firewalld 防火墙策略

已于 2024-07-18 15:06:11 修改
阅读量5.2k 收藏 24
点赞数 27
文章标签: 网络 tcp/ip 网络协议
于 2022-03-11 21:25:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44379042/article/details/123433624
版权

一 下面都是在public区

firewalld防火墙默认情况下(也就是public区域)是拒绝所有的,但是public区默认情况下ping和ssh服务都是放开的

[root@node-1 ~]#  firewall-cmd  --list-all --zone public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp0s3 enp0s8
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

#网关

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200." accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.112" accept"
firewall-cmd --reload
firewall-cmd --permanent  --remove-rich-rule="rule family="ipv4" source address="192.168.200.1" accept"
firewall-cmd --permanent  --remove-rich-rule="rule family="ipv4" source address="192.168.200.112" accept"

1.首先要允许网关及跳板机登录服务的22端口
2.其次在添加应用端口的ip规则

#添加允许规则:add-rich-rule accept

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.1" port protocol="tcp" port="22" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.111" port protocol="tcp" port="22" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.112" port protocol="tcp" port="22" accept"

#移除规则:remove-rich-rule

firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.200.111" port protocol="tcp" port="22" accept"
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.200.112" port protocol="tcp" port="2230" accept"

#添加拒绝策略:reject

firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=192.168.200.113 reject"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.1" port protocol="tcp" port="80" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.200.112" port protocol="tcp" port="80" accept"
firewall-cmd --reload

拒绝某一个ip必须写拒绝策略,允许也是如此,如果规则限制到端口的级别,

Firewalld 是可用于许多 Linux 发行版的防火墙管理解决方案,它充当 Linux 内核提供的 iptables 数据包过滤系统的前端。
在本教程中,介绍如何为服务器设置防火墙,并使用 firewall-cmd 管理工具来管理防火墙添加 IP 白名单。

Firewalld 中的基本概念
区域(zone)
区域(zone)基本上是一组规则,它们决定了允许哪些流量,具体取决于你对计算机所连接的网络的信任程度。为网络接口分配了一个区域,以指示防火墙应允许的行为。
Firewalld 一般已经默认内置了 9 个区域(zone),大部分情况下,这些已经足够使用,按从最不信任到最受信任的顺序为:

drop:最低信任级别。所有传入的连接都将被丢弃而不会回复,并且只能进行传出连接。
block:与上述类似,但不是简单地删除连接,而是使用 icmp-host-prohibitedor 和 icmp6-adm-prohibited 消息拒绝传入的请求。
public:表示不信任的公共网络。您不信任其他计算机,但可能会视情况允许选择的传入连接。默认情况下,此区域为激活状态。
external:如果你使用防火墙作为网关,则为外部网络。将其配置为 NAT 转发,以便你的内部网络保持私有但可访问。
internal:external 区域的另一侧,用于网关的内部。这些计算机值得信赖,并且可以使用一些其他服务。
dmz:用于 DMZ (DeMilitarized Zone) 中的计算机(将无法访问网络其余部分的隔离计算机),仅允许某些传入连接。
work:用于工作机。信任网络中的大多数计算机。可能还允许其他一些服务。
home:家庭环境。通常,这意味着您信任其他大多数计算机,并且将接受其他一些服务。
trusted:信任网络中的所有计算机。可用选项中最开放的,应谨慎使用。

通过将当前默认区域pubilc切换到drop区,拒绝所有,然后在trusted区域中在添加白名单

二 简单命令

  1. 确认 Firewalld 服务是否正在运行
firewall-cmd --state
  1. 查看当前所有区域的规则
[root@bogon ~]# firewall-cmd --list-all-zones
  1. 查看当个区域的规则
[root@bogon ~]# firewall-cmd  --list-all --zone public
public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="192.168.200.1" port port="22" protocol="tcp" accept
	rule family="ipv4" source address="192.168.200.112" port port="22" protocol="tcp" accept
	rule family="ipv4" source address="192.168.1.150" port port="2230" protocol="tcp" accept
	rule family="ipv4" source address="192.168.200.1" port port="80" protocol="tcp" accept
	rule family="ipv4" source address="192.168.200.112" port port="80" protocol="tcp" accept
  1. 重新加载规则
    删除或者添加都需要
[root@bogon ~]# firewall-cmd --reload
  1. 查看当前默认区域
[root@bogon ~]# firewall-cmd --get-default-zone 
public
  1. 查看当前活跃的区域
[root@bogon ~]# firewall-cmd --get-active-zone
public
  interfaces: ens32
  1. 切换网卡接口到默认区域
firewall-cmd --permanent --change-interface=eth0 --zone=drop
2.添加网卡接口到指定区域
firewall-cmd --permanent --add-interface=eth0 --zone=drop

在这里插入图片描述

三 防火墙策略编写

严格:默认区域设置为drop区域,允许的放入trusted区域
宽松:默认区域设置为trusted区域,拒绝的单独放入drop区域

[root@bogon ~]# firewall-cmd --set-default-zone=drop
success
[root@bogon ~]# firewall-cmd --get-active-zone
drop
  1. 将网络接口关联至drop区域
[root@bogon ~]# firewall-cmd --get-active-zone
drop
  interfaces: ens32
[root@bogon ~]# firewall-cmd --permanent  --change-interface=ens32 --zone=drop
The interface is under control of NetworkManager, setting zone to 'drop'.
success

在这里插入图片描述

  1. 将允许的IP或者IP段加入trusted白名单
[root@bogon ~]# firewall-cmd --permanent --add-source=192.168.200.1 --zone=trusted
success
[root@bogon ~]# firewall-cmd --reload
success
[root@bogon ~]# firewall-cmd  --list-all --zone trusted
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.200.1
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

上面只是添加了网关,当我用192。168.200.112这台服务器访问时,无法ping,也无法telnet 22 端口,任何在192.168.200.111的应用服务都是不通的
在这里插入图片描述

[root@bogon ~]# firewall-cmd --permanent --add-source=192.168.200.112 --zone=trusted
success
[root@bogon ~]# firewall-cmd --reload
success
[root@bogon ~]# firewall-cmd  --list-all --zone trusted
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: 
  sources: 192.168.200.1 192.168.200.112
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

在这里插入图片描述

防火墙

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.7" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.13" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.19" accept"
sudo firewall-cmd --reload
firewall-cmd --zone=public --list-rich-rules
firewall-cmd --list-all
可问春风
关注
  • 27
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
firewalld火墙策略
xrt0211的博客
03-21 528
firewalld火墙策略 1.什么是防火墙防火墙也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 防火墙是系统的第一道防线,其作用是防止非法用户的进入。 主要作用:保障内网的安全性、保证内外网之间数据的流通性。 所谓防火墙,指的是一个由软件和硬件设备组...
firewalld火墙策略(一)
xy_的博客
03-21 535
1.什么是防火墙 防火墙是指设置在不同网络,或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 防火墙Firewall),是一种硬体设备或软体系统,主要架设在内部网路和外部网路间,为了防止外界恶意程式对内部系统的破坏,或是阻止内部重要资讯向外流出,有双向监督的功能。藉由防火墙管理员的设定,...
firewalld 高级配置、IP 伪装与端口转发、配置IP伪装规则、配置端口转发规则、firewalld的direct interface高级接口配置、富语言、富语言语法解释、地址伪装、端口转发
最新发布
jingyu飞鸟
06-11 931
息作为前缀加入。日志等级可以是emerg、alert、crit、或者debug中的一个。可以选择日志的用法,按以下方式限制日志:持续时间的单位为s、m、h、d。s表示秒,m表示分钟,h表示小时,d表示天。最大限定值是1/d(每天最多有一条日志进入)。
linux中netfilter火墙访问控制策略优化----firewalld
qq_60200126的博客
08-08 202
firewalld火墙优化策略1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld的高级规则6.firewalld中的NAT ####### firewalld ####### dnf whatprovides */firewall-config 查找firewalld图形编辑器安装包 下载后,指令firewall-config 可以启动 1 firewalld的开启 systemctl st
防火墙策略管理-firewalld
qq_41619571的博客
04-08 1066
1.拓扑图 2.firewalld服务基础 1、Linux防火墙体系 系统服务:firewalld 管理工具:firewalld-cmdfirewalld-config 2、预设安全区域 ①、根据所在的网络场所区分,预设保护规则集 public:仅允许访问本机的sshd等少数几个服务 trusted:允许任何访问 block:阻塞任何来访请求 drop:丢弃任何来访的数据包 ②、配置规则的位置 ...
Linux学习笔记-RH135之火墙firewalld策略及优化
qq_40764171的博客
06-03 287
火墙firewalld策略及优化1、firewalld的开启2、关于firewalld的域3、firewalld的管理命令4、firewalld的高级规则5、firewalld中的NAT 1、firewalld的开启 关闭iptables,开启firewalld 2、关于firewalld的域 firewalld有点像windows的管理方式,比如windows连接网络会提示是家庭网还是公共等等,不同的类型权力不同。 域名称 含义 trusted 接受所有的网络连接 home 用于家庭网
浅谈linux系统firewalld防火墙常用策略ipv6、ipv4)
Mr.Wang的博客
12-08 5847
本文以CentOS7系统为例来讲述firewalld防火墙常用命令以及基础策略,主要记录博主日常维护系统常用防火墙命令操作,网络安全需求日益增长,需要大家共同努力维护绿色安全。
iptables 与firewalld 防火墙.docx
07-07
iptables 与 firewalld 防火墙配置使用方法 iptables 和 firewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptables 和 firewalld 的配置使用方法,并详细介绍...
cfengine-firewalld:防火墙的CFEngine策略
05-09
cfengine-firewalld 防火墙的CFEngine策略尝试为防火墙(例如RHEL7,Fedora)制定可重用的CFEngine策略。 特征: 添加或删除自定义服务添加或删除自定义区域添加或删除直接规则(direct.xml) 添加或删除锁定白名单...
oracle rac防火墙配置学习
01-09
Linux 常用命令 oracle rac 中文手册 官网翻译 oracle rac
linux中iptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
centos7 firewalld详解,添加删除策略.docx
12-23
centos7 firewalld详解,超级详细
firewalld
qq_51574973的博客
04-01 1413
firewalld使用规则时,会首先到/etc/firewalld/目录中查找,如果可以找到就直接使用,找不到会继续到/usr/lib/firewalld/目录中查找。如果数据包是进入本机的,数据包就会到达INPUT链。区域优先级:源地址绑定的区域 > 网卡绑定的区域 > 默认区域(只要没有绑定过指定区域的网卡,都适用于于默认区域的规则。firewalld 将配置储存在/etc/firewalld/(优先加载)和/usr/lib/firewalld/(默认的配置文件)中的各种XML文件里。
运维----firewalld策略修改
李笑男的博客
02-28 9098
一、Firewalld简介 Filewalld(动态防火墙)是redhat7系统中变更对于netfilter内核模块的管理工具,支持动态更新技术并加入了区域(zone)的概念,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。 二、firewalldiptables的切换 yum install ...
Linux中的火墙策略优化
weixin_56744753的博客
10-01 139
在Linux中火墙策略是基于netfilter实现的。1、netfilter:内核上有个安全插件netfilter(访问控制列表),这个列表里有许多详细的规则,当对这个规则允许或拒绝时,可以控制其他主机是否能访问,极大的提高了安全性。2、iptables:管理netfilter的工具,通过iptables往netfilter表格里面写网络安全策略。3、iptables | firewalld:对iptables进行管理,用iptables或firewalld手段来写网络安全策略
Centos7.X中firewalld防火墙常用*策略配置
bk_陈龙伟
08-21 222
Centos7.X中firewalld防火墙常用策略配置
firewalld防火墙基础规则
m0_56986973的博客
05-12 173
1查看网卡配置 2生成对应网卡配置文件 3配置34网卡 4配置35网卡 5开启防火墙 设置开机自启 6分配网卡区域 7重启网卡 8修改linux内核打开路由功能 9配置内部区域ip网关 10分配内部网络区域 11配置外部区域ip网关 12配置dmz区域测试机ip网关 13使用内部区域测试网络 14修改默认区域为信任区域查看默认区域 15将外部区域测试机设置为外部区域 16将dmz区域测试机设置为dmz区域 17在外部区域安装web服务进行测试开启服务 18使用内部测试机图形化
Centos7默认防火墙firewalld
Z__Cheng的博客
05-03 2487
Centos7默认防火墙firewalldfirewalld概述firewalldiptables 的区别区别一区别二区别三firewalld 区域的概念firewalld防火墙预定义了9个区域firewalld数据处理流程firewalld检查数据包的源地址的规则firewalld防火墙的配置方法常用的firewall-cmd 命令选项区域管理服务管理端口管理 firewalld概述 irewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络
[Linux] Linux防火墙firewalld
热心网友
12-09 1200
firewalld防火墙是Centos7系统默认的防火墙管理工具。它取代了以前的iptables防火墙。它也工作在网络层,属于数据包过滤防火墙firewalldiptables是用来管理防火墙的工具,用来定义防火墙的各种规则功能,内部结构指向netfilter网络过滤子系统(属于内核态)来实现数据包过滤防火墙功能。firewalld提供动态防火墙管理工具,支持网络区域中定义的网络链接和接口的安全级别。
firewalld防火墙
03-29
Firewalld是Linux系统中的一个防火墙管理工具,它可以控制网络流量的进出,并允许或阻止特定的网络连接。Firewalld是Red Hat Enterprise Linux(RHEL)7及更高版本的默认防火墙解决方案,它也可以在其他Linux发行版上使用。Firewalld支持多种类型的防火墙规则,包括端口、服务、应用程序、网络地址和源/目标IP地址等。它还可以配置不同的区域(例如公共、专用、内部和DMZ)和策略(例如允许、拒绝和拒绝所有)。Firewalld还支持动态更新和重新加载规则,以及日志记录和审计功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值