input,output,forward,postrouting,prerouting
firewall的图形管理
firewall-config 运行该命令进入以下界面
该图分别对应firewalld的域,默认只有ssh与dhcpv6-client可以被火墙允许。
使用ssh命令远程连接172.25.254.142
ssh root@172.25.254.142(可以连接,因为ssh在firewalld的默认域中)
在网页中查看172.25.254.142的默认发布文件无法查看(apache不在firewalld的默认域中)
修改域至trustd域,并添加http至trustd域中再次使用http查看文件
firewall-cmd --state 获取firewalld状态
firewall-cmd --reload重新加载防火墙
firewall-cmd --get-zones获取支持的区域列表
firewall-cmd --get-services获取支持的服务
firewall-cmd --get-icmptypes 获取所有支持的ICMP类型
firewall-cmd --list-all-zones 列出全部启用的区域特性
firewall-cmd [--zone=] --list-all
firewall-cmd --list-all 显示默认区域的信息
firewall-cmd -zone=public --list-all列出public域启动的特性
firewall-cmd --set-default-zone=drop设置默认区域
firewall-cmd --get-active-zones 获取活动的区域
firewall-cmd --get-zone-of-interface=接口名 输出接口所属区域的名称
firewall-cmd --get [--zone=] -add-interface=接口名 将接口(网卡)增加到区域,若接口不属于任何区域,接口将被增加到区域,如果区域被省略,将使用默认区域。重新加载后接口便可以使用了。
firewall-cmd --change-interface=接口名 修改接口所属区域
firewall-cmd --zone=internal --add-source=172.25.254.42 添加172.25.254.42的服务到internal区域中
firewall-cmd --zone=internal --remove-source=172.25.254.42 从internal区域移除172.25.254.42的数据
firewall-cmd --zone=trusted --add-interface=eth0添加接口eth0至trusted区域
firewall-cmd --zone=trusted --change-interface=eth0 修改接口eth0至trusted区域
firewall-cmd --reload重新加载服务,不会断开客户机的连接
firewall-cmd --complete reload 重新加载服务,断开所有客户机的连接
服务器有两块网卡,一个ip为172.25.254.142,一个为1.1.1.142
服务器安装httpd并开启服务,编辑默认发布文件
默认发布文件的信息
客户机1(ip为172.25.254.42)无法访问服务器的发布文件
对来自172.25.254.42的数据默认都为trusted区域中
客户机1再次访问服务器
在客户机2(ip为1.1.1.242)的主机中访问服务器无法访问
因为服务器的eth1网卡在公共区域
修改eth1为信任区域
再次访问服务器
修改ssh的端口
cd /lib/firewalld/services 进入该目录(该目录存放各个服务的信息)
vim ssh.xml编辑ssh服务的信息(修改端口为23)
firewall-cmd --reload重新加载防火墙
firewall-cmd --list-service 查看火墙允许的服务
可以看到服务器中火墙允许ssh服务运行
查看ssh.xml的文件信息,可以看到其端口号被修改为了23
在ip为172.25.254.42的主机上连接服务器发现无法连接(线路不可达,端口号被修改)
并
还原ssh.xml的文件端口号并重启服务
firewall-cmd --reload
再次连接服务器,发现可以连接
如何指定特定的域去访问服务器
去除服务器的默认域中的ssh服务
然后添加rule来只允许172.25.254.42的ip去访问服务器
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.42 -p tcp --dport 22 -j ACCEPT
1 表示优先级
-s 172.25.254.42表示来源为172.25.254.42
-p tcp表示使用tcp协议
--dport 22 表示目的端口为22
-j ACCEPT 表示采取的行动为‘ACCEPT’
查看规则
firewall-cmd --direct --get-all-rules 查看所有制定的规则
使用ip为172.25.254.42的机器使用ssh登陆服务器可以登陆
使用ip为172.25.254.242的机器使用ssh登录服务器不可以访问
删除规则
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.254.42 -p tcp --dport 22 -j ACCEPT
再次使用ip为172.25.254.42的机器登陆服务器无法登录
添加规则除172.25.254.42的机器外,其余机器都可以使用22端口
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.42 -p tcp --dport 22 -j ACCEPT
! 172.25.254.42表示除172.25.254.42以外的机器
使用ip为172.25.254.42的机器ssh连接服务器无法连接
使用ip为172.25.254.242的机器使用ssh访问服务器可以访问
如何连接到自己想要访问的主机
服务机开启地址伪装服务
给客户机添加网关
使得客户机可以域服务机建立连接
使用另一台主机的ssh服务连接客户机
查看ip
iptables管理火墙
在filter表中先添加允许接受来自172.25.254.42的数据,在拒绝来自172.25.254.42的数据,可以发现依旧可以在ip为172.25.254.42的主机使用ssh连接服务器
iptables -t filter -A INPUT -s 172.25.254.42 -j ACCEPT 允许接受来自主机为172.25.254.42的数据
iptables -t filter -A INPUT -s 172.25.254.42 -j REJECT 拒绝接受来自主机为172.25.254.42的数据
可以连接服务器
删除策略
iptables -D INPUT 3 删除INPUT链中的第三个策略
只接受来自主机172.25.254.42的22端口的数据,其它来自172.25.254.42的数据都不接受
iptables -t filter -A INPUT -s 172.25.254.42 -p tcp --dport 22 -j ACCEPT
修改默认策略为DROP
iptables -P INPUT DROP
ip为172.25.254.42的主机可以通过ssh连接服务机
但服务器无法访问该主机的http默认发布文件
iptables -N aicheng 添加新链aicheng
iptables -E aicheng aining 修改链名aicheng为aining
iptables -X aining删除链aining
地址伪装与端口转发
地址伪装
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.242:22 接受所有来自eth0网卡22号端口的目的地全部指向1.1.1.242的22端口
解释:当外网来访问内网时(已知),由于不再同一个网段,需要先到相同ip的网卡eth0.到达eth0后,eth0则可以加入策略直接让其访问目的地。(不需要经过路由转换)
端口转发
iptables -t nat -A POSTEROUTING -o eth0 -j SNAT --to-source 172.25.254.142 所有从出去的数据全部使用172.25.254.142的端口号
解释:当我们访问外网时,也不再同一个网段,我们需要通过eth0来将自己的网段与访问的外网ip网段相同,及将所有来自eth0的来源数据都改为172.25.254.142(与我们访问的外网网段相同,需要经过路由转换)
可以看到使用ssh命令连接172.25.254.142,查看ip可以看到ip为1.1.1.142。
扫一扫
2820
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
