Linux中netfilter火墙访问控制策略优化详解(下)—firewalld

最新推荐文章于 2024-04-26 21:36:04 发布
最新推荐文章于 2024-04-26 21:36:04 发布
阅读量502 收藏 1
点赞数 2
分类专栏: Linux运维 文章标签: linux 运维 netfilter iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44310047/article/details/117558135
版权

Linux中的firewalld火墙策略优化

文章目录

1、firewalld的设定原理及数据存储

firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护策略,而真正使用策略的是内核的数据包过滤器netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。使用firewalld进行防火墙策略管理虽然不能像iptables一样精确设定,但操作较为简单。firewalld 和 iptables server 之间最本质的不同是:iptables在/etc/sysconfig/iptables中存储相关配置,而firewalld将配置存储在 火墙模块目录/lib/firewalld/火墙配置目录 /etc/firewalld/ 中的各种xml文件里。

2、firewalld的域

firewalld通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流,具体划分区域如下:

区域区域策略描述
trusted (信任)接受所有的网络连接
home(家庭网络)仅仅接受家庭网络内经过选择的连接
work (工作网络)仅仅接受工作网络内经过选择的连接
public (公共网络)仅仅接受公共区域内经过选择的连接
dmz (非军事区)此区域内可公开访问有限内部网络,仅仅接收经过选择的连接
block (限制)拒绝所有网络连接
drop (丟弃)所有接收的网络数据包全部丢弃无任何回复
internal (内部网络)仅仅内部网络接受经过选择的连接
external (外部网络)即经过ipv4网络地址伪装转发的外部网络,只能接收经过选择的连接

3、火墙管理工具iptables—>firewalld的切换

实验步骤: 我们需要在双网卡虚拟主机westosa中关闭并冻结iptables服务,解锁(unmask)后开启firewalld服务
在这里插入图片描述

4、firewalld的管理命令

firewall-cmd --state 								##查看火墙状态
firewall-cmd --get-active-zones 					##查看当前火墙中生效的域
firewall-cmd --get-default-zone 					##查看默认域
firewall-cmd --list-all 							##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work 				##查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted 			##设定默认域
firewall-cmd --get-services 						##查看所有可以设定的服务

firewall-cmd --permanent --remove-service=cockpit 	##移除服务(需要刷新火墙使设定生效)
firewall-cmd --reload
 					
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block 
firewall-cmd --reload								##指定数据来源访问指定域(需要刷新火墙使设定生效)
 
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除指定域中的数据来源
firewall-cmd --permanent --remove-interface=ens224 --zone=public 	  ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block          ##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public 	  ##更改网络接口到指定域

实验步骤:
1)查看火墙状态显示火墙正在运行,查看默认域中的火墙策略
在这里插入图片描述
2)安装并启动httpd服务,在httpd服务的默认共享位置/var/www/html编写默认发布文件index.html,此时在33网段外网主机westosb和254网段内网真实主机中都无法访问双网卡主机westosa中的httpd服务
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
查看默认域中的火墙策略,此时默认域为public,设定默认域为trusted即接受所有网络连接,此时在33网段外网主机westosb和254网段内网真实主机中都可以成功访问双网卡主机westosa中的httpd服务,看到默认发布文件index.html
在这里插入图片描述
在这里插入图片描述
3)此时默认域为trusted即接受所有网络连接,在真实主机中ssh远程连接虚拟主机westosa可以成功登录
在这里插入图片描述
设定默认域为block,查看默认域中的火墙策略,显示拒绝所有网络连接,此时真实主机ssh远程连接虚拟主机westosa提示拒绝连接
在这里插入图片描述
在这里插入图片描述
4)在火墙配置目录/etc/firewalld下的主配置文件firewalld.conf中记录了当前火墙的默认域,查看该配置文件可以看到默认域为block,设定默认域为public,再次查看该配置文件可以看到默认域变为public
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
说明: firewalld的默认区域是public,firewalld默认提供了public.xml、trusted.xml等9个zone域模块配置文件,它们都保存在/lib /firewalld/zones/目录下
在这里插入图片描述
5)在火墙配置目录/etc/firewalld下的zone/ public.xml文件中,记录了firewalld默认区域public的火墙策略,在防火墙中移除ssh服务后查看public.xml文件,可以看到文件中没有ssh服务的策略语句;在防火墙中重新添加该服务后再次查看该文件,可以看到文件中多了一条ssh服务的策略语句
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
6)查看火墙的默认域为public,使用–list-all参数查看的是默认域中的火墙策略,当需要查看指定域的火墙策略时需要加–zone参数进行指定
在这里插入图片描述
7)查看防火墙中所有可以设定的服务,防火墙中所有可以设定的服务模块都以.xml的文件格式存放在/usr/lib/firewalld/services目录中
在这里插入图片描述
在防火墙中所有可以设定的服务中查找westos服务显示无该服务,这是因为在/usr/lib/firewalld/services目录中没有westos服务的.xml文件,我们可以复制/usr/lib/firewalld/services目录下已有ssh服务的.xml文件,修改.xml文件中的服务名称并为其提供默认使用端口得到westos服务的.xml文件,重启firewalld服务后再次在防火墙中所有可以设定的服务中查找westos服务可以成功查找到
在这里插入图片描述
在这里插入图片描述
此时我们可以在防火墙中添加westos服务,刷新火墙使设定生效后查看火墙策略可以看到服务添加成功;接着移除westos服务,刷新火墙使设定生效后查看火墙策略可以看到服务移除成功
在这里插入图片描述
8)此时在33网段外网主机westosb和254网段内网真实主机中都无法访问双网卡主机westosa中的httpd服务
在这里插入图片描述
在防火墙中指定数据来源为172.25.33.0/24网段的访问请求访问trusted域,即接受所有来自172.25.33.0/24网段的访问请求,刷新火墙使设定生效,此时33网段外网主机westosb可以成功访问双网卡主机westosa中的httpd服务即看到默认发布文件index.html,而254网段内网真实主机无法访问双网卡主机westosa中的httpd服务
在这里插入图片描述
在这里插入图片描述
9)查看默认域public中的火墙策略,此时public域中有ens10、ens3两个网络接口,删除public域中的ens10接口并将其添加到trusted域中,刷新火墙使设定生效
在这里插入图片描述
再次查看默认域public中的火墙策略,此时public域中只有ens3一个网络接口,查看trusted域中的火墙策略,此时trusted域中有ens10网络接口
在这里插入图片描述
更改ens10接口到public域中,查看默认域public中的火墙策略,此时public域中有ens10、ens3两个网络接口
在这里插入图片描述

5、firewalld的高级规则

firewall-cmd --direct --get-all-rules :查看高级规则

实验步骤:
查看防火墙高级规则显示没有相关策略,这里我们以httpd服务为例进行高级规则的设定。在防火墙中添加http服务,刷新火墙使设定生效,接着设定高级规则,即在filter表的INPUT链中添加拒绝所有不是来源于172.25.254.33主机的通过80端口(httpd服务默认使用22端口)、使用tcp协议的访问请求的策略,即只有172.25.254.33主机可以通过80端口访问双网卡主机的httpd服务,此时33网段的外网主机westosb访问westosa的httpd服务提示拒绝连接
在这里插入图片描述在这里插入图片描述
注意: direct命令进行高级规则设定时,必须先开启对应的服务,如果服务本身不被允许,相应的高级规则设定后仍无法生效

6、firewalld中的NAT地址转换

a、SNAT源地址转换

实验步骤:
1)使用firewalld进行SNAT源地址转换时,只需要开启火墙的地址伪装功能即可,刷新火墙使设定生效
在这里插入图片描述
2)此时在33网段的虚拟机westosb中可以ping通254网段的真实主机
在这里插入图片描述

b、DNAT目的地地址转换

实验步骤:
1)在防火墙中添加策略,将所有通过22端口输入、使用tcp协议的访问请求数据包转发给虚拟机westosb172.25.33.233的22端口
注意: 进行DNAT转换时,防火墙的地址伪装功能必须打开
在这里插入图片描述
2)此时在真实主机中远程连接westosa连接到的是33网段的虚拟机westosb
在这里插入图片描述

是大姚呀
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux firewalld火墙使用
昭大人的博客
07-22 1258
Linux firewalld火墙使用
Linux火墙设置白名单
花语无痕的博客
12-24 311
cd /etc/firewalld/zones/ vi public.xml 将允许访问的IP加入到public.xml即可 <?xml version="1.0" encoding="utf-8"?> Public For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections
Linux——Firewall防火墙firewalldiptables两种管理方式)_firewalld 旁路由 透明代理
最新发布
m0_61943758的博客
04-26 860
经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!
Linux火墙安全设定专题详解篇:iptablesfirewalld安全规则设定
chenshuai199533的博客
05-25 916
Linux火墙安全设定专题详解篇:iptablesfirewalld安全规则设定
[Linux]防火墙管理firewalldiptables
zhandar44的博客
06-06 261
firewalld: 1、介绍 firewalld(动态防火墙),其引入区域(zone)的概念。区域就是预先设计的策略集合,用户可以根据不同环境选择合适的策略集合,从而实现防火墙策略之间的快速切换。 2、域的介绍 网络域名称 配置 trusted 可接受所有的网络 internal 可用于内部网络,支持ssh,mdns,ipp-client,samba-clie...
CentOS7 firewalld XML 定义策略
weixin_34363171的博客
08-25 909
在 CentOS 6 防火墙 iptables 是以 Rules 写在 Chain 建立规则然后给 kernel 去执行,每次重建规则必须先清除原有规则,这会导致既有连线断。到 CentOS 7 之后改用 firewalld 以 zone 的区域分割观念来建立,并以动态设定方式执行避免断的问题。请注意:不能同时执行 iptablesfirewalld 这会造成冲突错...
Linux下netfilteriptableslog日志格式探讨.pdf
09-06
Linux下netfilter/iptableslog日志格式探讨 本文将探讨Linux系统下的netfilter/iptables日志格式,对其进行分析和改进。通过对ipt_LOG.c源文件的分析,我们可以看到当前的日志记录格式存在一些问题,如过于随意...
Linux netfilter/iptables知识点详解
09-14
在本篇文章里小编给大家整理的是关于Linux netfilter/iptables知识点详解,有兴趣的朋友们可以参考下。
Netfilter源代码分析详解
06-22
Netfilter源代码分析详解 一、Netfilter/IPTables 框架简介 Netfilter/IPTablesLinux火墙机制的新一代解决方案,继承了 IPfwadm 和 IPchains 的优点,并具有良好的可扩充性。Netfilter 采用模块化设计,...
LinuxNetfilter_iptables的研究与应用.pdf
09-06
LinuxNetfilter_iptables的研究与应用.pdf
火墙访问控制Access Control
wenze123的博客
02-26 4941
一 概述   访问控制技术,指防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。意指用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术。   访问控制的主要目的是限制访问主体对客体的访问,从而保障数据资源在合法范围内得以有效使用和管理。   访问控制(Access Control)指系统对用户身份及其所属的预先定义的策略组限制其使用数...
firewalld 规则配置
oToyix的博客
09-21 1万+
一、概念 1、动态防火墙 启动新规则时,不会像ipatbles一样,先清空规则,再启动所有规则,如此会对现在程序有影响,哪怕只是一条规则。而firewalld 规则变更不需要对整个防火墙规则重载,可直接添加新规则 2、iptablesfirewalld的关系 firewalld底层使用iptables作为防火墙规则管理入口。 firewalld内核模块还是netfilter,只是firewalld修改了daemon和service 添加规则还是通过iptables管理的,可以通过iptables查看
iptables火墙之SNAT与DNAT
weixin_45305723的博客
05-01 2237
1、SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 2、SNAT工作原理 数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP 当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP 3、SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linu
firewalld火墙配置
BiQing11的博客
06-17 1822
1、确认并开启firewalld服务。上面是两个常见到得配置文件。
firewalld火墙基础
weixin_59629968的博客
09-18 1645
firewalld火墙区域配置实现对区域流量的规则放通,丢弃,禁止
Firewalld火墙详解
热门推荐
shenyuanhaojie的博客
09-19 4万+
文章目录1. firewalld火墙简介1.1 firewalld 是什么1.2 什么是动态防火墙1.3 firewalldiptables 之间的关系 1. firewalld火墙简介 1.1 firewalld 是什么 firewalld 提供了支持 网络 / 防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。 1.2 什么是动态防火墙   我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下 iptables service 管
centos7防火墙管理
u012132164的博客
11-21 341
centos防火墙
火墙安全策略
qq_44850340的博客
02-04 5131
包过滤技术基础 包过滤技术简介: 对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。 实现包过滤的核心技术是访问控制列表。 包过滤作为一种网络安全保护机制,主要用于对网络各种不同的流量是否转发做一个最基本的控制。传统的包过滤...
firewalld
qq_42711214的博客
09-21 865
RHEL的防火墙种类 1.iptables 2.firewalld 3.ip6tables 4.ebtables 这些软件本身并不具备防火墙功能,他们的作用都是在用户空间管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核的netfilter完成的 系统火墙的结构 一、firewalld的认识 1、firewalld提供了支持网络/防火墙区域...
linux系统防火墙电子书
08-28
本电子书深入探讨了Linux系统防火墙的相关知识,主要关注iptablesfirewalld和nftables这三大核心防火墙工具。章节分为几个部分: 1. 安全技术和防火墙基础:介绍了安全技术的重要性,包括防火墙的分类,以及网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值