目录
(2) 将来自192.168.10.0/24的数据包指向这个链
(3) 将网关服务器的外网接口设置第二个ip地址,让外网主机能够通过两个IP访问Web服务
直接规则
将 iptables 的规则插入到hirewalld防火墙的策略中
示例
将某个P范围列入黑名单
防止DDOS攻击
(1) 创建一个黑名单功能链
先使用 firewal-cmd --direct --add-chain ipv4raw blackist 命令在规则中添加一个名为 blacklist 的新的 ipv4 原始防火墙链
- --direct:这个选项告诉frewal-cmd命令直接在防火墙的底层规则中进行操作,而不是通过frewalld的标准配置接口。
- --add-chain ipv4 raw blacklist:在IPV4协议下的原始 (raw) 表中添加一个名为 blacklist 的新防火墙链。
a. 原始表 (raw table) 是Linux防火墙的一部分,它允许更低层次的处理,通常用于某些特定的高级网络配置和包过滤。
firewall-cmd --direct --remove-chain ipv4 raw blacklist : 删除一个名为blacklist的ipV4原始防火墙链
firewal-cmd -direct --add-chain ipv4 raw blacklist-permanent : 在规则中永久添加一个名为backist 的新的ipv4原始防火墙链
(2) 将来自192.168.10.0/24的数据包指向这个链
再在该链上加一条规则,用于将指走网段的数据包跳转到 blacklist 链中
(3) 每分钟记录一次日志
记录匹配特走条件的流量
(4) 设置该链的规则为DROP
在该链中添加一条规则,编号为1,该规则的动作是丢弃(DROP)匹配的数据包。
(5) 重载firewalld
富语言
frewalld的富语言 (rich language) 提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewald 的基本语法中未涵盖的自定义防火墙规则。
示例
需求 : 允许主机建立连接,并且每分钟审核一下
yum -yinstall httpd 安装Apache软件包
(1) 允许连接http,并使用审核每分钟记录一次
其他富语言示例
允许了来自 192.168.10.0/24 网段的主机访问 TFTP 服务,并记录相关日志
地址伪装
源地址转换 : 内网访问外网
目标地址转换 : 外网访问内部服务器
示例
实现外网主机访问内网Web服务器dmz区域的Web服务
需要在网关服务器做地址转换
关闭地址伪装、重载
设置external区域中只有192.168.1.0/24网段的数据包才有地址伪装效果
(2) 端口转发
将所有进入防火墙外部区域(extemal)的80端口的TCP流量转发到内部网络的192.168.2.10主机上