Firewalld 防火墙

已于 2022-07-10 19:44:08 修改
阅读量511 收藏 1
点赞数 1
文章标签: 服务器 运维
于 2022-07-08 20:43:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xincenweisei/article/details/125682135
版权

1、Firewalld的网络区域

2、 Firewalld 防火墙配置方法

配置防火墙图形界面

firewall-config

        (1)启动、停止、查看Firewalld服务

systemctl start firewalld      (启动)

systemctl sotp  firewalld      (停止)

systemctl enable firewalld     (开机自启动)

systemctl disable firewalld    (开机不自启动)

systemctl status firewalld     (查看运行状态)

        (2)区域管理 

显示当前系统默认区域 

firewall-cmd --get-default-zone

 显示默认区域的所有规则

firewall-cmd --list-all

显示网络接口ens33对应区域

firewall-cmd --get-zone-of-interface=ens33

将网络接口ens33对应区域更改为internal区域

firewall-cmd --zone=public --change一interface=ens33

firewall-cmd --zone=internal一list-interfaces

firewall-cmd --get-zone一of-interface=ens33

显示所有激活区域

firewall-cmd --get-active-zones

        (3)服务管理

 为默认区域设置允许访问的服务

firawall-cmd --list-services            (显示默认区域内允许访问的所有服务)

firawall-cmd --add-service=http         (设置默认区域允许访问http服务)

firawall-cmd --add-service=https        (设置默认区域允许访问https服务)

 为internsl区域设置允许访问的服务

firewall-cmd --zone=internal --add-service=mysgl
(设置internal区域允许访问mysql服务)

firewall-cmd --zone=internal --remove-service=samba-client
(设置internal区域不允许访问samba-client服务)

firewall-cmd --zone=internal --list-services
(显示internal区域内允许访问的所有服务)

         (4)端口管理

指定区域internal添加端口443/tcp

firewall-cmd --zone=internal --add-part=443/tep

指定区域internal禁止443/tcp端口访问

firewall-cmd --zone=internal --remove-port=443/tep

 3、Firewalld 防火墙配置应用

通过企业案例配置防火墙,如图所示先配置ip地址

网关服务器链接互联网网卡 ens33 地址为100.1.1.10,为公网IP地址,分配firewall的external(外部)区域,连接服务器网卡ens38地址为192.168. 2.1,分配到firewall的dmz(非军事)区域

        (1)基本环境配置
在网关服务器上配置主机名及网卡

hostname gateway-server         (更改临时主机名)

vim /etc/hostname               (永久更改主机名)

 开启网关服务器的路由转发功能

vim /etc/sysctl.conf   

net.ipv4.ip_forward = 1

sysctl -p

配置网站(web)服务器主机名及网卡地址

vim /etc/hostname
web

hostname web

        (2)网站服务器环境搭配
安装httpd和mod-ssl软件包

rm -rf /etc/yum.repos.d/*

vim  /etc/yum.repos.d/a.repo
[aa]
name=aaa
baseurl=file:///media
gpgcheck=0


yum install -y httpd mod_ssl

 启动并开机自启httpd服务

systemctl start httpd

systemctl enable httpd

创建网页测试页

vim /var/www/html/index.html
<h1>111111111111<h1>

 更改ssh的侦听地址,并重启sshd服务,需要关闭SELinux

vim /etc/ssh/sshd_config
Port 12345

systemctl restart sshd

        (3)在网站服务器上启动并配置Firewalld防火墙

启动防火墙并设置默认区域为dmz区域

systemctl start firewalld
systemctl enable firewalld
systemctl status firewalld    (查看服务器状态)

firewall-cmd --set-default-zone=dmz

 为dmz区域打开https服务及添加TCP的12345端口

firewall-cmd --zone=dmz --add-service=https --permanent

firewall-cmd --zone=dmz --add-port=12345/tcp --permanent

禁止ping

firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

因为预定义的SSH服务已经更改默认端口。所以将预定义SSH服务移除

firewall-cmd --zone=dmz --remove-service=ssh --permanent

重新加载Firewalld激活配置,并查看刚才的配置.

firewall-cmd --reload

firewall-cmd --list-all --zone=dmz

        (4)在网关服务器上配置firewalld防火墙
验证firewalld在网关服务器上启动并且正在运行

systemctl start firewalld
systemctl enable firewalld
systemctl status firewalld

设置默认区域为external区域,并查看配晋结果

firewall-cmd --set-default-zone=external

firewall-cmd --list-all

 将ens37网卡配置到trusted区域.将ens38配置到dmz区域

firewall-cmd --change-interface=ens37  --zone=trusted

firewall-cmd --change-interface=ens38  --zone=dmz

查看配置情况如下

firewall-cmd --get-active-zones

在企业内网测试机上访问网站服服务器

 更改SSH的侦听端口并重启服务(需关闭SELinux )

vim /etc/ssh/sshd_config
Port 12345

systemctl restart sshd

 配置external区域添加TCP的12345端口

firewall-cmd --zone=external --add-port=12345/tcp --permanent

 配置external区域移除SSH服务

firewall-cmd --zone=external --remove-service=ssh --permanent

配置external区域禁止ping

firewall-cmd --zone=external --add-icmp-block=echo-request --permanent

重新加载防火墙激活配置

firewall-cmd --reload

 在互联网测试计算机上通过SSH登录网关外部接口地址的12345端口.成功

ssh -p 12345 root@100.1.1.10

在企业内网测试计算机上SSH登录web网站服务器的12345端口.成功

ssh -p 12345 root@192.168.2.10

4、配置IP伪装与端口转发

         (1)内网用户通过网关服务器共享网络
外网测试机搭建网站服务,并添加网页测试内容

vim /etc/hostname
internet

rm -rf /etc/yum.repos.d/*

vim /etc/yum.repos.d/a.repo
[aaa]
name=aaa
baseurl=file:///media
gpgcheck=0

yum install -y httpd

vim /var/www/html/index.html
<h1>22222<h1>

systemctl enable httpd
systemctl start httpd

在内部测试机上访问外网

 

在网站服务器上测试

 curl http://100.1.1.20

查看网关服务器的external区域是否开启地址伪装

firewall-cmd --list-all --zone=external 
(显示伪装地址开启)
  masquerade: yes

在网关服务器上关闭 exteranl的伪装地址,在external区域内,源地址192.168.1.0/24网段开启地址IP伪装

firewall-cmd  --remove-masquerade --zone=external

firewall-cmd  --zone=external  --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'

在网站服务器上测试,发现无法访问外网网站

curl https://100.1.1.20
curl: (7) Failed connect to 100.1.1.20:443; 没有到主机的路由

        (2)配置端口转发实现互联网用户访问内部web服务器                                                            在网关服务器上配置如下

firewall-cmd --zone=external --add-forward-port=port=443:proto=tcp:toaddr=192.168.2.10

在互联网测试机上访问内部web服务器成功

        (1) 给内网web服务器申请一个新的ip地址100.1.15端口转发

需要将新公网地址100.1.1.15配置在网关服务器的外网接口ens33上。作为第二个IP地址.

vim /etc/sysconfig/network-scripts/ifcfg-ens33
    (添加)

IPADDR1=100.1.1.15
PREFIX1=8
IPADDR0=100.1.1.10
PREFIX0=8

ifdown ens33

ifup ens33

使用富规则配置端口转发

firewall-cmd --zone=external --add-rich-rule='rule family=ipv4 destination address=100.1.1.15/32 forward-port port=443 protocol=tcp to-addr=192.168.2.10'

 在互联网测试机上访问测试结果

 

        

星辰为谁变
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
【linux服务器基础环境配置2】-Tomcat跟Apache篇
nandoua的博客
05-16 1011
Tomcat会处理这些动态请求,生成动态HTML页面,并将其返回给Apache,最后由Apache将其返回给用户。,它是目前全球使用最广泛的Web服务器软件之一。总的来说,Apache和Tomcat都是非常优秀的Web服务器软件,具有各自的特点和优势,可以根据实际需求选择使用。总的来说,Tomcat是一种强大、灵活、易于使用的Java Web应用服务器,是Java Web开发和运维人员必备的工具之一。Tomcat的全称是Apache Tomcat,它最初由Apache软件基金会开发,后来成为了独立的项目。
rsync: failed to connect to 192.168.15.139 (192.168.15.139): No route to host (113) rsync error: err
qq_40722582的博客
02-28 1948
rsync: failed to connect to 192.168.15.139 (192.168.15.139): No route to host (113) rsync error: error in socket IO (code 10) at clientserver.c(125) [sender=3.1.2] 这个错误应该是rsync 守护进程配置文件的端口没有开放。 这个...
Firewalld防火墙
想做职场小白吗? 我来教您.......
08-29 289
1、使用旧版的iptables指定规则时,会先删除正在使用的之前的旧规则,然后在添加新的规则,之后再从/etc/syscoonfig/iptables配置文件中读取所有规则并重新载入,导致在使用iptables指定规则时,先前使用的规则会临时消失,导致系统服务连接受阻,等配置好规则后,其它服务才能正常工作。用户可以通过把计算机中的不同网卡接口和来自不同网络的IP主机绑定到不同的区域下,来应用此区域内预先制定好的规则,来对传入本机的数据包进行过滤,限制。drop:进入到此区域的流量都将被拒绝,无响应。
linux firawll防火墙设置白名单/指定ip访问指定端口
qq_34536480的博客
06-21 8358
linux firawll防火墙设置白名单/指定ip访问指定端口
防火墙简介(二)——firewalld防火墙
想成功,靠自己
03-19 667
防火墙简介(二)——firewalld防火墙一、firewalld防火墙简介二、firewalld 与 iptables 的区别三、firewalld 区域的概念1、firewalld防火墙9个区域2、区域介绍四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1、使用firewall-cmd 命令行工具2、使用firewall-config 图形工具3、编写/etc/firewalld/中的配置文件七、区域管理八、服务管理九、端口管理 一
firewalld防火墙
gcc001224的博客
05-13 9433
文章目录 Firewalld
firewalld 防火墙
jxc001102的博客
10-05 114
文章目录1. firewalld 是什么2. 什么是动态防火墙3. firewalld 和 iptables 之间的关系4. firewalld 区域4.1 firewalld 区域的概念4.2 区域(zone)类型5. firewalld 服务6. firewalld 命令管理 1. firewalld 是什么 firewalld 提供了支持 网络 / 防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。 2. 什么是动态防火墙   我们首先需要弄明白的第一个问题是到底什么是动态防火
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
查看防火墙的开放端口命令
firament的博客
05-18 1617
查看防火墙的开放端口 firewall-cmd --list-all
linux之firewalld服务管理
qq_1789189099的博客
08-19 471
一、防火墙 1.概述 动态防火墙后台程序 FireWalld 提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.FileWalld域 trusted(信任):接受所有网络连接 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samb...
CentOS7 配置防火墙规则应对漏洞扫描
小康子的博客
05-26 2185
CentOS7 配置防火墙以防止 Rancher 漏洞被扫描出来
firewalld防火墙详细介绍
A1100886的博客
05-22 4457
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
服务器主机托管一站式托管服务有哪些?
最新发布
RAKsmart123的博客
05-29 350
服务器主机托管一站式托管服务,作为现代企业信息化建设的重要一环,为企业提供了一种高效、安全、可靠的服务器运行环境。下面,我们将从多个方面详细介绍这一服务的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值