linux防火墙高级配置

最新推荐文章于 2024-05-28 13:50:30 发布
最新推荐文章于 2024-05-28 13:50:30 发布
阅读量3.2k 收藏 2
点赞数
文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57258570/article/details/121970223
版权

firewall高级配置

1.1 IP伪装与端口转发

在互联网发展初期,设计者们并没有想到互联网会发展到现在这个空前繁荣的阶段,所以,设计的IPv4地址空间只有32位。但是随着互联网的发展,IP地址变得严重缺乏,并且地址分配不均匀,所以就在原有IPv4地址空间的基础上划分出来三段私网地址空间:10.0.0.0/8、172.16.0.0/12和192.168.0.0/16,这些地址可以在企业或者公司内部被重复使用,但是不能用于互联网,因为上三个范围内的地址无法在Internet上被路由。

于是NAT(网络地址转换)技术便产生了,当用户数据包经过NAT设备时,NAT设备将源地址替换为公网IP地址,而返回的数据包就可以被路由。NAT技术一般都是在企业边界路由器或者防火墙上来配置。

Firewalld支持两种类型的NAT:IP地址伪装和端口转发。

1.IP地址伪装

地址伪装(masquerade)通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址,当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPV4,不支持IPv6。

2.端口转发

端口转发(Forward-port):也称为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。企业内网的服务器一般都采用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网,以便让互联网用户访问。例如,当接收互联网用户的HTTP请求时,网关服务器判断数据包的目标地址与目标端口,一旦匹配指定规则,则将其目标地址修改为内网真正的服务器地址,从而建立有效连接。

1、直接规则

1).直接使用iptables语句或firewalld语句将规则写入管理区域中

2).执行优先级最高,优先规则:直接规则--富规则--区域规则

3).不会iptables语句的用户可以直接使用firewalld语句编写规则

4).适用于服务或应用程序

语句:

firewall-cmd --direct

direct [dəˈrekt]:直接的、最近的、笔直的

例1.将所有IPv4地址加入黑名单,并丢弃数据包

注:删除规则将 --add 改为 --remove

1.启用黑名单

firewall-cmd --direct --add-chain ipv4 raw blacklist

2.将192.168.0.0网段加入黑名单

firewall-cmd --direct --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist

3.每分钟记录一次日志,记录加入黑名单的主机

firewall-cmd --direct --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "/var/log/ipv4/blacklisted.log"

4.将加入黑名单的数据包丢弃

firewall-cmd --direct --add-rule ipv4 raw blacklist 1 -j DROP

1.2 firewall-cmd高级配置

1.firewall中理解直接规则

firewall提供了“direct interface(直接接口)”。它允许管理员手动编写的iptables、ip6tables和ebtables规则插入firewalld管理的区域中,适用于应用程序,而不是用户。如果对iptables不太熟,不建议使用直接接口,可能会无意中导致防火墙被入侵, firewalld保持对所增加项目的追踪,所以它还能质询firewall和发现使用直接端口模式的程序造成的更改。直接端口通过firewall-cmd命令中的--direct选项实现。除非将直接规则显式插入firewalld管理的区域,否则将首先解析直接规则,然后解析其他firewalld规则。执行以下命令即可添加一些直接规则以将某个IP范围列入黑名单。

[root@gateway-server ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist

success

[root@gateway-server ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist

success

[root@gateway-server ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw PREROUTING 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"

success

[root@gateway-server ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 1 -j DROP

success

禾越
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux firewall 优先级,详述LinuxFirewalld高级配置的使用
weixin_36214783的博客
05-16 886
IP伪装与端口转发Firewalld支持两种类型的网络地址转换IP地址伪装(masquerade)可以实现局域网多个地址共享单一公网地址上网IP地址伪装仅支持IPv4,不支持IPv6默认external区域启用地址伪装端口转发(Forward-port)也称为目的地址转换或端口映射通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口地址伪装配置为指定...
linux防火墙高级配置手册
12-04
linux下ACL的配置手册。ACL是Linux下最新一代的管理手段
Linux高级防火墙管理——firewalld、iptables
Taylover的博客
03-07 442
### 一、firewalld #### 1、什么是firewalld? 1.**firewalld**是一个动态防火墙后台程序,它提供了一个动态管理的防火墙用于支持“zones“,以分配对一个网络及其相关链接和界面的一定程度的信任。它具备对IPv4和IPv6防火墙设置的支持。支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 2.系统提供了图像化的配置工具**firewall-config**、**system-config-firewall
Firewalld防火墙基础
最新发布
煤五千的博客
05-28 775
牢弟,来个30遍吧
Firewall高级配置实例
ZT云的博客
10-20 784
需求简述 1.公司内网用户需要通过网关服务器共享上网 2.互联网用户需要访问网站服务器 3.只允许192.168.1 .0/24ping网关和服务器 4.网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345,只允许192.168.1.10主机SSH网关和服务器,允许互联网SSH内部服务器 拓扑结构图 1.网关服务器:Centos7 -1 2.企业内网测试机:Ce...
什么是高防服务器?高防服务器有什么作用?
LINUX人生
10-19 2756
顾名思义,“高防服务器”就是能够为企业抵御 DDoS/CC 攻击的服务器。   高防服务器是利用机房冗余带宽对机房服务器做了流量防护,可以抵御不同级别的网络攻击。   在云计算时代,游戏、APP、金融、电商等有需求的业务可以通过接入 DDoS 高防服务来获得这种高防的能力。   DDoS 是一种耗尽攻击目标的系统资源导致其无法响应正常的服务请求的攻击方式,DDoS 的防护系统,本质上是一个基...
centos7 firewall-cmd 理解多区域配置中的 firewalld 防火墙
weixin_34281537的博客
09-03 1061
原文:https://www.linuxidc.com/Linux/2017-11/148795.htm 现在的新闻里充斥着服务器被攻击和数据失窃事件。对于一个阅读过安全公告博客的人来说,通过访问错误配置服务器,利用最新暴露的安全漏洞或通过窃取的密码来获得系统控制权,并不是件多困难的事情。在一个典型的 Linux 服务器上的任何互联网服务都可能存在漏洞,允许未经授权的系统访问。 因为在应用程序层...
Linux防火墙.pdf
01-20
中文名: Linux防火墙 原名: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort 别名: Linux,Firewall,防火墙,iptables,psad,fwsnort 作者: (美)拉什译者: 陈健资源格式: PDF 版本:...
Linux防火墙
09-13
主要内容包括:防火墙的基础知识,linux防火墙管理程序iptable,构建防火墙的方法,防火墙的优化,数据包的转发,网络监控和攻击检测,内核强化等。本书独立于linux某个发行版本,涉及常驻于linux内核的netfilter...
Linux 运维 入门到高级
08-28
Linux防火墙 WEB服务器APACHE LAMP架构 日志服务管理 网络文件共享服务 备份硬盘数据 管理存储三要素 逻辑卷实现 转移硬盘步骤 逻辑卷快照 开启路由转发 网桥的实现 正在访问文件被删复原 作业管理 Linux启动流程 ...
CentOS 7 中firewall-cmd命令详细介绍
09-15
主要介绍了 CentOS 7 中firewall-cmd命令详细介绍的相关资料,这里对CentOS 7的firewall-cmd命令一一介绍,希望能帮助开始使用的朋友,需要的朋友可以参考下
Firewall-cmd初体验
shen12138的博客
12-29 998
firewall-cmd是用于管理防火墙的命令,提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具,相较于iptables更易设置,更易读
Linux防火墙firewalld Rich规则优先级
sinat_40629028的博客
12-06 2069
防火墙配置优先级
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6552
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
linux系统中部署防火墙服务
hiro
05-21 4521
防火墙:一.图形化配置防火墙firewall-config使用命令配置防火墙1. systemctl start firewalld    打开防火墙2. firewall-cmd --state         查看防火墙状态3. firewall-cmd --get-active-zones  查看正在使用的域4. firewall-cmd --get-default-zone   查看默认...
防火墙(2)富语言规则
m0_57207884的博客
08-13 1978
第三章 firewalld防火墙(二) 一.IP伪装与端口转发 nat技术一般配置在企业边界路由器或防火墙 2.Firewalld支持两种类型的网络地址转换 2.1 IP地址伪装(masquerade) 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 2.2端口转发(Forward-port) 也称为目的地址转换或端口映射 通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口 例:企业内网服务器一般采用私网地址,可以
【银河麒麟V10】【服务器firewalld使用
桂安俊@KylinOS
09-14 6656
1、firewalld zone说明 drop (丢弃) 任何接收到的网络数据都被丢弃,没有任何回复,公有发送出去的网络连接block(限制)任何接收的网络连接都被IPV4 的icmp-host-prohibited信息和IPV6的icmp6-adm-prohibited信息所拒绝public (公共) 在公共区域内使用,不能相信网络内的其它计算机不会对你的计算机造成危害,只接收经过选取的连接external (外部)特别是为路由器启用了伪装功能的外部网。你不能信任来自网络的其它计算,不能信任它们不会对你
IPTABLES详解:Linux防火墙配置高级应用
- 除了以上内容,教程还可能涵盖了如何创建规则、理解iptables的工作原理、以及高级配置技巧等,帮助读者全面掌握iptables的使用。 这份指南不仅适合初学者入门,也对有经验的管理员提供了一种系统化的学习资源,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值