Firewalld的原则:
如果一个客户端访问服务器,服务器根据以下原则决定使用哪个 zone 的策略去匹配
1.如果一个客户端数据包的源 IP 地址匹配 zone 的 sources,那么该 zone 的规则就适
用这个客户端;一个源只能属于一个zone,不能同时属于多个zone。
2.如果一个客户端数据包进入服务器的某一个接口(如eth0)区配zone的interfaces,
则么该 zone 的规则就适用这个客户端;一个接口只能属于一个zone,不能同时属于多个zone。
3.如果上述两个原则都不满足,那么缺省的 zone 将被应用
你可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有例如firewall-config 这样的图形界面工具, firewall-cmd 这样的命令行工具,或者你也可以在配置文件目录中创建或者拷贝区域文件,/usr/lib/firewalld/zones 被用于默认和备用配置,/etc/firewalld/zones 被用于用户创建和自定义配置文件。
命令行工具firewall-cmd支持全部防火墙特性。(更多firewall相关命令见上篇博客)
firewall防火墙案例
一.
1.搭建web,ssh服务:使用yum仓库安装httpd可以解决依赖包的问题
搭建yum仓库也可以使用rpm -ivh 安装
安装ssh,web服务
修改IP地址添加参数:IPADDR,NETMASK,GATEWAY,DNS
2.修改服务端口
①ssh:/etc/ssh/sshd_config
重启服务查看服务端口号
②httpd:/etc/httpd/conf/httpd.conf 参数:ServerName 域名:端口号 Listen: 将要修改的端口号
启动ssh,http服务 Slinux必须关闭否则会影响访问:/etc/selinux/config
3.禁用外网ping通内网建立firewall防火墙规则:firewall-cmd --add-icmp-block=icmp类型
验证
4.192.168.31.83除了web和ssh之外,禁止任何访问 firewall-cmd --add-port=端口号/协议
二.此处需要网关两个网卡
1.打开路由转发:vim /etc/sysctl.confrwart 添加参数net.ipv4.ip_forward=1
载入设置
测试能不能访问2008服务器地址(设置的地址为案例172.31.1.2)
3.实现内网访问2008地址伪装
在网关上设置firewall-cmd --add-masquerade
查看2008服务器web服务日志可见伪装的地址
3.如要求所示:由2008访问内网web端口映射(要求所示为web为8000)
firewall-cmd --add-forward-port=port=80:proto=tcp:toport:8000:toaddr=192.168.31.83
4.由2008访问内网ssh远程管理端口映射(要求所示为ssh为10211)
firewall-cmd --add-forward-port=port=23456:proto=tcp:toport:10211:toaddr=192.168.31.83
5.网关主机禁止任何访问(查看活动区域及详情firewall-cmd [--zone=区域] --list-all)
firewall-cmd [--zone=区域] --remove-service=服务 ([--zone=区域]为指定区域)
转载于:https://blog.51cto.com/12832314/1919013
9226
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
