firewalld服务

最新推荐文章于 2024-06-11 20:20:28 发布
最新推荐文章于 2024-06-11 20:20:28 发布
阅读量2k 收藏 3
点赞数
分类专栏: Linux firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xixlxl/article/details/79416025
版权

firewalld服务在企业7以上的版本,,是一款类似于windows界面的可以图形化设置防火墙策略的工具。

一.firewalld服务的安装与启用

yum install firewalld ##安装firewalld服务
systemctl start firewalld ##启用firewalld服务
systemctl enable firewalld ##设置开机自动启动

二.firewald域

这里写图片描述

三.图形管理工具

firewall-config ##打开图形管理工具
这里写图片描述

1永久添加53端口到public域,完成后重新加载:

点击port–>>add–>>53–>>tcp–>ok完成添加。
这里写图片描述
左上角选择permanent永久生效,
这里写图片描述
完成后Options–>Reload Firewalld 重新加载
这里写图片描述

2.添加服务

添加http服务,点击server 相应的服务前点击勾中,重新加载即可
这里写图片描述

3.添加/删除新域,仅仅针对自定义域

左下角“+“新建域,“-“删除域
这里写图片描述
这里写图片描述

4.server栏中是各服务对应的协议和端口号

这里写图片描述

四.命令管理模式

1.基本命令


firewall-cmd --state ##查看firewall服务当前状态
firewall-cmd --get-active-zones ##查看当前活跃域(已经激活的域)
firewall-cmd --get-default-zone ##查看当前默认域
firewall-cmd --get-zones ##列出所有域
firewall-cmd --zone=public --list-all ##列出public域的所有策略
firewall-cmd --get-services ##查看firewall管控的所有服务
firewall-cmd --list-all-zones ##列出所有域
firewall-cmd --set-default-zone=trusted ##设置默认域为trusted

firewall-cmd --get-services ##查看firewall管控的所有服务
所有服务的信息控制:/usr/lib/firewalld/services/*.xml,这些服务也是firewalld服务所能管理的所有服务
这里写图片描述

2.1在默认域名为public的情况下,该域无httpd策略,trusted也无httpd策略,客户机1,客户机2均无法访问httpd服务,添加httpd服务到trusted后,public虽无httpd服务策略,但两台客户机均能访问htppf服务

实验环境:服务端: eth0:192.168.0.210;eth1:172.25.254.210
客户端1: 172.25.254.51
客户端2:192.168.0.110 网关:192.168.0.210
为实验效果安装htppd服务,添加默认网页index.html
yum install httpd
echo "<h1>eth1:172.25.254.210</h2><br><h1>eht0:192.168.0.210</h1>" > /var/www/html/index.html
这里写图片描述

2.2firewalld策略:服务器网卡管控实验

默认域public 激活网卡接口eth0:192.168.0.210,无httpd服务,trusted添加httpd服务,激活网卡eth1:172.25.254.210 ,这时客户端1: 172.25.254.51可以访问httpd服务, 客户端2:192.168.0.110无法访问,因为httpd服务在域trusted也就是说任何相同主机都可以访问该域的服务,且通过该域的eth1172.25.254.210网卡接口传输数据,所以客户机1:172.25.254.51可以访问httpd服务,客户主机2:192.168.0.210,首先通过服务主机eth0:192.168.0.210接口进入内核,但是eth0:192.168.0.210网卡接口由public域管控,该域无httpd服务,所以客户机192.168.0.110无法访问httpd
firewall-cmd –set-default-zone=public ##设置默认域为public
firewall-cmd –add-interface=eth0 –zone=public ##添加网口eth0到public域
firewall-cmd –add-interface=eth1 –zone=trusted ##添加网口eth1到trusted域
firewall-cmd –add-service=httpd –zone=trusted ##添加服务httpd到trusted域
firewall-cmd –list-all (–zone=public) ##列出(当前域)所有的策略
firewall-cmd –get-active-zones ##查看当前激活域

这里写图片描述
这里写图片描述

2.3remove掉public域的eth0,添加到trusted域上 ,也就是说trusted域中,有httpd服务,eth0,eth1,当然不论那台主机都可以访问了

这里写图片描述
这里写图片描述
这里写图片描述

2.4在上述基础上,改变eth1到public域上,trusted域保留eth0:192.168.0.210,这时客户主机1:172.25.254.51会无法访问httpd服务

这里写图片描述
这里写图片描述

3.1对指定ip或网段的控制:

在2.3实验中客户主机172.25.254.51是无法访问httpd服务的,策略如下,
这里写图片描述

通过设置特定网段来是172.25.254.51使用httpd服务,使用该域
这里写图片描述

4.1服务端口的控制

firewalld读取服务信息的文件:/usr/lib/firewalld/services/*.xml
以httpd服务为例说明

vim /etc/httpd/conf/httpd.conf
         --->>port 8080 
vim /usr/lib/firewalld/services/http.xml
         --->>port 8080
systemctl restart httpd
systemctl restart firewalld
客户端2:192.168.0.110测试:firefox  http://192.168.0.210:8080

vim /etc/httpd/conf/httpd.conf
这里写图片描述
vim /usr/lib/firewalld/services/http.xml
这里写图片描述
systemctl restart httpd
systemctl restart firewalld
注意:因为之前的设置都是临时的,重启firewalld后设置会失效,重新设置策略
这里写图片描述
客户主机172.25.254.51测试:
这里写图片描述

4.2不改/usr/lib/firewalld/services/http.xml中的端口,使用默认端口80,改动 /etc/httpd/conf/httpd.conf端口为8080,实验中 –permanent永久设定,

这里写图片描述

这里写图片描述

5.ssh控制

在没有从public域中remove ssh服务,之前客户机ssh连接上服务器,remove ssh服务之后,已经链接上的shell还能继续使用,在重新开一个shell却无法链接了
!这里写图片描述

6.firewall高级管理 (默认域public)
(vim /usr/lib/firewalld/services/http.xml 
     -->>port 80) 不用改上边的实验已经改为80了
  vim /etc/httpd/conf/httpd.conf
     --->>port 80   要改上边的实验此配置文件端口为8080
 systemctl restart httpd
 netstat -antlpue | grep httpd 查看80端口状态。处于开启状态
 firewall-cmd --add-service=http  --permanent  --zone=public
firewall-cmd --reload

这里写图片描述
实验前两台主机都能访问httpd服务
这里写图片描述

firewall-cmd --direct --get-all-rules  ##查看rules
firewall-cmd --direct --add-rule ipv4 filter INPUT 0  -s 172.25.254.51 -p tcp --dport 80 -j REJECT     ##添加rules
firewall-cmd --direct --get-all-rules  ##查看rules

这里写图片描述
192.25.254.110主机可以使用http服务
172.25.254.51主机不能访问http服务
这里写图片描述
这里写图片描述
实验完成后

firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 -s 172.25.254.51 -p tcp --dport 80 -j REJECT    ##删除rules

 firewall-cmd --direct --get-all-rules 

 ###firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 192.168.0.0/24 -p tcp --dport 80 -j REJECT  表示非192.168.0.0网段的用户无法访问80端口
7.ssh服务转到指定主机
 firewall-cmd --permanent --add-masquerade
 firewall-cmd --reload
 firewall-cmd --permanent --zone=public --add-forward-      port=port=22:proto=tcp:toport=22:toaddr=172.25.254.10

###firewall-cmd --permanent --zone=public --remove-forward-      port=port=22:proto=tcp:toport=22:toaddr=172.25.254.10  移除策略

这里写图片描述
客户主机192.168.0.110ssh远程连接172.25.254.210主机会转到172.25.254.51上
这里写图片描述

8.地址伪装

实验前执行以下代码,清除环境上边实验的环境

firewall-cmd --permanent --zone=public --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.10
firewall-cmd --permanent --remove-masquerade
firewall-cmd --reload

这里写图片描述
添加规则

firewalld-cmd --add-rich-rule='rule family=ipv4 masquerade'

这里写图片描述
客户主机ip192.168.0.110,但连接172.25.254.51却显示是172.25.254.210连接的
这里写图片描述

五.tcpwarp

实验前清除法环境
这里写图片描述
ssh —>firewalld –>> tcpwrap –>>守护进程 —>>service本身 —>>selinux —>>文件系统
ldd /usr/sbin/sshd
—libwrap.so.0 查看,有这个文件表示受tcpwrap保护,htpp服务不受此保护
这里写图片描述
这里写图片描述
受tcpwarp保护的服务在/etc/hosts.allow和 /etc/hosts.deny管控
vim /etc/hosts.deny
—>>ALL:ALL 拒绝服务列表,ALL:ALL表示所有服务,所有主机
vim /etc/hosts.allow (优先)
—>>sshd:172.25.254. EXCEPT 172.25.254.10 sshd服务对172.25.254.网段开放,除了172.25.254.10用户,该用户无法访问sshd服务
当/etc/hosts.allow和 /etc/hosts.deny冲突时以/etc/hosts.allow为准

实验: /etc/hosts.allow
这里写图片描述
客户主机172.25.254.51 尝试ssh root@172.25.254.210 成功
客户主机172.25.254.10 尝试ssh root@172.25.254.210 失败

这里写图片描述

1监控sawnp

vim /etc/hosts.allow (优先)
—>>sshd:172.25.254. :spawn echo date from %c to %s | mail -s warning root
有用户登录的话发送邮件给root用户 mail 查看邮件 /var/spool/mail/root

这里写图片描述
这里写图片描述
vim /etc/hosts.allow (优先)
—>>sshd:172.25.254. :spawn echo date from %c to %s > /dev/pts/num ##[num] 由shell ps查看,有用户登陆的话,直接在root用户shell命令行后,显示信息
这里写图片描述
这里写图片描述

vim /etc/hosts.allow (优先)
—>>sshd:172.25.254. :spawn echo date from %c to %s >> /logfile
登陆信息到指定文件
这里写图片描述
这里写图片描述

六.守护进程

以telnet为例
  yum install xinetd   安装守护进程服务
  yum install telnet-server (telnet服务端)
  yum install telnet     (telnet客户端)
  systemctl start xinetd.service
  vim /etc/xinetd.d/telnet
    --->>service telnet
               {
                socket_type = stream
                protocol = tcp
                user =  root
                server = /usr/sbin/in.telnetd  (rpm -ql telnet 查看)
                disable = no 
                flags =  REUSER
                wait = no
                }
   systemctl restart xinetd
   systemctl restart telnet.socket
   重启失败查看22端口若LISTEN则表示已经开启
    natstat -anplute | grep 22

这里写图片描述
这里写图片描述
服务器本地测试(非root用户)
这里写图片描述

守护进程主配置文件,对所有受守护进程管控的服务都适用,实验前关闭firewalld服务

/etc/xinetd.conf
vim /etc/xinetd.conf
—->> 

       13 #       enabled         =    ##启用守护进程    
       14 #       disabled        =    ##关闭守护进程

       23 #       no_access       =    ##用户黑名单
       24 #       only_from       =    ##用户白名单
       25 #       max_load        = 0  ##连接最大负载  %0
       26         cps             = 3 10   ## 第一个num表示同一时间最多3个连接数连,大于该数目(3)的用户则无法连接需要等待10秒后处理
       27         instances       = 10    ##最大连接个数为10(!同一ip)
       28         per_source      = 5     ##同一个ip能够建立的连接个数5

systemctl restart xinetd.service

对于字配置文件同样适用/etc/xinetd.conf/*

七.selinux对服务端口的控制

1-1024系统默认使用端口
以httpd服务为例,改httpd服务端口为6666,完成后重新启动会报错,查看selinux 状态为enforcing,设置selinux为警告状态重启成功
vim /etc/httpd/conf/httpd.conf
—LISTEN port 6666
systemctl restart httpd 重启
setenforce 0
systemctl restart httpd
—>>重其成功
这里写图片描述
在selinux 为enfocing状态,使httpd服务正常使用,方法
setenforce 1

semanage  port -a -t port_type -p tcp 6666
systemctl restart httpd

这里写图片描述

还能中文
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1888
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
FirewallD入门手册
郑帅的博客
01-23 373
导读 FirewallD 是 iptables 的一个封装,可以让你更容易地管理 iptables 规则 - 它并不是 iptables 的替代品。虽然 iptables 命令仍可用于 FirewallD,但建议使用 FirewallD 时仅使用 FirewallD 命令。   FirewallD 是 iptables 的前端控制器,用于实现持久的网络流量规则。它
linux防火墙篇--Firewalld防火墙基础
aran2002的博客
05-23 1237
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
Linux系统的firewalld服务
zxj_1102的博客
08-20 307
一、firewalld 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成
firewalld服务讲解
Liang_GaRy的博客
10-19 1341
Linxu-firewalld服务讲解
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
Linux基础课件-firewalld服务配置.pptx
11-02
Linux操作系统基础
Linux基础课件firewalld服务的安装与启动共11
11-19
Linux基础课件firewalld服务的安装与启动共11页.pdf.zip
Linux基础课件firewalld服务配置共21页.pd
11-19
Linux基础课件firewalld服务配置共21页.pdf.zip
Linux基础课件-firewalld服务的安装与启动.pptx
11-02
Linux操作系统基础
用活firewalld防火墙之service
denghe6366的博客
07-20 439
原文地址:http://www.excelib.com/article/291/show 前面学生已经给大家介绍了在firewalldservice的概念以及在zone中怎么使用service,但是service本身怎么配置我们还没讲,本节学生就来给大家介绍service本身的配置。 service配置文件 service相对于zone来说结构要简单的多,其整体配置文件结构如下 ...
RHCE(firewalld——查看及使用)
金色%夕阳的博客
12-09 1139
1.2. 查看当前状态和设置 firewalld 1.2.1. 查看当前状态 firewalld 防火墙服务 firewalld 被默认安装在系统中。使用 firewalld CLI 界面检查该服务是否正在运行。 [root@kittod ~]# firewall-cmd --state running 有关服务状态的更多信息,请使用 systemctl status 子命令: [root@kittod ~]# systemctl status firewalldfirewalld.service
【Linux】firewalld介绍
简简单单兔呦
12-23 548
2019年只剩下最后一个星期,难得闲下来总结一下来新公司差不多一年的工作和收获。 今年最大的感受就是“累”,自己从新人成为目前的架构(内部的,不具可比性<_<),今年应该是成长上比较快的一年。 这一年开始带团队,而且人数12个,有开发、测试,项目经理。这些人都是分阶段接入公司的,都是新人,工作年龄普遍2年左右,专业技能上基本上比较差,经过一年的培养,也培养出不少的小能手,团队凝聚力很强...
linux防火墙iptables和firewall、systemctl 、service
weixin_38230961的博客
04-26 458
CentOS Linux release 7.6.1810 状态 service iptables status Active: inactive (dead) -- 代表关闭 端口列表 iptables -L -n --line-numbers 开启关闭防火墙 service iptables stop service iptables start service iptables restart 开启/关闭端口 关闭: iptables -D INPUT 6 ......
Firewall
PrIn3e的博客
12-02 1993
Firewall  防火墙 firewall-ifconfig  防火墙web管理工具 通过在web界面可以对防火墙进行设置 firewall-ifconfig 配置分为两种runtime和permanent  runtime表示当前运行生效,当前设置的参数,当系统重启之后就会失效  permanent表示永久生效,设置的参数永久生效,但是在完成设置之后,必须重新载入防火墙, z
firewalld学习--service的使用和配置
weixin_30631587的博客
08-05 418
service配置文件 firewalld默认给我们提供的ftp的service配置文件ftp.xml <?xml version="1.0" encoding="utf-8"?> <service> <short>FTP</short> <description>FTP is a protocol use...
Firewalld 防火墙基础
最新发布
m0_73868728的博客
06-11 960
irewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻 塞类型,具体的查看命令如下所示。[root@localhost ~]# firewall-cmd --get-zones //显示预定义的区域[root@localhost ~]# firewall-cmd --get-service //显示预定义的服务[root@localhost ~]# firewall-cmd --get-icmptypes //显示预定义的 ICMP 类型。
Firewalld 防火墙基础,超详细!!!理论 + 实验!新手看过来
CSDN著名博主
08-04 988
Firewalld防火墙基础一、Firewalld概述二、Firewalld和iptables的关系三、Firewalld网络区域四、Firewalld防火墙的配置方法五、Firewall-config图形工具六、Firewalld防火墙案例实验 一、Firewalld概述 ■Firewalld 支持网络区域所定义的网络链接以及接安全等级的动态防火墙管理工具 支持IPv4、IPv6防火 墙设置以及以太网桥 拥有两种配置模式 ◆运行时配置 ◆永久配置 二、Firewalld和iptables的关系 ■ne
linux 如何开启firewalld服务
05-12
开启firewalld服务可以使用以下命令: 1. 启动firewalld服务并设置开机自启动: ``` sudo systemctl start firewalld sudo systemctl enable firewalld ``` 2. 检查firewalld服务状态: ``` sudo systemctl status firewalld ``` 如果服务已经启动,会输出类似于以下内容: ``` ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: active (running) since Tue 2021-08-31 15:52:24 CST; 2s ago ``` 如果服务未启动,会输出类似于以下内容: ``` ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled) Active: inactive (dead) ``` 3. 开启/关闭firewalld服务: ``` sudo systemctl start firewalld # 启动firewalld服务 sudo systemctl stop firewalld # 关闭firewalld服务 ``` 注意:在启动firewalld服务之前,需要确认系统中没有其他防火墙软件正在运行,否则可能会导致防火墙规则失效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值