接都被拒绝 |
| 内部区域(internal) | 信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接 |
| 外部区域(external) | 不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接 |
常用区域管理方法:
firewall-config ##开启火墙的图形管理
firewall-cmd --state #查看防火墙状态
firewall-cmd --get-active-zones #查看正在生效的域
firewall-cmd --get-default-zone #查看默认的域
firewall-cmd --zone=public --list-all #查看public域里的设置,--zone指定域
firewall-cmd --list-all #列出默认域的火墙情况
firewall-cmd --set-default-zone=public #把默认的域设为public
firewall-cmd --get-zones #查看所有的域
firewall-cmd --get-services #查看所有可以添加到火墙里的服务
firewall-cmd --list-all-zones ##查看所有域的所有设置
注:Firewalld的默认区域是public
2.基本命令用法
| 参数 | 功能 |
|---|---|
--permanent | 永久设定 |
--zone | 指定域 |
--add-service | 添加服务 |
--remove-service | 删除服务 |
--add-source | 添加主机ip |
--remove-source | 删除主机ip |
--add-port | 添加端口 |
--remove-port | 删除端口 |
--add-interface | 添加网卡 |
--change-interface | 改变网卡 |
--remove-interface | 删除网卡 |
参数用法示例:
firewall-cmd --permanent --zone=trusted --add-source=172.25.0.1 #添加外来主机ip到trusted域
firewall-cmd --permanent --zone=trusted --remove-source=172.25.0.1 #从trusted域中删除外来主机ip
firewall-cmd --permanent --zone=trusted --add-interface=eth0 #添加网卡到指定的域
firewall-cmd --permanent --zone=trusted --change-interface=eth0 #改变网卡所在的域
firewall-cmd --permanent --zone-trusted --remove-interface=eth0 #将网卡从指定域上面删除
firewall-cmd --permanent --zone=public --add-service=smtp #永久添加服务
firewall-cmd --permanent --zone=public --remove-service=smtp #永久移走服务
firewall-cmd --zone=public --list-ports #列出允许的端口
firewall-cmd --permanent --zone=public --add-port=8080/tcp #永久添加端口
firewall-cmd --permanent --zone=public --remove-port=8080/tcp #永久删除端口
注意:
1.在设定火墙策略时,可以加--permanent参数永久设定;临时设定时则不加该参数
2.永久设定后,火墙策略不会立即生效,需要进行重新加载,两种方式如下:
firewall-cmd --reload #重新加载使其生效,但是不会断开已经连接的
firewall-cmd --complete-relode #重新加载,并且断开所有的连接
3.设定火墙规则
指定主机访问指定端口:
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.1 -p tcp --dport 22 -j ACCEPT #添加只有主机172.25.254.1可以ssh访问本机
注释:
filter(规则表)
INPUT(链)
1(写在第一条)
-s(源ip) 172.25.254.1
-p(协议类型) tcp
--dport(目的端口) 22
-j(动作) ACCEPT
动作:
accept 接受客户端的请求
reject 拒绝请求,但是给客户端有回应,客户端不再访问
drop 丢弃,没有回应,客户端会一直发数据包,加大负载
firewall-cmd --direct --get-all-rules #查看规则
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.254.1 -p tcp --dport 22 -j ACCEPT#删除规则
!除了指定主机外的主机访问指定端口:
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.1 -p tcp --dport 22 -i ACCEPT #除了指定ip地址的主机不使用此策略,其他主机都使用此策略(指定的使用默认策略)
4.端口伪装功能
由内网到外网:内网知道外网
实验环境:
nigar 172.25.254.36
server1 eth0网卡:172.25.254.1 eth1网卡:1.1.1.11
server2 eth0网卡:1.1.1.22 网关:1.1.1.11
实验目的:开启端口伪装功能,使得nigar与server2互通
步骤:
在server1上:
step1 开启端口伪装:
firewall-cmd --list-all #看端口伪装功能是否开启
firewall-cmd --permanent --add-masquerade #添加伪装功能
firewall-cmd --reload #加载才能使永久添加生效
step2 开启路由功能:
sysctl -a | grep ip_forward #查看路由功能是否开启
vim /etc/sysctl.conf #写入下面内容
net.ipv4.ip_forward = 1
5.地址转发功能
由外网到内网,外网不知道内网
实验环境:
nigar 172.25.254.36
server1 eth0网卡:172.25.254.1 eth1网卡:1.1.1.11
server2 eth0网卡:1.1.1.22 网关:1.1.1.11
实验目的:使用nigar主机ssh连接172.25.254.1时,实际连接的是server2主机
步骤:开启地址转发功能
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.22
firewall-cmd --reload
测试:
在未开启地址转发功能时:ssh连接172.25.254.1,即连接的server1
开启后:ssh连接172.25.254.1,连接的主机为server2
329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
