配置firewalld防火墙
3.1 问题
本例要求为两个虚拟机 server0、desktop0配置防火墙策略:
允许从172.25.0.0/24网段的客户机访问 server0、desktop0 的任何服务
禁止从my133t.org域(172.34.0.0/24网段)的客户机访问 server0、desktop0 的任何服务
在172.25.0.0/24网络中的系统,访问 server0 的本地端口5423将被转发到80
上述设置必须永久有效
3.2 方案
RHEL7的防火墙体系根据所在的网络场所区分,提供了预设的安全区域:
public:仅允许访问本机的sshd等少数几个服务
trusted:允许任何访问
block:阻塞任何来访请求
drop:丢弃任何来访的数据包
……
新增防火墙规则的位置包括:
运行时(runtime):仅当前有效,重载防火墙后失效
永久(permanent):静态配置,需要重载防火墙才能生效
本地端口转发(端口1 --> 端口2):
从客户机访问防火墙主机的 端口1 时,与访问防火墙的 端口 2 时等效
真正的网络应用服务其实在 端口2 提供监听
3.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:采取“默认全允许,仅拒绝个别”的防护策略
1)启用防火墙服务
[root@server0 ~]# systemctl restart firewalld
[root&