firewall防火墙配置实战

已于 2024-02-20 10:32:03 修改
阅读量628 收藏 4
点赞数 1
分类专栏: Linux系统 文章标签: 服务器 linux 网络
于 2024-02-19 17:45:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38924998/article/details/136175117
版权

基本操作

服务启停操作

#停止firewall
systemctl stop firewalld  

#禁止firewall开机启动
systemctl disable firewalld 

#开启firewall
systemctl start firewalld 

#开机启动防火墙
systemctl enable firewalld   

# 查看防火墙状态
firewall-cmd --state 
systemctl status firewalld

防火墙基础命令

基础命令分为 增删查

查询规则

查询所有的防火墙规则
 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="10.xx.200.0/24" accept
        rule family="ipv4" source address="10.xx.100.0/24" accept
查询防火墙某个服务或是端口的策略
# 查询某个服务的状态
 ~]# firewall-cmd --query-service=ssh 
yes

# 查询某个端口的状态
 ~]# firewall-cmd --query-port=8080/tcp 
yes

增加规则

放行单个端口号及放行端口号区间
# 防火墙放行端口号
~]#  firewall-cmd --add-port=3306/tcp --permanent
success
~]#  firewall-cmd --add-port=80/tcp --permanent
success
~]#  firewall-cmd --add-port=8080/tcp --permanent
success

# 重新加载配置
~]# firewall-cmd --reload
success

# 查看验证
~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client ssh
  ports: 3306/tcp 80/tcp 8080/tcp

# 这里放行8080-9000端口区间
~]# firewall-cmd --add-port=8080-9000/tcp --permanent
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client ssh
  ports: 3306/tcp 80/tcp 8080/tcp 8080-9000/tcp
IP地址及IP地址段放行
# 只要是这个IP地址段内的IP来源可以访问本地所有的服务和端口
firewall-cmd --add-rich-rule="rule family="ipv4" source address="10.xxx.160.0/24"  accept" --permanent 

# 重新加载配置
 firewall-cmd --reload

# 查看策略
~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client ssh
  ports: 3306/tcp 80/tcp 8080/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="10.xxx.160.0/24" accept
        rule family="ipv4" source address="10.xxx.161.0/24" accept
基于mac地址进行白名单过滤

客户端的mac地址

ether 00:50:56:9f:28:09  txqueuelen 1000  (Ethernet)
ether 2e:32:63:0d:c7:5f  txqueuelen 1000  (Ethernet)

服务端这边启动了一个Nginx可以正常访问,限制了某几个Mac地址可以访问。

服务端配置防火墙规则

]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m mac --mac-source 00:50:56:a2:43:cf -j ACCEPT
success
]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m mac --mac-source 00:50:56:9f:5b:2c -j ACCEPT
success
]# firewall-cmd --reload
success
]# sudo firewall-cmd --direct --get-rules ipv4 filter INPUT
0 -m mac --mac-source 04:56:E5:20:ED:93 -j ACCEPT
0 -m mac --mac-source 00:50:56:a2:43:cf -j ACCEPT
0 -m mac --mac-source 00:50:56:9f:28:09 -j ACCEPT
0 -m mac --mac-source 00:50:56:9f:5b:2c -j ACCEPT

验证客户端访问服务端 查看是否有被拦截

# 已添加到规则内的 mac地址  ether 00:50:56:9f:28:09 
# 访问服务端
 curl 10.xx.100.131:443
<h1>Welcome to nginx!</h1>

# 已添加到规则内的  mac地址 ether 00:50:56:9f:5b:2c
# 访问服务端
 curl 10.xx.100.131:443
<h1>Welcome to nginx!</h1>

# 非添加到规则内的 mac地址 ether 00:50:56:9f:06:11
# 访问服务端
 curl 10.xx.100.131:443
curl: (7) Failed connect to 10.xx.100.131:443; 没有到主机的路由
服务放行
# 把MySQL服务对外暴漏出去让客户端访问
~]# firewall-cmd --add-service=mysqld --permanent
success
~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client mysqld ssh

注意这里如果是服务改了端口加完配置后不会随之改变的

# 注意:如果端口号修改,如ssh默认为22,修改为12222,
# 这时开放服务是没有用的,这条规则只会命中默认的22。
# 所以还是建议用放行端口或是IP地址段的方式,此种策略暂不建议,除非firewall的版本升级,修改了现在的问题。
firewall-cmd --add-rich-rule="rule family="ipv4" source address="10.xx.96.10" service name="ssh" accept"

删除策略

# 这里删除策略是 --remove删除策略
~]#  firewall-cmd --remove-port=3306/tcp --permanent
success

~]# firewall-cmd --reload
success
~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client mysqld ssh
  ports: 80/tcp 8080/tcp 8080-9000/tcp 8080-9999/tcp

防火墙黑名单配置

# A机器上配置防火墙策略 10.xxx.200.46
~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.xxx.2.0/24" service name="ssh"  reject" 
success
~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.xxx.200.47" service name="ssh"  reject" 
success

~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client mysqld ssh
  ports: 80/tcp 8080/tcp 8080-9000/tcp 8080-9999/tcp
  protocols: 
  masquerade: yes
  forward-ports: port=666:proto=tcp:toport=80:toaddr=10.1.200.47
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.xxx.2.0/24" service name="ssh" reject
        rule family="ipv4" source address="10.xxx.200.47" service name="ssh" reject

# B机器IP地址10.xxx.200.47 用ssh访问B机器IP地址10.xxx.200.46,显示端口被拒绝
Last login: Sun Jan 29 17:18:11 2023 from 10.xxx.200.45
~]# ssh 10.xxx.200.46
ssh: connect to host 10.xxx.200.46 port 22: Connection refused

防火墙端口流量转发

命令格式

firewall-cmd --permanent --zone=public --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目的端口号>:toaddr=<目标地址、本机地址>
本地端口转发

example A访问B机器的888端口转发到22端口

example 访问目标888端口转发到22端口

firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=22:
#防火墙public区域,访问本机888端口的请求流量转发到22端口号,目标IP地址这里不写就是本机
 
firewall-cmd --reload   #让永久生效策略不用重启当前立即生效
 
ssh -p 888 192.xxx.2.1  #在客户机使用ssh命令尝试访问192.xxx.2.1主机的888端口,查看是否转发到了22端口,是否登录成功

A机器访问B机器的888端口转发到22端口上

# 在B机器上配置流量转发策略,访问888端口转发到22端口上
[root@shurongtest-010xx00046 ~]# firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=22:toaddr=10.xxx.200.46
success
[root@shurongtest-01xxx1200046 ~]# firewall-cmd --reload
success
[root@shurongtest-01xxx200046 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens192
  sources: 
  services: dhcpv6-client mysqld ssh
  ports: 80/tcp 8080/tcp 8080-9000/tcp 8080-9999/tcp
  protocols: 
  masquerade: no
  forward-ports: port=888:proto=tcp:toport=22:toaddr=10.xxx.200.46

# 在A机器上ssh访问B机器的888端口,这里访问了888端口是可以正常登录的说明流量转发成功。
[root@shurongtest-010xxx200045 admin]# ssh 10.xxx.200.46 -p 888
Last login: Sun Jan 29 14:30:55 2023 from 10.xxx.200.45
[root@shurongtest-010xxx1200046 ~]#

远程端口转发
# 开启IP伪装(也就是端口转发)
# firewall-cmd --permanent --add-masquerade

# A机器访问B机器的999端口转发C机器的80端口上
# A机器IP地址10.xxx.100.133  B机器IP地址10.xxx.100.132  C机器IP地址10.xxx.100.131

# 目标C机器端口80返回的页面是 
访问返回
Welcome to nginx!

# 在B机器上测试访问C机器,看一下能否正常返回
curl 10.xxx.100.131
Welcome to nginx!

# 核心配置 B机器上配置流量转发,其它主机访问888端口就会访问到C主机的 nginx欢迎页面
]# firewall-cmd --permanent --add-masquerade
success
]# firewall-cmd --permanent --add-forward-port=port=888:proto=tcp:toport=443:toaddr=10.xxx.100.131
success


# 验证 A机器访问B机器的999端口
]# curl 10.xxx.100.132:888
<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>

应急模式

注意 这个模式谨慎使用会断开一切网络连接包括ssh,需要有控制台或是现场机房可以

# 谨慎使用,除非人员在本地,可以控制服务器
# 启动/关闭firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时慎用)
 
firewall-cmd  --panic-on     #开启防火墙服务的应急状况模式,阻止一切网络连接
 
firewall-cmd  --panic-off    #关闭防火墙服务的应急状况模式,恢复一切网络连接

运维潇哥
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewall-cmd 规则新建与删除
ens160的博客
08-12 2446
firewall-cmd --zone=trusted --list-all查看指定区域下的规则。firewall-cmd --get-zone 拿一个区域。
ISA server 2006 排错实战技巧
07-26
第一:firewall client 防火墙客户端,适用于win95/98等老系统,xp以上无需安装 第二:securenat clinet 安全地址转换客户端,尚未安装firewall clinet 软件的客户机端 第三:web proxy clinet 代理客户端,将ISA...
centos7防火墙关闭以及清除防火墙规则
qq_36781937的博客
11-14 1103
【代码】centos7防火墙关闭以及清除防火墙规则。
CentOS7 firewalld 查看状态、新增端口、删除端口
最新发布
wangjun5159的专栏
05-29 309
Linux CentOS7 firewalld 查看状态、新增端口、删除端口命令。
firewalld
weixin_44575682的博客
02-29 1655
firewalld 防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。现在大部分的系统 默认都安装了firewalld防火墙工具,及在工作中会经常用到。为了防止很多时候忘记如何配置防火墙,故对下面的一些简单的 命令进行记录。
Linux】深入探究CentOS防火墙Firewalld):基础概念、常用命令及实例操作
AliceNo的博客
03-07 1363
理解和有效地配置防火墙是任何系统管理员的重要任务之一。在Linux系统中,CentOS防火墙Firewalld)是一个强大的工具,可以帮助保护服务器免受恶意网络活动的侵害。本文将详细介绍CentOS防火墙的基本概念、常用命令以及实例操作,帮助你更好地了解和管理防火墙设置。通过本文的学习,你应该对CentOS防火墙有了更深入的了解,并能够使用Firewalld命令来配置和管理服务器网络连接。记得根据实际需求和安全策略,及时更新防火墙规则,以确保服务器的安全性和稳定性。
firewall防火墙配置使用手册
xiaojie_std的专栏
07-29 540
firewall-cmd --zone=public --add-port=80/tcp --permanent # 开放80端口。firewall-cmd --zone=public --remove-port=80/tcp --permanent #关闭80端口。2、允许特定IP访问指定端口。1、查看端口开发情况。
linux防火墙ifirewalld详解
zhangxm_qz的博客
08-05 1426
文章目录centos7防火墙介绍 centos7防火墙介绍 在CentOS 7里有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 启用 firewalld 防火墙服务后通过 iptables -nvL 命令仍然可以看到系统中的各种配置,如下 --启用firewall 防火墙服务 systemctl start firewalld systemctl enable firewa
防火墙操作命令
qq_41667748的博客
05-04 7239
Linux下的防火墙命令
CentOS 7 防火墙配置,添加规则,删除规则,查看规则
06-25 3926
firewalld的配置方法主要有三种:firewall-config、firewall-cmd和直接编辑xml文件, 临时添加 firewall-cmd --zone=public --add-port=443/tcp永久添加 firewall-cmd --permanent --zone=public --add-port=443/tcp 临时删除 firewall-cmd --zone=public --remove-port=443/tcp永久删除 firewall-cmd --permanen
软路由RouterOS设置实战
12-28
【RouterOS设置实战篇】是关于如何将普通PC转变为专业路由器的文章,重点讲解了使用RouterOS软件进行ADSL PPPOE拨号和固定IP光纤的配置步骤。RouterOS是一款功能强大的路由器操作系统,它具备多种高级功能,适用于从...
MyCat 第1天.zip
06-21
配置文件包括`server.xml`、`schema.xml`和`rule.xml`等,其中`server.xml`主要用于系统级的全局配置,如用户认证、防火墙规则等;`schema.xml`用于定义逻辑数据库和数据分片规则;`rule.xml`则规定了数据分片的具体...
MikeNorth的网络安全课程___下载.zip
04-18
6. **Web应用防火墙与入侵检测系统**:学习如何利用WAF(Web Application Firewall)和IDS/IPS(Intrusion Detection Systems/Intrusion Prevention Systems)来保护Web应用免受攻击。 7. **安全配置与管理**:讨论...
linux-guides:有用Linux技巧
03-29
8. **防火墙配置**:Ubuntu使用`ufw`(Uncomplicated Firewall),CentOS则有`firewalld`。学习如何设置规则来保护你的系统是安全实践的一部分。 9. **Shell脚本编程**:了解Bash shell语言可以让你编写自动化任务...
Firewalld端口富规则——删除默认开放的服务
weixin_53389944的博客
11-29 436
在Redhat8.6中,firewalld默认开放了ssh、cockpit、dhcpv6-client三个服务的端口富规则。命令对防火墙配置进行永久性修改,这意味着所做的更改将会在防火墙重新启动后仍然有效。选项,所做的更改将在防火墙重新启动后失效。
linux 防火墙操作
翱翔于知识的天空
02-15 604
一、firewalld。
firewalld防火墙简单理解总结
花语无痕的博客
11-18 1115
firewalld防火墙简单理解总结
Linux开启telnet服务及防火墙设置
Dunzier的博客
03-03 2040
linux安装启动telnet服务并配置防火墙
firewalld添加端口
Helios32的博客
11-13 8870
CentOS7默认的防火墙firewalld 如果没有firewalld防火墙,可以执行yum install firewalld命令进行安装 2|0firewalld防火墙启用与关闭 启动systemctl start firewalld 关闭systemctl stop firewalld 查看状态systemctl status firewalld 查看状态firewall-cmd --state 开机启用systemctl enable firewalld 开机禁用systemctl ..
华为防火墙 firewall配置命令
11-03
华为防火墙配置命令主要包括以下几个方面: 一、基本设置命令: 1. 设置系统主机名:sysname [hostname] 2. 配置管理接口地址:interface ethernet [interface-id] ip address [ip-address] [subnet-mask] 3. 配置域名服务器地址:ip host source-ip [ip-address] 二、安全策略命令: 1. 创建安全区域:security-zone [name] 2. 创建安全策略:security-policy [policy-name] from [source-zone] to [destination-zone] source [source-address] destination [destination-address] service [service-name] action [allow|deny] 三、网络地址转换命令: 1. 配置动态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] dynamic known-ratio [ratio] to interface [interface-id] 2. 配置静态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] static [global-ip-address] inside [inside-ip-address] 四、日志命令: 1. 配置日志服务器:log server ip [ip-address] port [port] 2. 配置日志策略:log policy [policy-name] action [permit|deny] destination [log-server-name] source [source-address] service [service-name] 五、系统管理命令: 1. 保存配置:save 2. 加载配置:load 3. 显示系统配置信息:display firewall configuration 以上介绍了部分华为防火墙配置命令,仅供参考。具体的配置要根据实际情况和需要进行调整。建议在进行防火墙配置前先了解设备操作手册和相关技术文档,以便更准确地配置和管理华为防火墙

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值