【内网】配置firewalld

已于 2024-08-16 14:34:51 修改
阅读量354 收藏 3
点赞数 2
分类专栏: 我不想搞服务器了TAT 文章标签: 服务器 linux 运维
于 2024-08-15 15:05:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43497436/article/details/141221663
版权

给服务器配置firewalld服务,启动服务没有报错,但是查看服务状态是没拉起来的

报错: ERROR: Failed to read file "/proc/sys/net/netfilter/nf_conntrack_helper": [Errno 2] No such file or directory: '/proc/sys/net/netfilter/nf_conntrack_helper'

然后在

kernel - Centos 7 Firewall Defaultly Not Working - Unix & Linux Stack Exchange

 中找到了一个解决办法(我也不知道引起这个的原因是什么,用下面的指令可以解决该报错)

depmod
systemctl restart firewalld

防火墙策略配置

不知道为什么我的访问策略设置了之后,要么就所有的ip都可以访问,要么就大家都不可以访问

比如我本机ip是:192.168.0.1;服务器的ip是:192.168.0.100

我配置了的语句是

firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.0.1' port port='22' protocol='tcp' accept"

单这一句的话,我自己的机器可以访问服务器,但是隔壁的 192.168.0.2机器也可以访问服务器

然后在网上看了之后又加了一句“拦截所有对22端口的访问”

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="22" protocol="tcp" reject

网上查到说:这句要放在放行那句的后面,因为防火墙的策略是从上往下的

但是添加了这条之后我的本机也不能访问服务器了…

于是弃用了这个方法,改用别的方法,见下文

Zone的概念

https://www.cnblogs.com/pixy/p/5156739.html

这篇文章中介绍了zone的概念(以下内容引用于上面的两篇文章) 

  • firewalld提供了9个zone:
    • drop        任何流入的包都被丢弃,不做任何响应。只允许流出的数据包。
    • block    任何流入的包都被拒绝,返回icmp-host-prohibited报文(ipv4)或icmp6-adm-prohibited报文(ipv6)。只允许由该系统初始化的网络连接
    • public     默认的zone。部分公开,不信任网络中其他计算机,只放行特定服务。 
    • external    只允许选中的服务通过,用在路由器等启用伪装的外部网络。认为网路中其他计算器不可信。
    • dmz         允许隔离区(dmz)中的电脑有限的被外界网络访问,只允许选中的服务通过。
    • work          用在工作网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。
    • home        用在家庭网络。信任网络中的大多数计算机,只允许选中的服务通过。
    • internal     用在内部网络。信任网络中的大多数计算机,只允许选中的服务通过。
    • trusted     允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过(一路绿灯)。

 白名单配置

https://www.cnblogs.com/sangria/p/18176900

 1、配置信任源

# 添加 IP 地址范围到 "trusted" 的区域
# firewall-cmd --permanent --zone=trusted --add-source=10.60.22.0/24 这条的文章里的

firewall-cmd --permanent --zone=trusted --add-source=192.168.0.1

# 删除IP

firewall-cmd --permanent --zone=trusted --remove-source=192.168.0.1

2、配置默认拒绝

# 将默认的防火墙区域设置为 "drop",drop区域会把所有的包丢弃,但是trusted区域优先级会更高就不会被丢弃
firewall-cmd --set-default-zone=drop
# 将网络接口 eth0 分配给 "drop" 区域
firewall-cmd --permanent --zone=drop --change-interface=eth0 

3、重新加载防火墙配置

firewall-cmd --reload
firewall-cmd --get-active-zones 

配置成功应该得到如下结果

drop
  interfaces: eth0
trusted
  sources: 192.168.0.1

现在测试,就可以让白名单中的ip正常访问了 。

#!/bin/bash

# 定义一个数组,保存所有要放行的IP地址范围
trusted_sources=(
  "10.60.22.0/24"
  "10.60.23.0/24"
)

# 遍历数组,添加 IP 地址范围到 "trusted" 区域
for ip in "${trusted_sources[@]}"; do
  firewall-cmd --permanent --zone=trusted --add-source="$ip"
done

# 配置默认拒绝
firewall-cmd --set-default-zone=drop

# 将网络接口 eth0 分配给 "drop" 区域
firewall-cmd --permanent --zone=drop --change-interface=eth0

# Reload 防火墙
firewall-cmd --reload

# 显示当前活动的防火墙区域
firewall-cmd --get-active-zones

到这里我还不明白为什么一开始给public配置的策略不生效

下面是一个脚本,用来配置firewalld,放行指定ip访问指定端口(emmm不好用,建议不用)

#!/bin/bash

# 启动 firewalld
sudo systemctl start firewalld
sudo systemctl enable firewalld

# 定义一个包含允许访问的IP地址的数组
ALLOWED_IPS=("192.168.1.1" "192.168.1.2" "192.168.1.3")  # 添加更多 IP 地址到数组中

# 遍历数组并为每个 IP 地址添加防火墙规则
for IP in "${ALLOWED_IPS[@]}"; do
    echo "Allowing access from $IP to ports 3306 and 22..."
    
    # 允许 IP 访问 3306 端口
    sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='$IP' port port='3306' protocol='tcp' accept"
    
    # 允许 IP 访问 22 端口
    sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='$IP' port port='22' protocol='tcp' accept"
done

# 拒绝所有其他 IP 对 3306 端口的访问
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="3306" protocol="tcp" reject'

# 拒绝所有其他 IP 对 22 端口的访问
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port port="22" protocol="tcp" reject'

# 重新加载 firewalld 以应用更改
sudo firewall-cmd --reload

# 显示当前配置以供验证
sudo firewall-cmd --list-all
sudo firewall-cmd --list-rich-rules

echo "Firewalld configuration completed."

不吃香菜的zbw
关注
专栏目录
Linux下实现Firewalld Net 外网端口转发至内网
运维密码
06-10 594
前提条件: 公网服务器至少需要2个网卡,一个配公网一个配内网内网服务器网卡配置同公网服务器相同内网内网地址 如果安装过iptables的机器,需要先停止,然后设置开机禁用: servcie iptables stop --临时关闭防火墙 chkconfig iptables off --永久关闭防火墙 ...
Firewalld防火墙实例配置
ML908的博客
04-12 1527
文章目录环境拓扑需求描述一、环境配置二、防火墙配置1、在网站服务器配置防火墙2、网关服务器配置防火墙3、企业内网访问外网web服务器4、外网web服务器访问企业内部网站服务器三、总结问题总结解决方案 环境拓扑 需求描述 1、 网关服务器连接互联网网卡ens33地址为100.1.1.10,为公网IP地址,分配到firewall的external区域;连接内网网卡ens36地址为192.168.1...
iptables 与firewalld 防火墙.docx
07-07
iptables 与firewalld 防火墙配置使用方法,具体的区别,过滤不合法的流,centos7中配置
netfilter之conntrack-helper
fengcai_ke的博客
07-18 1816
netfilter conntrack-helper
Linux 防火墙
qq_45467372的博客
12-25 545
本文主要内容: iptables简介; iptables的五链五表 iptables的规则说明; iptables的扩展模块; iptables规则保存方法
解决CubeCloud Centos7系统firewalld不能启动的问题 简单的使用
Kenneth-peng
09-06 4197
出现的问题 cubecloud的centos7修改使用了iptables防火墙,但他的firewalld不能启动。注意iptables和firewalld不能同时运行 systemctl disable iptables 禁止开机启动iptablessystemctl stop iptables 关闭iptables 问题1启动报错 systemctl restart firewalldF...
如何解决系统报错:nf_conntrack: table full, dropping packets
n9ecommunity的博客
06-12 1261
如果这个值跟上面介绍的 nf_conntrack_max 已经很接近了,就说明快满了,需要调大 nf_conntrack_max。为了缓解大量连接的问题,您可能还需要考虑减少服务器等待连接关闭/超时的时间。这说明系统接到了大量的连接请求,但是系统的连接跟踪表已经满了,无法再记录新的连接了。显然,调大最大值的限制就可以了。不过更大的限制意味着可以承接更多连接,意味着要耗费更多资源,这点要注意。如果流量比较小,这个值是没问题的,但如果流量巨大,这个值可能就有点太小了。catpaw 的入门使用,可以参考文章:《
CentOS7 防火墙基础设置
ZZC's Blog
07-13 781
CentOS7服务器的基础防火墙设置命令
内网安装firewalld
最新发布
10-14
5. 配置firewalld规则,可以使用以下命令进行添加: ``` firewall-cmd --zone=public --add-port=80/tcp --permanent ``` 该命令表示添加一个永久的规则,允许公共区域的80端口的TCP流量通过。 6. 配置完成后,...
Linux firewalld内网如何配置SNAT
06-10
1. 编辑firewalld配置文件/etc/firewalld/direct.xml,添加SNAT规则。例如: ```xml <rule ipv="ipv4" table="nat" chain="POSTROUTING" priority="0">-s 192.168.1.0/24 -j SNAT --to-source 公网IP地址 ``` ...
firewalld防火墙(一)firewalld防火墙的基本应用 防火墙的基本配置 配置防火墙规则
月亮不营业Mk的博客
12-03 506
firewalld防火墙 结构 概述 以上两种称呼都可以表示Linux 防火墙 防火墙:管理防火墙内核的工具 firewalld防火墙的配置方法 进入图形化界面 [root@centos01 ~]# init 5 启动防火墙服务 [root@centos01 ~]# systemctl start firewalld 在图形化中启动firewalld服务 [root@centos01 ~]# friewall-config 默认所有网卡都属于public区 切换到字符界面 [root@c
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
sysctl -p报错 sysctl: cannot stat /proc/sys/net/nf_conntrack_xxxx: No such file or directory
ZYYPDH的博客
11-18 2万+
1、执行sysctl -p时报错如下: sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_max: No such file or directory sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established: No such file or directory sysctl: cannot stat /proc/sys/net/netfil
解决报错:kernel: nf_conntrack: falling back to vmalloc
TN947的博客
12-30 4588
CentOS Linux release 7.6.1810 (Core)  Linux localhost.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 解决报错:kernel: nf_conntrack: falling back to v...
Linux Netfilter 内核参数调优
屈帅波的技术博客
03-06 5044
Netfilter 是linux 内在的一个软件框架,用来记录管理网络数据包,Netfilter提供了5个hook 来记录管理网络包。 Netfilter进行包的管理,则需要记录每个连接的状态信息。这就是nf_conntrack的工作内容。 PREROUTING, 所有包都会经过这个hook LOCAL INPUT, 进入本机的包会经过这个hook FORWARD, 不进入本机的包,做转发的包会经过这个hook LOCAL OUTPUT, 从本机出去的包会经过这个hook POSTROUTING, 所.
Linux 配置网络案例
云满笔记
12-08 469
防火墙是 Linux 系统的主要的安全工具,可以提供基本的安全防护,在 Linux 历史上已经使用过的防火墙工具包括:ipfwadm、ipchains、iptables。在 Firewalld 中新引入了区域(Zones)这个概念。本文介绍一下使用最新版本的 firewalld 构建动态防火墙的方法和使用技巧,本文使用的 Linux 发行版本是 RHEL 7.0。firewalld 提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具。
linux配置防火墙信息
weixin_42548604的博客
12-10 1660
firewall-cmd--permanent--add-rich-rule="rulefamily="ipv4"sourceaddress="IPV4IP地址"portprotocol="tcp"port="端口可以批量"accept" 配置完上面后.需要重新加载 firewall-cmd--reload 最后可以查看有没有在里面生效 firewall-cmd--list-all ...
第2篇:Linux防火墙-firewalld的rich规则配置
10-31 5631
第2篇:Linux防火墙-firewalld的rich规则配置 这是承接上一篇的内容 在某些情况下,我们可能需要创建更复杂的规则,而不仅仅是允许区域中的某些端口或服务。例如,我们可能想要创建一条规则来阻止来自特定机器的某种类型的流量。这就是rich规则的意义所在。规则基本上由两部分组成:在第一部分中,我们指定要应用规则必须满足的条件,在第二部分中,指定要执行的操作:accept、drop或reject 实验目的 在下面的实验拓网络拓扑中,防火墙的ens33网卡是分配到external区域,ens3.
关于Centos7防火墙命令使用
酒心★
10-22 212
查看防火墙状态。得到结果是running或者not running firewall-cmd --state 在running 状态下,向firewall 添加需要开放的端口: 比如: firewall-cmd --permanent --zone=public --add-port=80/tcp 这样外部设备就可以访问到80端口了。 重新加载配置,使得修改(刚刚的添加要开放的端口)有效。 f...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值