一、防火墙简介
防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。
管理防火墙的两种方式 :
1、firewalld 管理火墙的工具,相对简单
2、iptables 复杂,功能强大
二、Firewalld
Firewalld所有的域
网络区名称 | 默认配置 |
---|---|
trusted(信任) | 可接受所有的网络连接 |
home(家庭) | 用于家庭网络,仅接受ssh,mdns,ipp-client,samba-client,dhcpv6-client连接 |
internal(内部) | 用于内部网络,仅接受ssh,mdns,ipp-client,samba-client,dhcpv6-client连接 |
work(工作) | 用于工作区,仅接受ssh,ipp-client,dhcpv6-client服务连接 |
public(工作) | 用于工作区,仅接受ssh,ipp-client,dhcpv6-client服务连接 |
public(工作) | 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,是firewalld的默认区域 |
external(外部) | 出去的ipv4网络连接通过此区域为伪装或转发,仅接受ssh服务的连接 |
dmz(非军事区) | 仅接受ssh服务的连接 |
block(限制) | 拒绝所有网络的连接 |
drop (丢弃) | 任何接收的网络数据包都被丢弃,没有任何回复 |
Firewalld的管理防火墙
可以通过三种方式来管理firewalld
使用命令行工具firewall-cmd
使用图形工具firewall-config
使用/etc/firewalld/中的配置文件
启用firewalld
systemctl start firewalld 开启火墙
systemctl stop firewalld 关闭火墙
systemctl enable firewalld 设置火墙开机自启动
systemctl disable firewalld 设置火墙开机禁用
systemctl status firewalld 查看状态
firewall-cmd常用命令
--get-default-zone 查询当前默认区域。
--set-default-zone= 设置默认区域。此命令会同时更改运行时配置和永久配置。
--get-zones 列出所有可用区域。
--get-services 列出所有预定义服务。
--get-active-zones 列出当前正在使用的所有区域(具有关联的接口或源)及接口和源信息。
--add-source= 将来自IP地址或网络/掩码的所有流量路由到指定区域。
--remove-source= 从指定区域中删除用于路由来自IP地址或网络/掩码的所有流量规则。
--add-interface= 将来自该接口的所有流量到指定区域。
--change-interface= 将接口已有绑定区域而与其他区域关联。
--list-all 列出默认区域的所有配置(接口、源、服务和端口)。
--list-all-zones 列出所有区域的所有配置(接口、源、服务和端口)。
--add-service= 允许区域某服务的流量。
--add-port= 允许区域某端口的流量。
--remove-service= 从区域删除某服务规则。
--remove-port= 从区域删除某端口规则。
--reload 丢弃Runtime配置并应用Permanet配置。
1、查看火墙的状态
查看火墙正在使用的域
查看火墙默认的域
查看火墙所有的域
查看work域的信息
列出可使用的服务
火墙允许http服务
火墙删除http服务
将指定ip主机加入trusted域
将指定ip主机从trusted域删除掉
拒绝主机172.25.254.29的所有网络连接(有回应)
拒绝主机172.25.254.29的所有网络连接(无回应)
将eth0接口从public域 移除
添加eth0接口到trusted域
直接将eth1从原来的区域转到public这个区域
将8080端口加入public域
查看firewalld的服务相关配置文件
查看firewalld的区域相关配置文件
firewall-cm --permanebt --reload 不改变状态的条件下重启防火墙
firewall-cmd --permaneb --complete-reload 状态信息将丢失,当防火墙有问题的时候可以使用
临时只接受ip为172.25.254.29的主机访问服务端的网页 (80端口是为http开放的)
删除这条规则