Linux防火墙的配置(新建富规则、区域、配置区域连接接口、修改默认区域)

最新推荐文章于 2024-09-02 23:07:21 发布
最新推荐文章于 2024-09-02 23:07:21 发布
阅读量935 收藏 19
点赞数 23
分类专栏: Linux学习 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53810226/article/details/138320128
版权

目录

实训拓扑图

在这里插入图片描述

实训要求

1.按照拓扑完成网络搭建。

这一步骤可以参考我的文章:
在虚拟里网络位置的那一部分改成拓扑图里面要求的IP地址即可

VMware Workstation Pro(Centos Linux)克隆主机,并实现互通

2.在CentOS server 上部署firewalld 防火墙。

启动firewalld 服务

  1. 打开终端或命令行界面。

  2. 使用 root 用户或具有 sudo 权限的用户执行以下命令来启动 firewalld 服务:

sudo systemctl start firewalld

这条命令会立即启动 firewalld 服务。

要验证服务是否成功启动,你可以检查它的状态:

sudo systemctl status firewalld

如果服务成功启动,你将看到类似以下内容的输出:

firewalld.service - firewalld - dynamic firewall daemon  
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)  
   Active: active (running) since [启动时间]; <多长时间> ago  
     Docs: man:firewalld(1)  
 Main PID: [PID号] (firewalld)  
   Status: "running"  
    Tasks: 2 (limit: 4915)  
   Memory: 15.7M  
   CGroup: /system.slice/firewalld.service  
           └─[PID号] /usr/bin/python3 -Es /usr/sbin/firewalld --nofork --nopid  
  
[时间] firewalld[PID号]: WARNING: ICMP type 'unreachable' is not supported, ignoring for service 'ssh'  
[时间] firewalld[PID号]: WARNING: ICMP code 'unreachable' is not supported, ignoring for service 'ssh'

在这里插入图片描述

请注意输出中的 Active: active (running),这表示 firewalld 服务正在运行。

如果你想让 firewalld 服务在系统启动时自动运行,你可以启用它:

sudo systemctl enable firewalld

这样,每次系统启动时,firewalld 服务都会自动启动。

如果你想停止 firewalld 服务,可以使用以下命令:

sudo systemctl stop firewalld

如果你想在系统启动时禁用 firewalld 服务,可以使用以下命令:

sudo systemctl disable firewalld

请记住,管理防火墙和服务是一个敏感的操作,确保你了解每个命令的影响,并在进行更改之前备份任何重要的配置。

新建newzone 区域

要新建一个名为 newzone 的区域,你可以按照以下步骤操作:

  1. 打开终端或命令行界面。
  2. 使用 root 用户或具有 sudo 权限的用户执行以下命令来创建新的区域:
sudo firewall-cmd --permanent --new-zone=newzone
--permanent 选项表示你希望这个更改是永久的,即使重启 firewalld 服务后仍然生效

重新加载 firewalld 配置,以使新区域生效: 这一步非常重要,一定要重新加载

sudo firewall-cmd --reload

你可以使用以下命令来检查新区域是否已成功创建:

sudo firewall-cmd --get-zones

该命令应该列出所有可用的区域,包括你刚刚创建的 newzone。

1 block dmz drop external home internal newzone public trusted work

请注意,创建新区域只是第一步,你还需要定义该区域的信任级别(例如,drop、public、external 等),并为其添加相应的服务、端口或接口。

更改默认区域为work

在 firewalld 中,你可以更改默认区域为 work 或其他任何已存在的区域。默认区域用于那些没有明确指定区域的网络接口。要更改默认区域为 work,请按照以下步骤操作:

  1. 打开终端或命令行界面。

  2. 使用 root 用户或具有 sudo 权限的用户执行以下命令来更改默认区域:

sudo firewall-cmd --set-default-zone=work

这条命令会立即将默认区域更改为 work,但请注意,这个更改仅在当前会话中有效。要使这个更改在重启后仍然生效,你需要添加--permanent 选项:

sudo firewall-cmd --permanent --set-default-zone=work

重新加载 firewalld 配置,以使更改生效:这一步非常重要,一定要重新加载

sudo firewall-cmd --reload

你可以使用以下命令来检查默认区域是否已成功更改:

sudo firewall-cmd --get-default-zone

这条命令应该返回 work,表明默认区域已被成功更改。
在这里插入图片描述

请注意,更改默认区域可能会影响你的网络访问和安全策略。确保在更改默认区域之前,你已经了解了 work 区域的配置和规则,以及这些更改如何影响你的网络流量。此外,如果 work 区域不存在,你需要先创建它或选择一个已存在的区域作为默认区域。

Ens33 接口连接newzone 区域

要将 ens33 接口连接到 newzone 区域,你可以使用 firewall-cmd 命令,并指定 --zone 和 --change-interface 参数。以下是如何操作的步骤:

  1. 打开终端或命令行界面。

  2. 使用 root 用户或具有 sudo 权限的用户执行以下命令,将 ens33 接口更改为 newzone 区域:

sudo firewall-cmd --zone=newzone --change-interface=ens33

这条命令将立即将 ens33 接口移动到 newzone 区域,但请注意,这个更改仅在当前会话中有效。要使这个更改在重启后仍然生效,你需要添加--permanent选项:

sudo firewall-cmd --permanent --zone=newzone --change-interface=ens33

重新加载 firewalld 配置,以使更改生效:这一步非常重要,一定要重新加载

sudo firewall-cmd --reload

你可以使用以下命令来检查 ens33 接口当前所属的区域:

sudo firewall-cmd --get-zone-of-interface=ens33

这条命令应该返回 newzone,表明 ens33 接口已成功被分配到 newzone 区域。
在这里插入图片描述

请确保在将接口分配到新区域之前,你已经对 newzone 区域进行了适当的配置,包括所需的规则和服务,以确保网络流量的正确管理。如果你还没有对 newzone 进行配置,你需要先编辑该区域的配置文件或使用 firewall-cmd 命令添加相应的规则。

新建富规则,阻止192.168.37.30连通CentOS server。

要阻止 IP 地址 192.168.37.30 连通 CentOS 服务器,你可以创建一个富规则来丢弃来自该 IP 地址的所有流量。以下是如何操作的步骤:

  1. 打开终端或命令行界面。
  2. 使用 root 用户或具有 sudo 权限的用户执行以下命令来添加富规则:
sudo firewall-cmd --permanent --zone=newzone --add-rich-rule='rule family="ipv4" source address="192.168.37.30" reject'

这条命令将在 newzone 区域中添加一个富规则,该规则将拒绝来自 IP 地址 192.168.37.30 的所有 IPv4 流量。--permanent 选项表示这个规则在重启后仍然有效。

重新加载 firewalld 配置,以使新规则生效:这一步非常重要,一定要重新加载

sudo firewall-cmd --reload

你可以使用以下命令来检查富规则是否已成功添加:

sudo firewall-cmd --zone=newzone --list-all

在输出中,你应该能看到你添加的富规则。
在这里插入图片描述

请注意,这个规则只会应用于已经被分配到 newzone 区域的接口。确保 ens33 接口(或你想要阻止流量的任何接口)已经被分配到 newzone 区域。

此外,如果你想要立即测试这个规则而不需要重启 firewalld 服务,你可以省略 --permanent 选项来添加非持久的规则:

sudo firewall-cmd --zone=newzone --add-rich-rule='rule family="ipv4" source address="192.168.37.30" reject'

但是请注意,这种方式添加的规则在 firewalld 服务重启后将会丢失。为了保持规则在重启后仍然有效,你需要使用--permanent选项并重新加载配置。

重载firewalld 后,测试连接效果

要测试从 192.168.1.30 到 CentOS 服务器的连接效果,你可以使用多种方法。以下是一些建议的步骤来验证连接是否被成功阻止:

使用 ping 命令

从 192.168.37.30 这台机器上尝试 ping CentOS 服务器的 IP 地址。如果连接被阻止,你将不会收到任何响应。

在 192.168.37.30 上执行:

ping 服务器的IP地址

# 我是在192.168.37.10的机子上配置的所以
ping 192.168.37.10

结果展示如下:
在这里插入图片描述
注意事项
确保 192.168.37.30 和 其他服务器之间的网络连接是正常的,没有其他网络问题。
检查 CentOS 服务器上的服务是否正在运行,并且监听正确的端口。
如果测试显示连接没有被阻止,检查 firewalld 的配置是否正确应用,并且确保没有其他防火墙或安全软件可能干扰连接。

删除创建的富规则

要删除之前创建的富规则,你需要使用 firewall-cmd 命令并指定 --remove-rich-rule 参数,以及要删除的富规则的完整内容。以下是如何操作的步骤:

  1. 打开终端或命令行界面。
  2. 使用 root 用户或具有 sudo 权限的用户执行以下命令来删除富规则:
sudo firewall-cmd --permanent --zone=newzone --remove-rich-rule='rule family="ipv4" source address="192.168.37.30" reject'

这条命令将从 newzone 区域中删除指定的富规则,--permanent 选项表示这个更改在重启后仍然有效。

重新加载 firewalld 配置,以使更改生效:这一步非常重要,一定要重新加载

sudo firewall-cmd --reload

你可以使用以下命令来检查富规则是否已成功删除:

sudo firewall-cmd --zone=newzone --list-all

在输出中,你应该看不到之前添加的富规则了。
在这里插入图片描述

请注意,如果你之前添加的富规则没有使用 --permanent 选项,那么它可能只是一个临时的规则。在这种情况下,你只需要重新加载 firewalld 配置(sudo firewall-cmd --reload),而不需要使用 --permanent 选项来删除它,因为临时规则在重启服务或系统后会自动消失。

如果你不确定富规则的完整内容,你可以首先列出该区域的所有规则来查找它:

sudo firewall-cmd --zone=newzone --list-all

然后,从输出中复制要删除的富规则的确切内容,并使用上述命令将其删除。

是先生了
关注
专栏目录
linux防火墙规则,firewalld的规则
weixin_36202273的博客
05-12 3890
firewalld的规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
linux防火墙规则,[Linux]Redhat7防火墙配置汇总
weixin_42502016的博客
05-12 800
Redhat7防火墙常用配置重启防火墙服务systemctl restart firewalld.service查看防火墙服务状态systemctl statusfirewalld.service永久启用/禁用防火墙systemctl enable firewalld.servicesystemctl disable firewalld.service查看所有防火墙规则firewall-cmd ...
Linux运维--Firewall防火墙命令以及规则等详解(全)
最新发布
lza20001103的博客
09-02 2162
Linux运维--Firewall防火墙命令以及规则等详解(全)
linux防火墙规则
weixin_44024436的博客
04-22 496
Linux中使用firewalld防火墙限制出口流量不能到达特定的IP地址,可以通过添加一个规则(rich rule)来实现。如果你想要测试规则而不持久化它,你可以省略这个选项,并在测试后删除或添加–permanent。通过以上步骤,你可以限制Linux系统中通过firewalld防火墙的出口流量,使其不能到达特定的IP地址。使用firewall-cmd命令添加一个规则来阻止到达特定IP地址的出口流量。在生产环境中,添加规则之前,确保了解它对现有流量和服务的潜在影响。检查规则是否已经成功添加。
linux 防火墙常用规则
qq_42508660的博客
11-08 104
systemctl status firewalld.service systemctl stop firewalld.servicesystemctl disable firewalld.servicefirewall-cmd --state firewall-cmd --reload firewall-cmd --get-zones firewall-cmd --query-service ftp firewall-cmd --add-service=ftp firewall-cmd --add-ser
防火墙(2)语言规则
m0_57207884的博客
08-13 2032
第三章 firewalld防火墙(二) 一.IP伪装与端口转发 nat技术一般配置在企业边界路由器或防火墙 2.Firewalld支持两种类型的网络地址转换 2.1 IP地址伪装(masquerade) 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 2.2端口转发(Forward-port) 也称为目的地址转换或端口映射 通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口 例:企业内网服务器一般采用私网地址,可以
利用Linux自带的iptables配置防火墙
野原新之助
06-05 9146
利用Linux自带的iptables配置防火墙,完成如下配置: (1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP和HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加。
centos8 配置 dns_第1篇:Linux防火墙-firewalld配置
weixin_39975055的博客
10-19 656
firewalld是自CentOS 7以来带有一个动态的、可定制而无需重新启动防火墙守护程序或服务。firewall-cmd就是iptables/nftable的前端。在CentOS 8中,nftables取代iptables成为默认Linux网络包过滤框架。本文介绍如何为您的CentOS 8设置防火墙,并借助firewall-cmd管理工具进行管理。FirewallD的基本概念在CentOS7...
linux防火墙pf,Mac下使用PF进行端口转发和防火墙配置(类似Linux的iptables)
weixin_39633134的博客
05-12 488
首先我们要开启系统的端口转发功能。本次开机生效:# IPv4 的转发$sudo sysctl -w net.inet.ip.forwarding=1net.inet.ip.forwarding:0 -> 1# IPv6 的转发$sudo sysctl -w net.inet6.ip6.forwarding=1net.inet6.ip6.forwarding:0 -> 1开机启动配置,需...
win与Linux防火墙配置
新广州人的网络安全
10-23 3035
操作系统防火墙Windows防火墙问题Linux防火墙iptables参考链接firewall Windows防火墙 环境: OS 名称: Microsoft Windows 10 家庭中文版 OS 版本: 10.0.19042 暂缺 Build 19042 OS 制造商: Microsoft Corporation OS 配置: 独立工作站 OS 构建类型: Multiprocessor Free 注册的所有人: 暂缺
个人防火墙配置详解:规则设置与安全应用
1. 了解个人防火墙默认规则:首先,李媛查看了系统的默认入站和出站规则,这涉及到外网访问本机和本机访问外网的行为控制。她通过"高级设置"来细致观察和理解这些基本的安全规则设置。 2. 配置出入站规则:为了增强...
linux增加iptables防火墙规则的示例
01-10
以下是我的iptables设置 代码如下: *filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [49061:9992130]-A INPUT -i lo -j ACCEPT   不开启会有很多服务无法使用,开启回环地址-A INPUT -p icmp -j ACCEPT   允许icmp包通过,也就是允许别人ping自己-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT-A INPU
Linux添加防火墙规则
 RBPi' Blog
05-21 4007
Ubuntu 防火墙管理工具是 UFW 使用命令: sudo ufw allow 22/tcp CentOS 防火墙管理工具是 FirewallD 使用命令: sudo firewall-cmd --permanent --zone=public --add-port=22/tcp sudo firewall-cmd --reload 还可以调整 SELinux 规则开放端口 sudo sem...
linux防火墙 默认区,Linux默认防火墙iptables基本应用
weixin_42475535的博客
05-12 284
iptables是一个linux的基础组件,主要应用于防火墙应用,例如禁止某IP访问,或者禁止一些端口,提升网站的安全性。一般情况下,系统默认就会安装,如果没有安装,可自行安装。centos系统安装命令yum install iptablesdebian/ubuntu系统安装命令apt-get install iptables一、先说一下几个常用命令:查看iptables是否运行,并且看到当前所有...
linux 防火墙启动、添加规则
Herry
01-26 407
1) 重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Lin...
Linux系统运维脚本:一键添加防火墙规则(开启服务和网络端口)
weixin_70208651的博客
03-04 1238
脚本中使用firewall-cmd --add-port 添加防火墙规则,使用firewall-cmd --remove-port移除防火墙规则;脚本实现一键添加这些防火墙规则,开放相关的所有服务、和网络端口
linux配置防火墙端口
weixin_58494422的博客
05-24 1057
linux配置防火墙端口
firewall-cmd防火墙新建自定义zone区域
weixin_53389944的博客
05-08 487
这条命令的含义是在firewalld防火墙中创建一个名为"custom_zone"的自定义区域,并且设置为永久生效。
Linux IPTables:如何添加防火墙规则
华为云官方博客
09-23 2642
摘要:本文介绍了如何使用“iptables -A”命令添加 iptables 防火墙规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值