了解火墙的基本信息
firewalld
动态防火墙后台程序提供了一个动态管 理的防火墙,用以支持网络“zone”,以分配对一个网络及其相关链接和界面一定程度上的信任。它具备对IPV4和 IPV6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口.
火墙的基本域:
trusted(信任) | 可接受所有的网络连接 |
home(家庭) | 用于家庭网络,仅接受ssh,mdns,ipp-client,samba-client或dhcp服务连接 |
internal(内部) | 用于内部网络,仅接受ssh,mdns,ipp-client,samba-client或dhcpv6服务连接 |
work(工作) | 用于工作区,仅接受ssh,ipp-client或dhcpv6服务连接 |
public(公共) | 在公共区域内使用,仅接受ssh或dhcpv6服务连接 |
external(外部) | 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接 |
dmz(非军事区) | 仅接受ssh服务连接 |
block(限制) | 拒绝所有网络连接 |
drop(丢弃) | 任何接收的网络数据包都被丢弃没有任何回复 |
火墙的图形化管理
安装图形化火墙
yum install firewall-config -y
开启图形化管理界面
firewall-config
使用命令行接口配置防火墙 :
实验基础配置:
安装开启火墙:
yum install firewalld firewall-config -y 安装火墙和火墙图形界面
systemctl start firewalld 开启火墙
systemctl stop firewalld 关闭火墙
systemctl start firewalld 重启火墙
systemctl enable firewalld 开机时启动火墙
systemctl disable firewalld 开机时不启动火墙
systemctl mask firewalld 彻底关闭火墙
在desktop上
在server上
实验一:把eth1加入到trusted域,实现对1.1.1.100的访问
实验之前
查看火墙列表,如果eth0,eth1都是public改eth1为trusted
实验后
实验二:给火墙添加hhtp服务,实现真机访问172.60.254.100
实验三:比较--reload和--compelete-reload的区别
删除ssh服务需要加permanent,因为会reload后自动重新加载ssh
--reload
--complete-reload
实验四:修改ssh端口
编辑ssh.xml文件
重新加载火墙
在真机上测试发现不能使用ssh去连接desktop
实验五:添加火墙规则
firewalld的地址伪装和端口转发
地址伪装
实现不同网段的ip可以ping通
在desktop上
在server上
端口转发