firewalld-1

最新推荐文章于 2024-06-12 13:19:59 发布
最新推荐文章于 2024-06-12 13:19:59 发布
阅读量102 收藏
点赞数
文章标签: 网关 linux centos 运维 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44858936/article/details/108275860
版权

firewalld 防火墙配置应用

拓扑图
firewalld_01.png
要求

网关服务器

连接互联网网卡ens33地址为100.1.1.10,为公网P地址,
分配到 firewalld 的 externa (外部)区域;

连接内网网卡en37地址为192.168.1.1,
分配到 firewalld 的 trusted (信任)区域;

连接服务器网卡ens38地址为192.168.2.1,
分配到 firewalld的dmz(非军事)区域

网站服务器和网关服务器均通过SH来远程管理,为了安全,将SH默认端口改为12345

网站服务器开启hps,过滤未加密的htt流量

网站服务器拒绝ping

配置

#客户机配置
#192.168.1.10
#
#主机名
vim /etc/hostname
#
#配置IP
#
#
#web服务器 配置
#2.10
#
#
#主机名
vim /etc/hostname
#
#
#配置IP
vim /etc/sysconfig/network-scripts/ifcfg-ens33
#
#
#
#apache 搭建
#本地yum——脚本
#!/bin/bash
#配置本地yum
rm -rf /etc/yum.repos.d/*
echo '[aa]
name=aa
baseurl=file:///media
enable=1
gpgcheck=0' > /etc/yum.repos.d/a.repo
mount /dev/cdrom /media &> /dev/null
echo "OK!!"
#
#安装软件包
yum -y install httpd mod_ssl
#
#启动httpd
systemctl enable httpd
systemctl start httpd
#
#创建 测试网页
echo "<h1>test web</h1>" >  /var/www/html/index.html
#
#
#
#修改 ssh服务(监听地址)(需要关闭selinux)
vim /etc/ssh/ssh_config
#修改为
Port 2345       //前面注释需要去掉
#
#重启 sshd服务
systemctl restart sshd
#
#
#
#配置 firewalld防火墙
systemctl enable firewalld
systemctl start firewalld
#
#配置dmz区域
firewall-cmd --zone=dmz --add-service=https --permanent
firewall-cmd --zone=dmz --add-port=2345/tcp --permanent
#禁止ping
firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent
#因为前面已更改SSH端口,现关闭 SSH服务默认端口
firewall-cmd --zone=dmz --remove-service=ssh  --permanent

#重新加载 firewalld
firewall-cmd --reload
#并查看刚才配置
firewall-cmd --list-all --zone=dmz
#网关服务器 配置
#192.168.1.1(ens37)、192.168.2.1(ens38)、100.1.1.10(ens33)
#
#
#主机名
vim /etc/hostname
#
#
#配置IP
vim /etc/sysconfig/network-scripts/ifcfg-ens33
#
#
#开启路由转发
vim /etc/sysctl.conf 
#添加
net.ipv4.ip_forward = 1
#查看
sysctl -p
#结果为
net.ipv4.ip_forward = 1

#
#
#开启 firewalld服务
systemctl enable firewalld
systemctl start firewalld
#
#查看 firewalld服务运行状态
firewall-cmd --state
#
#配置 firewalld服务
#设置 external为默认区域
firewall-cmd --set-default-zone=external
#查看配置结果
firewall-cmd --list-all
#将 ens37网卡配置到 trusted区域
firewall-cmd --change-interface=ens37 --zone=trusted 
#将 ens38网卡配置到 dmz区域
firewall-cmd --change-interface=ens38 --zone=dmz
#查看配置情况
firewall-cmd --get-active-zones
#
#
#在 1.10上测试访问 2.10网站服务器
#
#
#修改 ssh服务(监听地址)
vim /etc/ssh/ssh_config
#修改为
Port 2345       //前面注释需要去掉
#重启 sshd服务
systemctl restart sshd
#
#
#配置 external区域添加的 TCP 2345端口
firewall-cmd --zone=external --add-port=2345/tcp --permanent
#
#配置 external区域移除默认 SSH服务
firewall-cmd --zone=external --remove-service=ssh  --permanent
#
#配置 external区域禁止 ping
firewall-cmd --zone=external --add-icmp-block=echo-request --permanent
#
#重新加载 firewalld配置
firewall-cmd --reload
#
#
#外网客户机 测试SSH登录网关服务器
ssh -p 2345 100.1.1.10
#
#
#内网客户机 测试SSH登录网关服务器
ssh -p 2345 192.168.2.10
#
#
#外网服务器 配置
#100.1.1.200
#
#配置IP
vim /etc/sysconfig/network-scripts/ifcfg-ens33
#
qingt2314
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙构建DMZ
Kendiv's Box
11-20 2879
Linux防火墙构建DMZ摘要    针对不同资源提供不同安全级别的保护,可以考虑构建一个叫做“Demilitarized Zone”(DMZ)的区域。DMZ可以理解为一个不同于外网或内网的特殊网络区域。DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器
firewall-cmd命令 防火墙管理器
01-09
firewall-cmd提供了一个动态管理的防火墙,支持网络/防火墙区域来定义网络连接或接口的信任级别。它支持IPv4、IPv6防火墙设置和以太网网桥,并将运行时和永久配置选项分开。它还支持服务或应用程序直接添加防火墙规则的接口。 使用firewalld的好处可以在运行时环境中立即进行更改,不需要重新启动服务或守护程序;使用firewalld D-Bus接口,服务,应用程序和用户都可以轻松调整防火墙设置。界面完整,用于防火墙配置工具firewall-cmd,firewall-config和firewall-applet。 语法格式:firewalld-cmd [参数] 常用参数: –st
firewall-cmd 常用命令
Able
09-16 364
# 开启防火墙 systemctl start firewalld.service # 防火墙开机启动 systemctl enable firewalld.service # 关闭防火墙 systemctl stop firewalld.service # 查看防火墙状态 firewall-cmd --state # 查看现有的规则 iptables -nL firewall-cmd --zone=public --list-ports # 重载防火墙配置 firewall-cmd
firewall-cmd命令详解
最新发布
niaooer的博客
06-12 387
参考:https://www.cnblogs.com/wangshuyang/p/11941547.html。
firewall-cmd命令
feitianwukis的博客
06-30 305
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口。firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 # 将80端口的流量转发至192.168.0.1。#添加操作后别忘了执行重载。#针对某个IP开放端口。#针对一个ip段访问。
防火墙:firewall-cmd命令
热门推荐
花语无痕的博客
11-02 3万+
防火墙状态及规则 1、查看防火墙状态:firewall-cmd --state [root@localhost ~]# firewall-cmd --state running [root@localhost ~]# 2、查看防火墙:firewall-cmd --list-all [root@localhost ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no
firewalld-filesystem-0.5.3-5.el7.noarch.rpm
11-30
离线安装包,亲测可用
firewalld-0.6.3-11.el7.noarch(1) (1).rpm
12-03
离线安装包,测试可用
firewalld-0.9.3-7.el8.noarch(1).rpm
12-08
离线安装包,亲测可用
firewalld-filesystem-0.9.3-7.el8.noarch(1).rpm
12-06
官方离线安装包,亲测可用
firewalld-0.6.3-2.el7_7.1.0.1.src.rpm
12-08
离线安装包,亲测可用
firewall-cmd命令.txt
09-16
Ccent OS 7系统默认的防火墙管理工具不再是iptables,而是firewalld。 相对iptables来说,firewalld有些改进,比如说: 1、引入硬件防火墙的安全域(ZONE)的概念。可以把多个接口放在同一个区域内。 2、firewalld防火墙是动态管理的防火墙。而iptables是静态防火墙。 3、firewalld防火墙有两个管理工具,命令行工具:firewall-cmd,图型化的管理工具:firewall-config 。也可以直接编辑XML文件(官方不建议使用些方法)。 4、frewall-cmd创建防火墙规则分基本规则与富规则(Rich Language)。 区别在于:基本规则不能指定源、目IP,不能指定IP协议版本。控制范围较宽,在某些需要精准控制的规则时不能胜任。类似于硬件 防火墙中的基本ACL。 富规则可以指定源、目的IP、端口。可以指定IP协议版本,如:IPV4 IPV6。类似硬件防火墙中的扩展的ACL。
CentOS 7 中firewall-cmd命令详细介绍
01-10
CentOS 7 中firewall-cmd命令 在 CentOS 7 暂时开放 ftp 服务 # firewall-cmd –add-service=ftp 永久开放 ftp 服务 # firewall-cmd –add-service=ftp –permanent 永久关闭 # firewall-cmd –remove-service=ftp –permanent success 让设定生效 # systemctl restart firewalld 检查设定是否生效 # iptables -L -n | grep 21 ACCEPT     tcp  —  0.0.0.0/0    
CentOS 7下用firewall-cmd控制端口与端口转发详解
01-10
一、firewalld 守护进程 firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。 当我们修改了某些配置之后(尤其是配置文件的修改),firewall并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式,前一种是重启firewalld服务,建议使用后一种“重载配置文件”。重载配置文件之后不会断掉正在连接的tcp会话
firewalld高级应用
勿念勿扰,相安静好
07-28 817
1.1:IP伪装与端口转发 1.2:firewall-cmd高级配置 1:firewalld中理解直接规则 将某个IP范围列入黑名单 [root@localhost ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist   [root@localhost ~]# firewall-cmd --direc...
firewall-cmd操作命令
ydZ157的博客
07-23 2688
# 开启防火墙 systemctl start firewalld.service # 防火墙开机启动 systemctl enable firewalld.service # 关闭防火墙 systemctl stop firewalld.service # 查看防火墙状态 firewall-cmd --state # 查看现有的规则 iptables -nL firewall-cmd --zone=public --list-ports # 重载防火墙配置 firewal.
防火墙命令(firewall-cmd)(iptables)
weixin_39372979的博客
09-07 3385
1、查看开放端口2、查看添加的规则3、开放连续端口访问4、开放端口5、针对某个IP开放端口6、删除开放端口7、添加单个IP为白名单8、删除白名单9、重载firewalld10、禁用ssh端口--permanent 永久生效,重启后规则不消失不执行 firewall-cmd --reload 命令配置不生效1、检查firewalld状态 systemctl status firewalld
CentOS 7 中firewall-cmd命令
huang6326246的专栏
03-20 494
CentOS 7 中firewall-cmd命令的使用
firewalld -p
04-15
1. 支持动态更新:可以在运行时添加、删除或修改防火墙规则,而无需重启防火墙服务。 2. 支持区域和服务:通过将网络接口分配给不同的区域,并为每个区域定义不同的防火墙规则,可以实现更细粒度的访问控制。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值