firewalld 防火墙(二)

最新推荐文章于 2024-04-27 23:04:34 发布
最新推荐文章于 2024-04-27 23:04:34 发布
阅读量947 收藏 21
点赞数 15
文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiazhui1/article/details/135508041
版权
本文介绍了Linux防火墙的IP伪装与端口转发功能,重点讲解了firewalld-cmd的高级配置,包括直接规则、富语言规则和如何使用它们进行复杂的防火墙规则设置,如IP伪装、端口映射和审计等。
摘要由CSDN通过智能技术生成

简介

        通过上一章的学习,我们认识了Linux防火墙,并学会了编写简单的防火墙规则。Linux防火墙在很多时候承担着连接企业内,外网的重任,除了提供数据包过滤功能以外,还提供一些基本的网关应用。

一、IP伪装与端口转发

        在互联网发展初期,设计者们并没有想到互联网会发展到现在这个空前繁荣的阶段,所以,设计的IPv4地址空间只有32位。但是随着互联网的发展,IP地址变得严重缺乏,并且地址分配不均匀,所以就在原有IPv4地址空间的基础上划分出来三段私网地址空间:10.0.0.0/8.172.16.0.0/12和192.168.0.0/16,这些地址可以在企业或者公司内部被重复使用,但是不能用于互联网,因为上述三个范围内的地址无法在Internet上被路由。
        于是NAT(网络地址转换)技术便产生了,当用户数据包经过NAT设备时,NAT设备将源地址替换为公网IP地址,而返回的数据包就可以被路由,NAT技术一般都是在企业边界路由器或者防火墙上来配置。
        Firewalld支持两种类型的NAT:IP地址伪装和端口转发。

1.IP地址伪装

        地址伪装(masquerade):通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPv4,不支持IPv6。

2.端口转发

        端口转发(Forward-port):也称为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。企业内网的服务器一般都采用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网,以便让互联网用户访问。例如,当接收互联网用户的HTTP请求时,网关服务器判断数据包的目标地址与目标端口,一旦匹配指定规则,则将其目标地址修改为内网真正的服务器地址,从而建立有效连接。

二、firewalld-cmd高级配置

1.firewalld中理解直接规则

        firewalld提供了“direct interface"(直接接口),它允许管理员手动编写的iptables、ip6tables和ebtables规则插入firewalld管理的区域中,适用于应用程序,而不是用户。如果对iptables不太熟,不建议使用直接接口,可能会无意中导致防火墙被入侵。firewalld保持对所增加项目的追踪,所以它还能质询firewalld和发现使用直接端口模式的程序造成的更改。直接端口通过firewall-cmd命令中的 --direct选项实现。除非将直接规则显式插入firewalld管理的区域,否则将首先解析直接规则,然后解析其他firewalld规则。执行以下命令即可添加一些直接规则以将某个IP范围列入黑名单。

[root@localhost ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist
[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist
[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"
[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 1 -j DROP
2.使用富语言

        firewalld的富语言(rich language)提供了一种不需要了解iptables语法的通过高级语言配置复杂Pv4和IPv6防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewalld的基本语法中未涵盖的自定义防火墙规则。例如,仅允许从单个IP地址(而非通过某个区域路由的所有IP地址)连接到服务。
        富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向syslog 和 auditd),以及端口转发、伪装和速率限制。下面是表达富规则的基本语法:

规则的每个单一元素都能够以 option=value的形式来采用附加参数。

1) 规则排序

        一旦向某个区域(一般是指防火墙)中添加了多个规则,规则的排序会在很大程度上影响防火墙的行为。对于所有的区域,区域内的规则的基本排序是相同的。如果区域中的任何规则与包均不匹配,通常会拒绝该包,但是区域可能具有不同的默认值。例如,可信区域(trusted)将接收任何不匹配的包。此外,在匹配某个记录规则后,将继续正常处理包。
        直接规则是个例外。大部分直接规则将首先进行解析,然后由firewalld进行其他处理,但是直接规则语法允许管理员在任何区域中的任何位置插入任何规则。

2) 测试和调试

        为了便于测试和调试,几乎所有规则都可以与超时一起添加到运行时配置。当包含超时的规则添加到防火墙时,计时器便针对该规则开始倒计时,一旦规则的计时器达到0秒,便从运行时配置中删除该规则。
        在使用远程防火墙时,使用超时会是一种极其有用的工具,特别是在测试更复杂的规则集时。如果规则有效,则管理员可以再次添加该规则;如果规则没有按照预期运行,甚至可能将管理员锁定而使其无法进入系统,那么规则将被自动删除,以允许管理员可以继续工作。通过在启用规则的firewall-cmd命令的结尾追加选项 --timeout=< TIMEINSECONDS>,可向运行时规则中添加超时。

3.理解富规则命令

        firewall-cmd 有四个选项可以用于处理富规则,所有这些选项都可以同常规的--permanent 或--zone=<ZONE>选项组合使用。

        任何已配置的富规则都会显示在firewall-cmd --list-all和firewall-cmd --list-all-zones的输出结果中。具体语法解释如下所示。

  1. source:限制源IP地址,源地址可以是一个IPv4、Pv6地址或者一个网络地址段。
  2. destination:限制目标地址,目标地址使用跟源地址相同的语法。
  3. element:要素,该项只能是以下几种要素类型之一:service、port、protocol、icmp-block、masquerade和forward-port。
  • service:服务名称是 firewalld提供的其中一种服务。要获得支持的服务列表,输入以下命令:firewall-cmd --get-services。如果一个服务提供了一个目标地址,它和规则中的目标地址冲突,则会导致一个错误。命令格式为:service name=service_name。
  • port:端口可以是一个独立端口数字,或者是端口范围,如5060~5062。协议为 TCP或UDP。命令格式为:port port=number_or_range protocol=protocol。
  • protocol:协议,可以是一个协议ID号,或者一个协议名。查询可用协议,请查阅/etc/protocols,命令格式为:protocol value=protocol_name_or_D。
  • icmp-block:阻断一个或多个ICMP类型。要获得支持的ICMP类型列表,输入firewall-crd-- get-icmptypes命令即可查看,命令格式为:icmp-block name=icmptype_name。
  • masquerade:规则里的P伪装。用源地址而不是目的地址来把伪装限制在一个范围内。
  • forward-port:将指定的 TCP或UDP协议的数据包转发到本机的其他端口,或另一台机器,或另一台机器上的其他端口。port 和 to-port 可以是一个单独的端口数字,或一个端口范围。而目的地址是一个简单的IP地址。命令格式为:port=number_or_range protocol=protocol to-port=number_or_range to-addr=address
  1. log:注册有内核日志的连接请求到规则中,如系统日志。可以定义一个前缀文本把日志信息作为前缀加入。日志等级可以是 emerg、alert、crit、error、warning、notice、info 或者 debug 中的一个。可以选择日志的用法,按以下方式限制日志:log [prefix=prefix text][level=log level]limit value=rate/duration。持续时间的单位为s、m、h、d、s表示秒,m表示分钟,h 表示小时、d表示天。最大限定值是1/d(每天最多有一条日志进入)。
  2. audit:审核,审核类型可以是 accept、reject或drop中的一种,但不能在 audit 命令后指定,因为审核类型将会从规则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选择的。
  3. acceptlreject/drop:可以是acceptreject或drop中的一个行为。命令格式为:accept |reject[type=reject type]|drop。指定 accept时,所有新的连接请求都将被允许。指定reject 时,连接将被拒绝,发起端将接到一个拒绝信息。指定drop时,所有数据包会被丢弃,并且不会向发起端发送任何信息。
4.规则配置举例

(1)为认证报头协议AH使用新的IPv4 和IPv6 连接。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'

(2)允许新的IPv4和IPv6连接 FTP,并使用审核每分钟记录一次。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'

(3)允许来自 192.168.0.0/24地址的TFTP协议的IPv4 连接,并且使用系统日志每分钟记录
一次。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'

(4)为 RADIUS 协议拒绝所有来自 1:2:3:4:6 :: 的新IPv6连接,日志前缀为“dns”,级别
为“info”,并每分钟最多记录3次。接受来自其他发起端新的IPv6连接。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'

(5)将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'

(6)拒绝来自public 区域中IP地址 192.168.0.11的所有流量。

[root@localhost ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

(7)丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'

(8)在192.168.1.0/24子网的dmz区域中,接收端口7900~7905的所有TCP包。

[root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'

(9)接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记
录到syslog。

[root@localhost ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'

(10)在接下来的5min内,拒绝从默认区域中的子网192.168.2.0/24到DNS 的新连接,并且
拒绝的连接将记录到audit系统,且每小时最多一条消息。

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
IT-灰灰
关注
  • 15
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux--firewalld-NAT地址转换实验(DNAT,SNAT,开启路由转发功能)
CN_TangZheng的博客
12-15 4154
- NAT包含DNAT和SNAT - DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP和目标端口 - SNAT:地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的IP地址
Firewalld防火墙
夏颜的博客
05-13 176
文章目录一.Firewalld概述.Firewalld与iptables的区别三.Firewalld区域3.1Firewalld九大区域3.2数据处理流程3.3firewalld数据包检查规则四.Firewalld配置 一.Firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向net
Linux防火墙iptables地址转换(内容还没完善好)
qq_51545656的博客
11-11 385
通过。
firewalld 防火墙 nat 网络地址转换
weixin_30814223的博客
05-11 1048
目的:实现以下效果 一、 准备环境 @1 三台虚拟机 @2 client 端 ip 192.168.1.2 server端 两块网卡 , ip 分别是 192.168.1.1 和 172.16.100.1 web端 ip 为 172.16.100.3 注:虚拟机添加网卡后没显示配置文件,需要自己手动编辑一个配置文件 ,部署环境 1> 这时会发...
Firewalld防火墙
m0_73311601的博客
09-24 327
通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口。用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发、伪装和速率限制。用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发、伪装和速率限制。指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口。Firewalld中直接规则、区域规则、富规则匹配的先后顺序是什么?2、端口转发(Forward-port)
1 linux网络诊断命令工具_linux诊断网络故障命令(1)
最新发布
2401_83974173的博客
04-27 528
12、DNS和NS查找工具14、Batfish15、Fiddler17、nload实时监控网络带宽CPU 方面内存IO 设备(磁盘、网络)网络工具mtr更多介绍 : https://mp.weixin.qq.com/s/-lru6FAhkXTo7gLCCfWlyg。
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Firewalld防火墙基础
rqaz123的博客
05-23 268
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
firewalld防火墙实操
09-19
### firewalld防火墙实操知识点 #### 一、firewalld防火墙简介 `firewalld` 是一种动态防火墙管理工具,在Linux系统中广泛使用。与传统的`iptables`相比,`firewalld`提供了更为灵活的服务和端口管理方式,并支持...
iptables与firewalld
weixin_46362974的博客
06-19 1063
iptables与firewalld防火墙策略设置 SNAT与DNAT策略的配置
Linux 防火墙(三)(详解 firewalld
Xucf1
12-29 604
文章目录firewalld 概述firewalld 与 iptables 的区别firewalld 区域的概念firewalld 防火墙预定义了9个区域firewalld 数据处理流程firewalld 检查数据包的地址的规则firewalld 防火墙的配置方法常用的 firewalld-cmd 命令选项区域管理服务管理端口管理 很长很详细,建议收藏,以后有不懂的可以用来作为自己的“字典”,迅速定位找到自己需要的知识 firewalld 概述 firewalld 防火墙是 Centos7 系统默
firewalld
zhang_jian_cheng的博客
05-09 242
firewalld防火墙 firewalld简述 firewalld:防火墙,其实就是一个隔离工具:工作于主机或者网络的边缘 对于进出本主机或者网络的报文根据事先定义好的网络规则做匹配检测, 对于能够被规则所匹配的报文做出相应处理的组件(这个组件可以是硬件,也可以是软件): 主机防火墙 网络防火墙 功能(也叫表) filter:过滤,防火墙 nat:network addres...
firewalld 防火墙
NB_____的博客
05-08 231
实验环境描述: 某公司的Web服务器,网关服务器均采用Linux Centos7.3操作系统,为了加强网络访问的安全性,要求管理员熟悉firewalld防火墙规则的编写,以便制定有效、可行的主机防护策略。 需求描述:网管服务器ens32网卡分配到trusted区域,ens34网卡分配到external区域,ens35网卡分配到DMZ区域。 网站服务器和网关服务器将SSH默认端口都改为12345。 网站服务器开启https,过滤未加密的http流量,且拒绝ping。 推荐步数: 基本环境配置。 (1)为网关服
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇
m0_47219942的博客
08-02 3862
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇前言一:NAT实验1.1:实验环境1.2:实验目的1.3:实验分析图1.4::实验步骤1.4.1:linux防火墙1.4.2:web虚拟机配置1.4.3:客户机配置1.5:实验结果1.6:实验总结 前言 NAT包含DNAT和SNAT DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一
33. linuxfirewalld防火墙的地址伪装与地址转发
qq_43687755的博客
08-19 1488
Lesson33 linux防火墙iptables的使用 文章目录1. 防火墙的相关概念 1. 防火墙的相关概念
Centos 7的firewalld防火墙地址伪装和端口转发原理
:Struggle.
11-28 1781
博文目录: 一、firewalld高级配置 1、firewalld支持的NAT 2、IP地址伪装 3、端口转发 firewalld-cmd高级配置 1、firewalld中理解直接规则 2、使用富语言 3、富规则命令 4、富规则配置举例: 一、firewalld高级配置 1、firewalld支持的NAT firewalld支持两种类型的NAT: IP地址伪装; 端口...
firewalld防火墙
qq_51020649的博客
11-16 270
一、IP地址伪装和端口转发 1、IP地址伪装的作用和特点 1)IP地址伪装的作用: 网络地址转换 2)IP地址伪装的特点: 隐藏内部网络 节约公网IP地址资 安全性强 避免IP地址重叠 支持IPV4和IPV6做地址转换 属于多对一的转换 2、端口转发 1)端口转发的作用 发布企业内网服务器的端口号到互联网上提供服务 2)端口转发的特点 将一个IP地址和端口映射到另一个IP地址和端口上 方便外网用户访问企业内部资使用 3、富语言规则和直接规则 1)富语言规则的特点: 表达性配置语言 语法要求不严格 灵活性
CentOS7 防火墙基础设置
ZZC's Blog
07-13 755
CentOS7服务器的基础防火墙设置命令
Firewalld——防火墙基础
weixin_45683092的博客
12-20 172
Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4、IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的"内核态" Firewalld/iptables Cent...
firewalld防火墙命令
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start firewalld ``` 2. 停止 firewalld 服务: ``` sudo systemctl stop firewalld ``` 3. 设置 firewalld 为开机启动: ``` sudo systemctl enable firewalld ``` 4. 禁止 firewalld 的开机启动: ``` sudo systemctl disable firewalld ``` 5. 查看 firewalld 状态: ``` sudo systemctl status firewalld ``` 6. 开启指定端口: ``` sudo firewall-cmd --zone=public --add-port=<port_number>/tcp --permanent ``` 7. 关闭指定端口: ``` sudo firewall-cmd --zone=public --remove-port=<port_number>/tcp --permanent ``` 8. 重新加载防火墙配置: ``` sudo firewall-cmd --reload ``` 这些是一些基本的 firewalld 命令,你可以根据实际需求进行配置和调整。记得在修改配置后重新加载防火墙才能生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值