zone区域介绍:
阻塞区域(block):任何传入的网络数据包都将被阻止。
工作区域(work):相信网络上的其他计算机,不会损害你的计算机。
家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。
公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。
信任区域(trusted):所有的网络连接都可以接受。
丢弃区域(drop):任何传入的网络连接都被拒绝。
内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
注意:所有的设置都要加上–permanent,还要执行最后的重启配置文件的命令:firewall-cmd --reload
firewall-cmd常用命令:
–get-default-zone 查询当前默认区域。
–set-default-zone= 设置默认区域。此命令会同时更改运行时配置和永久配置。
–get-zones 列出所有可用区域。
–get-services 列出所有预定义服务。
–get-active-zones 列出当前正在使用的所有区域(具有关联的接口或源)及接口和源信息。
–add-source= 将来自IP地址或网络/掩码的所有流量路由到指定区域。
–remove-source= 从指定区域中删除用于路由来自IP地址或网络/掩码的所有流量规则。
–add-interface= 将来自该接口的所有流量到指定区域。
–change-interface= 将接口已有绑定区域而与其他区域关联。
–list-all 列出默认区域的所有配置(接口、源、服务和端口)。
–list-all-zones 列出所有区域的所有配置(接口、源、服务和端口)。
–add-service= 允许区域某服务的流量。
–add-port= 允许区域某端口的流量。
–remove-service= 从区域删除某服务规则。
–remove-port= 从区域删除某端口规则。
–reload 丢弃Runtime配置并应用Permanet配置。
1.查看firewad的默认区域:
firewall-cmd --get-default-zone
2.查看默认区域的设置:
firewall-cmd --list-all firewall-cmd --zone=work --list-all
3.重新设置网卡默认的区域
firewall-cmd --set-default-zone=work
4.查看firewlld 有多少可以用的服务(一共是71)
firewll-cmd --get-services
5.设置网卡的默认区域
firewall-cmd [–zone=] --add-interface= //如果没与添加到新的区域的话 就–add
firewall-cmd [–zone=] --change-interface= // 如果是心在已经在某个区域了 就重新选举则加入其他的区域
firewall-cmd [–zone=] --remove-interface= // 从区域中删除一个网卡接口
firewall-cmd [–zone=] --query-interface= // 查询区域中是否包含某接口
6.查看某个区域已经启用的服务
firewall-cmd [ --zone= ] --list-services
firewall-cmd --add-service=http // 启用默认区域中的http服务
firewall-cmd --zone=home --remove-service=http
7 .添加例外
firewall-cmd --zone=drop --add-rich-rule=“rule family=“ipv4” source address=“192.168.2.0/24” port protocol=“tcp” port=“22” reject” 拒绝该网段访问端口22
firewall-cmd --zone=drop --add-rich-rule=“rule family=“ipv4” source address=“192.168.2.0/24” port protocol=“tcp” port=“22” accept” 允许该网段访问端口22
8.伪装:
此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。
firewall-cmd --permanent --zone= --add-masquerade # firewall-cmd --permanent --zone= --add-rich-rule=‘rule family=ipv4 source address=192.168.122.0/24 masquerade’
9.端口转发
例: # 将80端口的流量转发至
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.0.1192.168.0.1
将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080
firewall-cmd --permanent --zone=home --adzd-forward-port=port=22:proto=tcp:toaddr=127.0.0.2
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
1.–add-forward-port=port # 监听本地firewalld哪个端口,哪个协议 2.toport=<目标端口号>:toaddr=<目标IP地址> # 转发给哪台主机的哪个端口
转发本机firewalld 555/tcp端口的流量至22/tcp端口,要求当前和长期有效:
[root@ci-node1 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=10.0.0.11
success
vi /etc/sysctl.conf
在文本内容中添加:net.ipv4.ip_forward = 1
保存文件后,输入命令sysctl -p生效
参考:https://www.sulabs.net/?p=659
操作实例:
10.最后给大加介绍下vim直接编辑firewalld防火墙,这里以public区域为例。
案例1:我们要对外开启80,443端口,客户端不管他的ip是多少都可以访问?
案例2:我们除了对外开放这些端口,还有常见的一些端口,比如22端口,我们是要单独对某些ip开放的。
139
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
