Linux下防火墙管理之firewalld

最新推荐文章于 2023-02-26 22:40:01 发布
最新推荐文章于 2023-02-26 22:40:01 发布
阅读量243 收藏
点赞数
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45792518/article/details/105065056
版权

1.firewalld的开启

systemctl stop iptables 
systemctl disable iptables
systemctl mask iptables 
systemctl unmask firewalld
systemctl enable --now firewalld

在这里插入图片描述

2.关于firewalld的域

trusted 	##接受所有的网络连接
home 		##用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
work 		##工作网络 ssh ipp-client dhcp-client
public 		##公共网络 ssh dhcp-client(不相信网络上的任何计算机,只选择接受传入的网络连接)
dmz 		##军级网络 ssh
block 		##拒绝所有
drop 		##丢弃 所有数据全部丢弃无任何回复
internal 	##内部网络 ssh mdns ipp-client samba-client dhcp-client
external 	##ipv4网络地址伪装转发 sshd

在这里插入图片描述
我们指定一个域以后,它很多东西就在拒绝或允许范围之内,就像windows一样,windows第一次接入一个陌生的网络里面,会弹出一个对话框,这个对话框会询问你接入的这个网络类型是家庭网络、公共网络、工作网络、不可信网络中的哪一个,然后你选择哪一个,Windows火墙会做相应的设定
注意:firewalld默认域是public

3.关于firewalld的设定原理及数据存储

/etc/firewalld ##火墙配置目录 
/usr/lib/firewalld ##火墙模块目录

更改默认域public为block
在这里插入图片描述
测试效果:更改默认域public为block之前,可以ping通,更改后ping不通
在这里插入图片描述
更改回默认域为publc需要去更改火墙配置文件中的信息

vim /etc/firewalld/firewalld.conf
DefaultZone=public

在这里插入图片描述
在这里插入图片描述
需求:在火墙中添加自定义服务westos
实验:

vim /etc/firewalld/zones/public.xml	## 编辑此文件
firewall-cmd --reload	## 设定完成后需要加载此文件中的内容

在这里插入图片描述
在这里插入图片描述
westos服务加到火墙配置目录文件后,需要对westos服务进行描述,在火墙模块目录文件中进行服务描述
将火墙模块目录中的服务目录下的文件复制出一份westos.xml类型文件(注意文件属性,文件属性没有什么特殊的地方,直接复制就可以)
更改文件中信息内容为westos服务信息
保存退出,westos服务就加进去了
最后需要重启火墙,让火墙可以识别到加进来的westos服务
.xml信息封装方式:主要用来对数据进行封装的,就是把数据封装成一个文件
firewalld火墙管理方式:它把所有的东西都封装好,你只需要用一个名字来代替所有的数据的一个指定,就会自动的给你做这个事情,这样就变得很简单了,但是对于开发者来说就变得很麻烦
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4. firewalld的基本管理命令

firewall-cmd --state ##查看火墙状态
firewall-cmd --get-default-zone ##查看默认域
firewall-cmd --list-all ##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work ##查看指定域的火墙策略
firewall-cmd --get-active-zones ##查看当前火墙中生效的域

在这里插入图片描述

firewall-cmd --set-default-zone=trusted ##设定默认域

在这里插入图片描述

firewall-cmd --get-services ##查看所有可以设定的服务

在这里插入图片描述

firewall-cmd --permanent --remove-service=samba ##移除服务
firewall-cmd --reload

在这里插入图片描述

  • source来源设定
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域
firewall-cmd --reload

在这里插入图片描述
测试:
7主机192.168.1.10没有做任何设定,它走的是默认的public域,可以ping通
test主机172.25.254.21设定它访问的域是block,所以它ping不通
在这里插入图片描述
在这里插入图片描述

firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除指定域中的数据来源

在这里插入图片描述
在这里插入图片描述

需求:想让某一个接口走某一个域,把一个接口设定到block域上面,把一个接口设定到public域上面
实验:
当访问ens160接口时它走public域,当访问ens224接口时走的是block域,用来将两块网卡分开控制
ens160:192.168.1.11
ens224:172.25.254.11
在这里插入图片描述

firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加指定域的网络接口

在这里插入图片描述
在这里插入图片描述
测试:
test主机172.25.254.21访问172.25.254.11网络接口时走的是block域,所以ping不通
7主机192.168.1.10访问192.168.1.11网络接口时走的是public域,所以能够ping通
在这里插入图片描述
在这里插入图片描述

firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定域

将ens224网络接口更改回public域后,再去访问,可以ping通
在这里插入图片描述
在这里插入图片描述

5. firewalld的高级规则

firewall-cmd --direct --get-all-rules ##查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp --dport 22 -j ACCEPT	
## ipv4表示策略,filter表访问本机中的数据,1表示filter的第几条,-s 表这个网段的数据来源可以访问,22端口被访问

此实验是在RedhatLinux7系统中做的
为了让效果更加真实,在火墙服务允许列表中移除ssh服务
在这里插入图片描述
设定172.25.254.21主机可以通过22端口来访问我本机
在这里插入图片描述
测试:
test主机172.25.254.21,可以连接我本机
8主机192.168.1.11,不能连接我本机
和设定效果一致
在这里插入图片描述
在这里插入图片描述

删除设定的高级策略
在这里插入图片描述
因为火墙服务允许列表中没有ssh服务,所以其它主机都不能连接我本机
在这里插入图片描述

6.firewalld中的NAT

在火墙服务允许列表中添加ssh服务
在这里插入图片描述
此实验在RedhatLinux8系统中做
SNAT(源ip地址转换)

firewall-cmd --permanent --add-masquerade	##开启ip地址伪装功能
firewall-cmd --reload

在这里插入图片描述
测试:
test主机172.25.254.21能够连接192.168.1.10主机
192.168.1.10主机查看连接他的是192.168.1.11这台主机
在这里插入图片描述
DNAT(目的地ip地址转换)

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.21
firewall-cmd --reload

策略添加后,可以看到火墙默认域里写有该策略的协议
在这里插入图片描述
测试:
7主机去连接192.168.1.11主机时,192.168.1.11主机让它转到内部主机172.25.254.21上
test主机172.25.254.21可以看到连接它的是它主机上的网关ip172.25.254.11
在这里插入图片描述
在这里插入图片描述

Li_barroco
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux--firewalld-NAT地址转换实验(DNAT,SNAT,开启路由转发功能)
CN_TangZheng的博客
12-15 4103
- NAT包含DNAT和SNAT - DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP和目标端口 - SNAT:源地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇
m0_47219942的博客
08-02 3824
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇前言一:NAT实验1.1:实验环境1.2:实验目的1.3:实验分析图1.4::实验步骤1.4.1:linux防火墙1.4.2:web虚拟机配置1.4.3:客户机配置1.5:实验结果1.6:实验总结 前言 NAT包含DNAT和SNAT DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一
Linux 防火墙(二)——NAT和Firewall
李凯的博客
12-23 1971
Linux 防火墙(一)——基础介绍以及基本扩展模块 规则优化最佳实践 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条 谨慎放行入站的新请求 有特殊目的限制访问功能,要在放行规则之前加以拒绝 同类规则(访问同一应用),匹配范围小的放在前面,用于特殊处理 不同类的规则(访问不同应用),匹配范围大的放在前面 应该将那些可由一条规则能够描述的多个规则合并为一条 设置默认策...
Linux配置NAT网络
Anonymity的博客
02-17 2984
一、先修改windos的网卡配置 win+R -----> cmd -----> ipconfig 记住IPv4地址以及子网掩码,然后去控制面板找到:控制面板\网络和 Internet\网络连接 二、修改VM虚拟机的虚拟网络配置 Linux 网络配置修改 vi /etc/sysconfig/network-scripts/ifcfg-ens33 #网络配置 TYPE=Ethernet BOOTPROTO=static NAME=ens33 UUID=c5bb2b03-32d8-
linux 防火墙管理-firewalld
wsuyixing的博客
02-26 1100
firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务作为防火墙配置管理工具。“firewalld”是firewall daemon。它提供了一个动态管理防火墙,带有一个非常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。有命令行界面(CLI)和图形界面(GUI).这里主要讲解CLI方式。 本篇对firewalld的原理和操作进行概述
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要...官方文档地址:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld  1、firewall
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
firewalld 防火墙 nat 网络地址转换
weixin_30814223的博客
05-11 1043
目的:实现以下效果 一、 准备环境 @1 三台虚拟机 @2 client 端 ip 192.168.1.2 server端 两块网卡 , ip 分别是 192.168.1.1 和 172.16.100.1 web端 ip 为 172.16.100.3 注:虚拟机添加网卡后没显示配置文件,需要自己手动编辑一个配置文件 二,部署环境 1> 这时会发...
Centos7防火墙配置firewalld过程与iptables nat 应用
Sunny_Future的博客
12-06 3359
管理防火墙的两种方式:firewalld与iptables (1)firewalld  管理火墙的工具,相对简单 -->windows (2)iptables  复杂,功能强大  -->route (1)、(2)不能同时起作用 一、firewalld相关配置 (一)图形化管理 打开图形化管理火墙界面,并打入后台不影响终端使用 [root@route ~]# firewal...
Linux系统工程师3--7.Linux的火墙优化策略
yjy11223的博客
08-12 275
1.火墙介绍 1.netfilter 2.iptables 3.iptables | firewalld #iptables firewalld 同时只能用一个 2.火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld----->iptables #firewalld切换为iptables dnf install iptables-services ...
linux 防火墙nat
darren‘s blog
11-01 3810
NAT表,作用是对网络地址进行转换,主要有两个功能:1. DNAT 网络目的地址转换; 2. SNAT 网络源地址转换。 这里有两个应用场景便于理解NAT表的两个功能: 1.公司里有几台服务器需要对外提供服务,但公司只有一个外网ip地址,怎么让几台服务器共用一个ip地址? 2.家庭里很手机、电脑等设备,一般会通过wifi连到路由器上,然后上外网,仔细推敲下手机电脑获取的是路由器分配的
Firewall / nat
weixin_30561177的博客
06-28 151
转载于:https://www.cnblogs.com/WIU1905/p/11100834.html
firewalld 添加删除策略
alliswell95的博客
05-29 6161
添加: sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="0.0.0.0/24" port protocol="tcp" port="10050" accept" 加载: firewall-cmd --reload 删除: sudo firewall...
linux防火墙服务,CentOS 7防火墙服务FirewallD指南
weixin_31958413的博客
05-11 126
防火墙是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙通常工作在网络层,也即IPv4或IPv6的IP包上。是否允许包通过防火墙,取决于防火墙配置的规则。这些规则既可以是内建的,也可以是用户自定义的。每一个包要进出防火墙,均需要满足防火墙配置的规则。每一条规则均有一个目标动作,具有相同动作的规则可以分组在一起。对于Linux系...
Centos7 Firewalld 解决防火墙问题
热门推荐
胡耕永的专栏
02-01 1万+
**Centos7 Firewalld 解决防火墙问题** 第一次使用Firewalld关了半天没关掉,之前一直使用iptables,从来没出现过这么挠头的问题。 记录一下我解决端口不能访问的问题,其实思路很简单,卸载Firewalld安装iptables 一步一步来说吧 1. Disable Firewalld Service.[root@rhel-centos7-tejas-barot-
linux防火墙放行端口 FirewallD is not running
最新发布
05-24
如果你想在Linux上放行某个端口,可以使用FirewallD管理防火墙规则。如果你发现FirewallD没有运行,你可以按照以下步骤启动它: 1. 检查FirewallD是否已经安装,如果没有安装,你需要先安装它。 2. 启动FirewallD服务:`sudo systemctl start firewalld` 3. 确认FirewallD已经启动:`sudo systemctl status firewalld` 4. 如果FirewallD已经启动,你可以放行某个端口,例如放行80端口:`sudo firewall-cmd --add-port=80/tcp --permanent` 5. 重新加载防火墙规则:`sudo firewall-cmd --reload` 现在,端口80已经被放行了,并且将在重启后保持。如果你想放行其他端口,请使用相应的端口号来替换80。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值