linux Firewalld学习笔记

最新推荐文章于 2024-03-15 18:19:26 发布
最新推荐文章于 2024-03-15 18:19:26 发布
阅读量470 收藏
点赞数
分类专栏: iptables与Firewalls 文章标签: linux firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nightwish5/article/details/132396527
版权

1、Firewalld默认策略

默认情况会阻止流量流入,但允许流量流出。
在这里插入图片描述

2、Firewalld区域概念

拒绝区域drop、默认区域public、允许区域trusted
在这里插入图片描述

3、区域规则

区域与网卡接口
在这里插入图片描述
默认区域规则
常用的有trusted (相当于白名单)、work/public 区、dmz/drop区
在这里插入图片描述

4、语法规则介绍

区域命令语法和接口命令语法
在这里插入图片描述
服务命令语法、 端口命令语法、管理命令语法
在这里插入图片描述

5、Firewalld区域配置(重点*)

systemctl start firewalld

firewall-cmd --get-default-zone
firewall-cmd --list-all
#下图显示的默认区域是public,绑定eth0和eth1网卡。`仅`允许访问ssh、dhcpv6-client

在这里插入图片描述

5.1多区域配合使用
#要求
使用firewalld各个区域规则结合配置
调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.0/24网段则允许。

1.将默认的public区域中的服务全部删除;
⒉.将来源地址来自于10.0.0.0/24统统都走白名单

#操作
firewall-cmd --remove-service=ssh
firewall-cmd --remove-service=dhcpv6-client
firewall-cmd --list-all

firewall-cmd --add-source=10.0.0.0/4 --zone=trusted
firewall-cmd --get-active-zone

在这里插入图片描述

在这里插入图片描述

6、Firewalld规则配置

#刚才上述的操作是临时的,如果是有重载,则刚才配置全部失效
firewall-cmd --reload
6.1配置端口规则
#单个 与 多个
firewall-cmd --add-port=80/tcp
firewall-cmd --add-port={80/tcp,8080/tcp}

#永久
firewall-cmd --add-port={80/tcp,8080/tcp} --permanet
firewall-cmd --reload

#查看放行端口
firewall-cmd --list-ports

#移除端口规则
firewall-cmd --remove-port={80/tcp,8080/tcp}

在这里插入图片描述

6.2配置服务规则
firewall-cmd -add-service=http
firewall-cmd -add-service={http,https}

在这里插入图片描述
可放行的服务列表

firewall-cmd --get-services

在这里插入图片描述

6.2.1 自定义放行的服务 (可略)
rpm -ql firewalld
cd /usr/lib/firewalld/services/
cp ssh.xml zabbix-agent.xml ;  vim zabbix-agent.xml
firewall-cmd --reload
firewall-cmd -add-service=zabbix-agent

在这里插入图片描述

8、Firewalld实现路由器功能

8.1 Firewalld-实现DNAT
#都开启ipv4转发 ,#添加下面一行
vim /etc/sysctl.conf
net.ipv4.ip_forward=1

#使内核修改生效
sysctl -p

#环境说明
#eth0可连接外部网络,eth1对应的网段是内网网段
Firewalld
	eth0:  10.0.0.200     5555端口
	eth1:  172.16.1.200    

web:
	eth1:  172.16.1.9     22端口

在这里插入图片描述

#实现外部网络访问内部资源
firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.9

#iptables写法
#iptables -t nat -I PREROUTING -d 10.0.0.200 -p tcp --dport 5555 -j DNAT --to-destination 172.16.1.9:22

在这里插入图片描述
测试操作
在这里插入图片描述

8.12Firewalld-实现SNAT

在指定的带有公网IP的服务器上启动Firewalld实现内部集群共享上网;
在这里插入图片描述

#firewalld机器操作。 确保firewalld端可以上网,配置开启masquerade 即可,暂不用写snat规则。
firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

#客户端将网关指向firewalld服务器,配置DNS
#web03操作
cat /etc/sysconfig/network-scripts/ifcfg-eth1
GATEWAY=172.16.1.61
DNS1=223.5.5.5

nmcli connection reload
nmcli connection down eth1 && nmcli connection up eth1

firewalld端
在这里插入图片描述

web端
在这里插入图片描述

END

9、 Firewalld复规则Rule

firewalld中的富规则表示更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号

源地址和目标地址等诸多信息进行更有针对性的策略配置,优先级在所有的防火墙策略中也是最高的。

语法:
在这里插入图片描述
rule执行顺序
在这里插入图片描述

9.1 示例1

在这里插入图片描述
在这里插入图片描述

#1.比如允许10.0.0.10主机能够访问http服务,允许172.16.1.0/24能访问22端口
firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.10/32 service name=http accept'
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh accept'
9.2 示例2

在这里插入图片描述

#⒉默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name="ssh" drop'
9.3 示例3

在这里插入图片描述

#2.使用firewalld,允许所有人能访问http, https服务,但只有10.0.0.1主机可以访问ssh服务
firewall-cmd --reload
firewall-cmd --remove-service=ssh
firewall-cmd --add-service={http,https}
firewall-cmd --add-rich-rule "rule family=ipv4 source address=10.0.0.1/32 port="22" protocol="tcp" accept "
9.4 示例4

在这里插入图片描述

#4.当用户来源卫地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.9的22端口
firewall-cmd --add-masquerade
firewall-cmd --add-rich-rule'rule family=ipv4 source address=10.0.0.1/32 forward-port port="5555"  protocol="tcp" to-port="22" to-addr="172.16.1.9"'

by oldxu
END

Nightwish5
关注
专栏目录
firewalld(7)NAT、端口转发
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-03 1275
在前面的文章中已经介绍了firewalld了zone、rich rule等规则设置,并且在iptables的文章中我们介绍了网络防火墙、还有iptables的target,包括SNAT、DNAT、MASQUERADE、REDIRECT的原理和配置。那么在这篇文章中,将继续介绍在firewalld中的NAT的相关配置使用。
Linux学习笔记26-2】Linux的火墙优化策略之firewalld
weixin_46069582的博客
12-10 352
文章目录1. firewalld与iptables的关系2. 火墙管理工具切换2.1 firewalld切换到iptables2.2 iptables切换到firewalld3. firewalld主要目录信息4. firewalld的域5. firewalld管理命令6. firewalld高级规则6.1 高级规则示例7. firewalld中的SNAT(内网访问外网)7.1 路由器端7.2 客户端配置8. firewalld中的DNAT(外网访问内网)8.1 路由器端7.2 客户端配置 1. fir
12.16firewalld防火墙、iptables防火墙
weixin_46837396的博客
04-05 388
一、防火墙基本概述 二、防火墙区域管理 三、防火墙基本指令参数 1.firewall-cmd命令分类列表 四、防火墙区域配置策略 1.禁用与取消禁用防火墙 2.操作防火墙 3.firewalld常用命令 1)查看默认使用的区域 2)查看默认区域的规则 3)查看指定区域的默认规则 4)查看区域是否允许某服务 五、防火墙配置 1.firewalld放行服务 1)firewalld放行一个服务 2)firewalld放行多个服务 3)自己添加服务,配置规则 2.firewalld放行端口 1)firewalld
firewalld
Yy_qingmofeige的博客
06-09 733
准备: 重置虚拟机,一个0网段,一个250网段 firewalld可以直接用协议的名称,iptables限制的是协议的端口 stop停止 mask冻结弃用 -------------------------------------------------------------------------------- [root@server ~]# systemctl status f
Firewalld火墙策略管理
thermal_life的博客
03-25 464
####### firewalld ####### 1 firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewalld ##2.关于firewalld的域 ## tru...
Firewalld防火墙使用详解
最新发布
Eucalyptus's blog
03-15 1013
firewall-cmd #是命令行配置firewall-config #是图形化配置 默认中文不支持福规则的动作设置需要LANG=C 转一下英文ASCII环境端口转发需要用到forward-port7、防火墙富规则策略具体配置案例查询firewalld.richlanguage。
linux_linux个人学习笔记_
09-29
以下是对“Linux Linux个人学习笔记”内容的详细解释: 一、Linux指令集 在Linux中,命令行是进行日常操作的主要工具。学习Linux首先要掌握基本的命令,如ls(列出目录内容)、cd(切换目录)、pwd(显示当前工作...
linux系统学习笔记和资料
07-12
Linux系统学习笔记和资料主要涵盖了Linux操作系统的基本概念、安装、常用命令、系统管理以及更深入的编程和服务器配置等内容。Linux是一种开源的操作系统,广泛应用于服务器、云计算、嵌入式设备等多个领域。以下是...
linux学习笔记
11-20
Linux学习笔记概述 Linux是一种开源的操作系统,以其稳定、安全和可定制性著称,广泛应用于服务器、嵌入式设备及个人计算机上。本学习笔记旨在帮助初学者和有一定经验的用户深入理解Linux系统,包括基本操作、...
linuxlinux学习笔记
02-07
以下是对"Linux学习笔记"的详细解读: 1. **Linux发行版** Linux有众多发行版,如Ubuntu、CentOS、Fedora、Debian等,每个发行版都有其特色和适用场景。初学者可以选择用户友好、社区支持丰富的Ubuntu或Linux Mint...
Firewalld配置指定网段访问1-65535端口/指定IP访问指定端口
著名艺术家
06-15 5751
前言条件:改完配置文件后重载一下防火墙服务 条件: 内网环境的特定服务器,现在只允许指定IP或IP段进行访问,其他一律屏蔽,配置步骤如下 #先确认并开启firewalld服务 systemctl status firewalld systemctl enable firewalld systemctl start firewalld #直接编辑xml配置文件,比用firewall-cmd命令更方便其实(CentOS7里面默认就一个public.xml配置文件) #Ubuntu系统中的默认public.xm
Linuxfirewalld防火墙学习笔记220929
kfepiza的博客
09-30 1132
预定义文件夹 :自定义文件夹 :来自官方文档 https://firewalld.org/documentation/zone/predefined-zones.htmlPredefined Zones 预定义区域下面这些是 firewalld 提供的预定义区域,根据其默认的信任级别从不信任到信任排序, 按信任度从低到高排列drop信任度最低任何传入的网络数据包都被丢弃,没有回复。只有传出网络连接是可能的。只能发送,不能接收block任何传入的网络连接都会被拒绝,并使用 IPv4 的。
记一次主机入侵攻防大战:firewalld防火墙指定的IP段的端口访问控制
晨曦蜗牛
04-24 4944
一、背景 一大早来公司,登录那台暴露在外网的服务器,登录成功的时候,看到160000+次登录失败的记录,看到这个我和我的小伙伴们都惊呆了,是谁那么执着?小伙伴还开玩笑说是不是谁跟你有世仇啊,这么搞你!来活了,我的服务器我做主,搞起,who怕who? 二、具体操作 1、last看一下是否有异常ip及账户登录记录. [root@DCGH ~]# last -100 ivandu pts...
firewalld的配置
a18829898663的博客
06-05 4544
firewalld的配置
firewalld对指定IP开放指定端口的配置
热门推荐
覃冠日的博客
06-14 3万+
firewalld 添加防火墙规则(对指定ip开放指定端口)
centos7上通过firewalld配置网关服务器
B.I.T
06-01 6664
使用场景:有多台内网服务器,其中只有一台能够访问外网,但其他内网服务器也希望访问外网假设内网网段为:192.168.1.0/24 可访问外网的内网服务器的内网IP为:192.168.1.1 可访问外网的内网服务器的内网网络接口为:enoXXXXXXX在可以访问外网的服务器上做如下配置: 1) 开启ip_forward转发# 在/etc/sysctl.conf中添加 net.ipv4.ip_fo
firewalld防火墙的配置管理
lilygg的博客
12-14 1546
1.启用firewalld ##安装firewalld [root@localhost Desktop]# yum install -y firewalld firewall-config ##开启firewalld [root@localhost Desktop]# systemctl start firewalld ##开机自启 [root@localhost Desktop]# syste...
firewalld服务
xixlxl的博客
03-01 2103
firewalld服务在企业7以上的版本,,是一款类似于windows界面的可以图形化设置防火墙策略的工具。 一.firewalld服务的安装与启用 yum install firewalld ##安装firewalld服务 systemctl start firewalld ##启用firewalld服务 systemctl enable fir...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值