Linux系统中的火墙策略——firewalld

最新推荐文章于 2024-08-01 17:51:50 发布
最新推荐文章于 2024-08-01 17:51:50 发布
阅读量527 收藏 1
点赞数
分类专栏: RHCE服务 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45225437/article/details/105032508
版权

文章目录


实验主机:
双网卡主机ens160网卡IP:192.168.1.104
双网卡主机ens224网卡IP:172.25.254.104
单网卡主机IP:172.25.254.4
实验环境:RHEL8

一、开启服务

  1. 通常情况下,在系统中默认firewalld的自动开启的
  2. 当系统开启iptables,从iptables切换到firewalld:
    在这里插入图片描述

二、关于firewalld的域

查看火墙中的域:firewall-cmd --get-zones
在这里插入图片描述

含义
trusted接收所有的网络连接
home用于家庭网络,允许接收ssh、mdns、ipp-client、samba-client、dhcp-client
work工作网络 ssh、ipp-client、dhcp-client
public公共网络 ssh、dhcp-client
dmz军级网络 ssh
block拒绝所有
drop丢弃 所有数据全部丢弃无任何回复
internal内部网络 ssh、mdns、ipp-client、samba-client、dhcp-client
externalipv4网络地址伪装转发 sshd

三、设定原理及数据存储

  1. 火墙配置目录:/etc/firewalld
  2. 火墙模块目录:/lib/firewalld
    (1)可以在配置文件中修改默认域:vim  /etc/firewalld/firewalld.conf
    在这里插入图片描述
    在这里插入图片描述
    (2)添加被允许的服务到火墙策略中,可以使用命令【firewall-cmd --permanent --add-service=】;
    也可以在配置目录中的子目录文件中 【/etc/firewalld/zones/public.xml】 添加数据:
    注意:其中【- -permanent】表示永久添加,服务会添加到上述文件中,重启火墙后,服务还继续存在;不加- -permanent表示临时添加。
    在这里插入图片描述
    在这里插入图片描述
    (3)对于系统未被允许过的服务,如果要添加到火墙策略中,需要多加一步操作,编辑模块目录中的认证文件,否则直接添加不成功:
    在这里插入图片描述
    在这里插入图片描述
    在模块目录中的子目录 【/lib/firewalld/services】 中添加认证文件【vim jia.xml 】,设定服务被系统允许:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

四、管理命令

(1)查看火墙状态:firewall-cmd  --state
(2)查看当前火墙中生效的域:firewall-cmd  --get-active-zones
(3)查看默认域:firewall-cmd  --get-default-zone
(4)查看默认域中的火墙策略:firewall-cmd  --list-all
(5)查看指定域的火墙策略:firewall-cmd  --list-all  --zone=work
(6)设定默认域:irewall-cmd  --set-default-zone=trusted
(7)查看所有可以设定的服务:firewall-cmd  --get-services
(8)移除服务:firewall-cmd  --permanent  --remove-service=jia
(9)指定数据来源访问指定域:firewall-cmd  --permanent  --add-source=172.25.254.0/24  --zone=block
(10)删除自定域中的数据来源:firewall-cmd  --permanent  --remove-source=172.25.254.0/24  --zone=block
(11)删除指定域的网络接口:firewall-cmd  --permanent  --remove-interface=ens224  --zone=public
(12)添加指定域的网络接口:firewall-cmd  --permanent  --add-interface=ens224v --zone=block
(13)更改网络接口到指定域:firewall-cmd  --permanent  --change-interface=ens224  --zone=public
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、高级规则

  1. 查看高级规则:firewall-cmd  --direct  --get-all-rules
  2. 添加高级规则:firewall-cmd  --direct  --add-rule  ipv4  filter  INPUT  1  -s  172.25.254.0/24  -p  tcp  --dport  22  -j  ACCEPT
    在这里插入图片描述
    以ipv4协议,在filter表中的INPUT链中添加规则1,让来源为172.25.254网段的数据允许通过22端口

六、NAT

1. SNAT

  1. 操作步骤:在双网卡主机中开启masquerade,并重新加载火墙策略
  2. 使用命令:firewall-cmd  --permanent  --add-masquerade
  3. 作用:让单网卡主机可以伪装本机IP,连接处在不同网段的外网主机。
    在这里插入图片描述
    在这里插入图片描述

2. DNAT

  1. 在双网卡中完成地址转发并重启,可以让第三方主机访问路由器【双网卡主机ens160网卡】时,路由把地址转发到设定的指定主机【172.25.254.35】
  2. 使命命令:firewall-cmd  --permanent  --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.36
    在这里插入图片描述
    在这里插入图片描述
嘉子_
关注
专栏目录
火墙firewalld
weixin_45368526的博客
08-20 432
1、firewalld域 trusted(信任) 可接受所有网络连接 home(家庭) 用于家庭网络,仅接受ssh、mdns、ipp-client或dhcpv6-client服务 internal(内部) 用于内部网络,仅接收ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接 work(工作) 用于工作区,仅接收ssh、ipp-clien...
Linux之CentOS 7操作系统的默认防火墙管理工具——firewalld
weixin_44411385的博客
03-18 1527
firewalld是CentOS 7和RHEL 7(Red Hat Enterprise Linux 7)的默认防火墙配置管理工具。firewalld火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
Linux火墙
weixin_43258559的博客
02-12 2747
四表:主要用filter表和nat表 filter:过滤,防火墙 nat:network address translathion 网络地址转换 mangle:拆解报文,做出修改,封装报文 raw:关闭nat 表上启用的链路追踪机制,决定数据包是否被状态跟踪机制处理 五链:(函数) prerouting :在对数据包作路由选择之前,应用此链规则。 input:当接收到防火墙本机地址的数据包(入...............
firewalld火墙配置和应用
chenxinmeng
05-25 920
firewalld介绍 firewalld和iptables的区别(动态防火墙和静态防火墙) 我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下 iptables service 管理防火墙规则的模式:用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当,再执行命令 service iptables ...
火墙Firewalld(iptables)
最新发布
2201_75444658的博客
08-01 643
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
Linux 服务器 Firewalld火墙配置端口转发
煜铭2011
08-07 7103
业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。.........
firewalld常用的基础配置
宇飞林海的博客
10-18 1226
区域作用trusted(信任区域)允许所有的传入流量。public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。external(外部区域)允许与ssh预定义服务匹配的传入流量其余均拒绝。home(家庭区域)允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。internal(内部区域)默认值与home区域相同。work(工作区域)
『2-8』Linux之防火墙策略优化
qq_39679699的博客
03-03 641
1.火墙介绍firewalld 1.火墙介绍 netfileter iptables iptables|firewalld 2.火墙管理工具切换 在rhel8默认使用的是firewalld firewalld -----> iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --.
Linux火墙的两种管理机制——Firewalld与Iptables
qq_44285112的博客
03-28 379
1.Firewalld概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewall-conf...
二章——firewalld火墙(一)(应用——linux防护与群集)
MKC__jiaoq的博客
08-22 1985
三期总目录链接 目录 一、Linux火墙基础 (一)firewalld概述 (二)firewalld火墙的配置方法 1、firewall-config图形工具 2、firewall-cmd命令 二、firewalld火墙配置应用 复习题 一、Linux火墙基础   1.防火墙是设置在不同网络与网络安全域之间的一系列部件的组合,也是信息的唯一出口   2.防火墙技术分为三类:包过滤(PacketFiltering)、应用代理(ApplicationProxy)、状态...
Linux火墙——Firewalld基础命令
Parhoia的博客
10-11 720
Firewalld概述 Firewalld简介 (1)支持网络区域所定义的网络连接以及接口安全的动态防火墙管理工具。 (2)支持IPv4、IPv6防火墙设置以及以太网桥接 (3)支持服务或应运程序直接添加防火墙规则口 (4)拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter (1)位于linux内核的包过滤功能体系 (2)称为Linux火墙...
Linux——firewalld火墙基础(防火墙的配置方法、firewall-cmd命令行工具)
CN_PanHao的博客
07-29 1156
文章目录前言Firewalld概述Firewalld和iptables的关系netfilterFirewalld、iptablesnetfilter和Firewalld,iptables关系Firewalld和iptables的区别Firewalld网络区域Firewalld火墙的配置方法Firewall-config图形工具“区域”选项卡“服务”选项卡Firewalld火墙案例 前言 Linux火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙
centos7双网卡配置路由器教程
完颜振江
05-07 923
至此,您的 CentOS 7 系统就配置好了双网卡路由器功能。请根据您的具体网络环境进行相应的 IP 地址和网关设置。如果有任何问题,欢迎随时咨询。如果您在安装驱动过程遇到任何问题,欢迎随时告诉我,我会尽力帮助您解决。确认系统有两张网卡,一般命名为 eth0 和 eth1。一、centos7安装网卡驱动。
吐血整理关于防火墙
weixin_40421085的博客
12-08 503
各位朋友大家好,今天来说说防火墙~ 一:什么是防火墙? 防火墙指的是一个由软件和硬件设备组合而成,在内部网和外部网之间,专用网络与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet和Internet之间建立起一个安全网关,从而保护内部网免受非法用户的侵入,防火墙主要是由服务访问规则,验证工具,包过滤和应用网关四个部分组成。 二
利用firewall-cmd和iptables分别实现端口转发(本地端口转发和远程端口转发)
weixin_61572870的博客
04-14 1165
访问A主机上的192.168.87.5:80 跳转到B主机上的192.168.87.3:80。当我们访问192.168.87.3:2345时 转到本地的192.168.87.3:80。如果没有打开,则打开: echo "1" > /proc/sys/net/比如当我们访问192.168.87.5的1234端口时,自动帮我们转到80端口。当我们访问A主机的80端口时,帮我们跳转到B主机的80端口(都在A上配置)同样要像iptables里面,检查转发开关已经打开。二、firewalld
h3c(or huawei)_firewall_dnat(python)
MrZhangTS的博客
06-07 370
h3c(or huawei)_firewall_dnat(python)
linux主机配置dnat,基于Linux系统Firewall实现SNAT+DNAT
weixin_34975747的博客
05-14 434
1.开启系统的转发功能vi /etc/sysctl.conf 将 net.ipv4.ip_forward=0 修改成 net.ipv4.ip_forward=1编辑后使用命令让配置马上生效 sysctl -p开启目标服务器/转服务器端口**(本例仅限于http服务) python -m SimpleHTTPServer 1024查询端口**状态 netstat -tupln2. ...
实现防火墙SNAT和DNAT
Richardlygo的博客
08-27 2747
实验环境概述 Centos6.1 eth0(vmnet1):192.168.100.100 无网关 eth1(vmnet8):192.168.3.100 网关192.168.3.88 网关防火墙发布公网httpd端口为8080 ssh端口设定2222 SNET 实现192.168.100.0/24内部主机上网 Iptables -t nat -A...
firewalld的配置
period000的博客
06-08 4570
一、防火墙 1.概述 动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.域 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务 internal(...
如何在Linux系统关闭firewalld火墙
05-11
可以通过以下命令关闭firewalld火墙: 1. 暂时关闭: ``` systemctl stop firewalld ``` 2. 永久关闭: ``` systemctl disable firewalld ``` 注意:在关闭防火墙后,可能会降低系统的安全性,建议在必要时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值