RedHat8 防火墙firewalld

最新推荐文章于 2024-06-12 16:43:31 发布
最新推荐文章于 2024-06-12 16:43:31 发布
阅读量2.7k 收藏 9
点赞数 1
分类专栏: Red Hat8 /Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshihuz/article/details/107565613
版权

防火墙基础

  • firewalld:守护进程
  • firewall-cmd:管理工具
  • nftables:8的防火墙架构,7之前版本依然使用iptables的netfilter

默认规则

  • 经过防火墙进入的流量默认是阻止的
  • 经过防火墙流出的流量默认是允许的
  • 默认zone为public
  • 默认接口都属于public域

原则:

  • 数据包进入必须要属于一个域(zone)才能被转发
    • 数据包匹配zone的3个条件顺序
    • 源地址zone匹配
    • 接口zone匹配
    • 默认zone匹配
  • 配置都是临时生效,永久生效要加–permanent,重新加载永久生效–reload
  • firewall使用域(zone)定义规则,而iptables使用链(Chain)

终端命令
在这里插入图片描述

查看系统自带的zone
在这里插入图片描述

  • drop 输入的数据包默认经过防火墙会丢弃并且无回应,只有传出网络连接可用
  • block 拒绝所有出入的数据包并且进行回应一条禁止主机ICMP的消息,只有传出网络连接可用
  • public 只接受被选择的网络连接,用于公共区域
  • extermal 去外部网络的时候会进行地址的伪装,只接受被选择的网络连接
  • dmz 外部部分指定的地区访问内部网络,只接受被选择的网络连接
  • work 处在工作区域内的计算机,只接受被选择的传入网络连接
  • home 处在家庭区域的计算机,只接受被选择的传入网络连接
  • internal 对于处在你内部网络的计算机,只接受被选择的传入网络连接
  • trusted 所有网络连接都接受

详细zone规则

firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

规则理解

  • target:在zone中没有匹配到规则的数据包最终走的规则
    • default:走默认zone,一般为public域
    • ACCEPT:全部通过
    • DROP:丢弃包,无ICMP回应
    • REJECT:拒绝包,返回ICMP回应
  • sources: 源地址 (ipv4/ipv6)
  • interfaces:加入到当前zone的接口,默认一个接口必须属于一个zone下
firewall-cmd  --get-default-zone
查看默认zone
firewall-cmd  --get-zone-of-interface=ens160
查看网卡默认的zone

决定一个数据包属于哪个zone,就看sources和interfaces的配置规则

基础规则

实现粗精度基本防火墙控制需求

  • services: 服务 (http、ssh…)
  • ports: 端口号(1-35535)
  • protocols: 协议(tcp/udp)
firewall-cmd --add-service=http --permanent --zone=public
永久添加http服务到piblic域中
firewall-cmd --add-port=80/tcp --permanent --zone=public
永久添加80端口到piblic域中,注意端口需要添加协议
firewall-cmd --add-protocol=tcp --permanent --zone=public
firewall-cmd --reload
每次配置都需要执行加载,不然不会生效

--remove-
移除规则

富规则

实现细精度使用防火墙控制需求

  • rich rules: 实现个性化到某个IP、某个端口、某个服务、某个动作
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.119.131 port protocol=tcp port=80 accept' 
firewall-cmd --reload
允许源地址是192.168.119.131 访问端口80 协议是tcp

在这里插入图片描述

masquerade规则

实现SNAT的功能,也就是源nat转换
应用场景:同网段内由于权限的问题,只有一台电脑A可以访问固定的资源,要想其他机器都可以访问,就需要使用masquerade,把流量转发到可以访问电脑A,利用masquerade进行源地址转换后就能实现同网段内的其他机器都可以访问资源

  • masquerade:开启或者关闭

条件必须为同网段,因为需要把网关配置成可以访问资源的IP,这样就把流量全部转发到这台机器上进行masquerade,而跨网段是无法实现的,因为跨网段需要借助网关

1、修改网关IP为实现SNAT的电脑IP
2、开启SNAT的功能
firewall-cmd --add-masquerade --permanent --zone=public

在这里插入图片描述

forward-ports规则

实现DNAT功能,也就是端口映射
应用场景:常见为公网的环境,外部需要访问内部资源情况下,需要把公网地址进行DNAT,由公网IP实现内部的转发访问

  • forward-ports
firewall-cmd --permanent --add-forward-port=port=11111:proto=tcp:toport=80:toaddr=192.168.119.129
firewall-cmd --reload
把端口11111协议tcp的报文转发到192.168.119.129的80端口上

在这里插入图片描述

Y。S。H。
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewall防火墙--rhel8
识途老码
09-03 3172
firewall-cmd防火墙--Centos7.3+防火墙的几种策略ACCEPTREJECTDROPLOGfirewall-cmd防火墙特性防火墙区域查看防火墙状态查看当前区域设置当前区域当前生效(默认模式)和永久生效Runtime(当前生效,默认模式)Premanent(永久生效)panic(紧急模式)策略查看和配置查看区域当中是否放行指定服务在指定区域中添加服务在指定区域中添加服务并永久生效添加80端口到当前区域--永久生效添加一组端口号到指定区域查看区域中的端口号策略策略删除从区域中删除策略端口转发
RHEL8_Linux防火墙
ls041224的博客
12-12 1495
本章树妖介绍RHEL8中的firewalld的配置。
RedHat9 | 防火墙配置与管理
最新发布
weixin_45564816的博客
06-12 1147
区域默认配置预定义允许访问的服务备注trusted允许所有进站所有home默认拒绝进入,除流量与流出流量相关(请求由内部发起)与home类似,根据区域名含义,可作为内网与外网的区分internal默认拒绝进入,除流量与流出流量相关(请求由内部发起)与home类似,根据区域名含义,可作为内网与外网的区分work默认拒绝进入,除流量与流出流量相关(请求由内部发起)public默认区域,默认拒绝进入external默认拒绝进入,除流量与流出流量相关(请求由内部发起)ssh。
linux红帽系统、图形化界面详细安装教程
m0_70098804的博客
06-09 3915
本文通过使用命令详细教程安装红帽图形化
RHEL8/CentOS8的基础防火墙配置-用例
SunMy的博客
10-31 5155
systemctl systemctl unmask firewalld #执行命令,即可实现取消服务的锁定 systemctl mask firewalld # 下次需要锁定该服务时执行 systemctl start firewalld.service #启动防火墙 systemctl ...
linux下防火墙配置,RedHat Linux下防火墙配置技巧
weixin_36484714的博客
05-12 181
RedHatLinux为增加系统安全性提供了防火墙保护。防火墙存在于你的计算机和网络之间,用来判定网络中的远程用户有权访问你的计算机上的哪些资源。一个正确配置的防火墙可以极大地增加你的系统安全性。为你的系统选择恰当的安全级别。高级如果你选择了“高级”,你的系统就不会接受那些没有被你具体指定的连接(除了默认设置外)。只有以下连接是默认允许的:DNS回应DHCP—任何使用DHCP的网络接口都可以被相应...
RedHat Linux 8 中火墙介绍 iptables服务使用
Howei__的博客
03-21 3198
火墙介绍 火墙策略管理工具切换 iptabkes 服务命令 iptables常用参数和操作
基于redhat7下的系统防火墙firewalld学习
weixin_42446031的博客
03-27 725
一,firewalld 1.什么是防火墙? 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关...
redhat8版防火墙管理工具( iptables/firewalld
qq_43719048的博客
03-15 1338
iptables与firewalld 四种动作: ACCEPT 允许 REJECT 明确拒绝 DROP 不理睬 丢弃 LOG 记录 数据包类型: PREROUTING INPUT OUTPUT FOREARD POSTROUTING iptables常用参数及作用: iptables -L // 查看已有的防火墙规则链 ~ -F //清空已有的防火墙规则链 ~ -P //设置默认策略 ~ -p // 匹配协议 ~ -s 匹配IP地址 ~ -j 接动作 ~ --dpor
linux防火墙reject,linux 防火墙配置与REJECT导致没有生效问题
weixin_42363565的博客
05-12 375
1.进入到/etc/sysconfig 如图2.使用vi命令对iptables进行编辑."vi iptables",然后显示如图# Firewall configuration written by system-config-firewall# Manual customization of this file is not recommended.*filter:INPUT ACCEPT [0...
Redhat7.3linux系统防火墙命令总结
bjbb_2007的博客
05-22 821
所以一般是把需要的端口打开,首先用firewall-cmd --list-ports检查已开放的端口号,所需端口没有,就用firewall-cmd --zone=pulic --add-ports=端口号/tcp –permanent开放端口,不用的端口用firewall-cmd --zone=pulic --remove-ports=端口号/tcp –permanent关闭端口。firewall-cmd --zone=pulic --list-ports:检查特定区域已开放的端口号。
Redhat7(centos7)及以上防火墙完整介绍
2401_83916435的博客
05-13 714
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
RedHat学习笔记29--firewalld及服务的访问控制列表
FUXI_Willard
09-01 588
本系列博客是笔者在学习刘遄的《Linux就该这样学》的笔记,个人觉得这是一本很好的书,很值得我们去学习。因为笔者是自学,可能有些问题了解的层面没有那么深,各位大牛在看到笔者写的内容有错漏,望指出并给出建议,感激不尽! firewalld简介 firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器); firewalld是RHEL7默认的防火墙配置管理工具; firewalld支持动态更新技术并加入区域概念; 区域:fir
第8章 iptables与firewalld防火墙
重庆森林
07-29 220
网卡信息配置 Vmnet1–主机模式 Vmnet8–NAT模式 桥接模式:与物理机相同的连接网络方式 PS:配置网卡的四种方式 ①:RHEL5/6:(setup),RHEL7(nmtui) ②:vim /etc/sysconfig/network-scripts/ifcfg-eht0 ③:nm-connection-editor ④:右上角图标 配置完成后重启网络服务systemctl res...
防火墙常用命令(Redhat)
a50395967的博客
04-10 599
(–permanent永久生效)
Red Hat 7 防火墙配置管理
Ahern_的博客
11-17 3247
firewall-cmd --permanent --add-rich-rule 'rule service name=ssh family=ipv4 source address=192.168.1.0/24 accept' 允许访问。 #firewall-cmd --permanent --add-rich-rule 'rule service name=ssh family=ipv4 source address=192.168.2.0/24 reject' 拒绝访问。
redhat 查看防火墙
10-11
Redhat 系统中,查看防火墙状态可以使用以下命令: 1. 查看防火墙状态 ``` systemctl status firewalld ``` 2. 查看防火墙规则 ``` firewall-cmd --list-all ``` 3. 查看防火墙开放的端口 ``` firewall-cmd --...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值