firewalld介绍、rich规则、伪装和端口转发

最新推荐文章于 2024-04-18 23:08:00 发布
最新推荐文章于 2024-04-18 23:08:00 发布
阅读量2.8k 收藏 4
点赞数 1
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zerocdn/article/details/104944946
版权

firewalld介绍

firewalld是CentOS 7.0新推出的管理netfilter的工具
firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能
firewalld服务由firewalld包提供

firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则
归入zone顺序:
  先根据数据包中源地址,将其纳为某个zone
  纳为网络接口所属zone
  纳入默认zone,默认为public zone,管理员可以改为其它zone

网卡默认属于public zone,lo网络接口属于trusted zone

预设zone的作用:
trusted:允许所有流量

home:拒绝除和传出流量相关的,以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预定义服务之外其它所有传入流量

internal:和home相同

work:拒绝除和传出流量相关的,以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量

public:拒绝除和传出流量相关的,以及ssh,dhcpv6-client预定义服务之外的其它所有传入流量,新加的网卡默认属于public zone

external:拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量,属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址。

dmz:拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量

block:拒绝除和传出流量相关的所有传入流量

drop:拒绝除和传出流量相关的所有传入流量(甚至不以ICMP错误进行回应)

firewalld配置

firewall-cmd --get-services 查看预定义服务列表
/usr/lib/firewalld/services/*.xml预定义服务的配置

三种配置方法
firewall-config (firewall-config包)图形工具
firewall-cmd (firewalld包)命令行工具
/etc/firewalld 配置文件,一般不建议

firewall-cmd 命令选项

–get-zones 列出所有可用区域

–get-default-zone 查询默认区域

–set-default-zone=设置默认区域

–get-active-zones 列出当前正使用的区域

–add-source=[–zone=]添加源地址的流量到指定区域,如果无–zone= 选项,使用默认区域

–remove-source= [–zone=] 从指定区域中删除源地址的流量,如无–zone= 选项,使用默认区域

–add-interface=[–zone=] 添加

–change-interface=[–zone=] 改变指定接口至新的区域,如果无–zone= 选项,使用默认区域

–add-service= [–zone=] 允许服务的流量通过,如果无–zone= 选项,使用默认区域

–add-port=<PORT/PROTOCOL>[–zone=] 允许指定端口和协议的流量,如果无–zone= 选项,使用默认区域

–remove-service= [–zone=] 从区域中删除指定服务,禁止该服务流量,如果无–zone= 选项,使用默认区域

–remove-port=<PORT/PROTOCOL>[–zone=] 从区域中删除指定端口和协议,禁止该端口的流量,如果无–zone= 选项,使用默认区域

–reload 删除当前运行时配置,应用加载永久配置

–list-services 查看开放的服务

–list-ports 查看开放的端口

–list-all [–zone=] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无–zone= 选项,使用默认区域

查看默认zone
firewall-cmd --get-default-zone

默认zone设为dmz
firewall-cmd --set-default-zone=dmz

添加开放80TCP端口
firewall-cmd --add-port=80/tcp

在internal zone中增加源地址192.168.0.0/24的永久规则
firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24

在internal zone中增加协议mysql的永久规则
firewall-cmd --permanent –zone=internal --add-service=mysql

加载新规则以生效
firewall-cmd --reload

firewall跟其他防火墙功能的服务有冲突,如有其他服务建议锁住不让启动
systemctl mask iptables
systemctl mask ip6tables

当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则
rich-rules 富规则,功能强,表达性语言
Direct configuration rules 直接规则,灵活性差
帮助:man 5 firewalld.direct

rich规则

rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和auditd,也可以实现端口转发,伪装和限制速率

rich语法:
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]

参考:
man 5 firewalld.richlanguage

rich规则实施顺序:
当前区域的端口转发,伪装规则
当前区域的日志规则
当前区域的允许规则
当前区域的拒绝规则
每个匹配的规则生效,所有规则都不匹配,当前区域默认规则生效

示例:
拒绝从192.168.1.10的所有流量,当address 选项使用source 或 destination时,必须用family= ipv4 |ipv6
firewall-cmd --permanent --zone=classroom --add-rich-rule='rule family=ipv4 source address=192.168.1.10/32 reject‘

限制每分钟只有两个连接到ftp服务
firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/maccept’

抛弃esp( IPsec 体系中的一种主要协议)协议的所有数据包
firewall-cmd --permanent --add-rich-rule=‘rule protocol value=esp drop’

接受所有192.168.1.0/24子网端口1000-1500范围的TCP流量
firewall-cmd --permanent --zone=vnc --add-rich-rule=‘rule family=ipv4source address=192.168.1.0/24 port port=1000-1500 protocol=tcp accept’

rich日志规则
log [prefix=" " [level= ] [limit
value=" <RATE/DURATION> “]
可以是emerg,alert, crit, error, warning, notice, info, debug.
s:秒, m:分钟, h:小时, d:天
audit [limit value=” <RATE/DURATION>

示例:
接受ssh新连接,记录日志到syslog的notice级别,每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule servicename=“ssh” log prefix="ssh " level=“notice” limit value=“3/m” accept

从2001:db8::/64子网的DNS连接在5分钟内被拒绝,并记录到日志到audit,每小时最大记录一条信息
firewall-cmd --add-rich-rule=‘rule family=ipv6 sourceaddress=“2001:db8::/64” service name=“dns” audit limit value="1/h"reject’ --timeout=300

伪装和端口转发

firewalld支持伪装和端口转发两种NAT方式
firewall-cmd --permanent --zone= --add-masquerade
firewall-cmd --query-masquerade 检查是否允许伪装
firewall-cmd --add-masquerade 允许防火墙伪装IP
firewall-cmd --remove-masquerade 禁止防火墙伪装IP

示例:
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=192.168.0.0/24 masquerade’

端口转发

端口转发:将发往本机的特定端口的流量转发到本机或不同机器的另一个端口。通常要配合地址伪装才能实现

firewall-cmd --permanent --zone= --add-forward-port=port= :proto= [:toport= ][:toaddr= ]
说明:toport= 和toaddr= 至少要指定一个

示例:
转发传入的连接8080/TCP,到防火墙的80/TCP到public zone 的192.168.1.10
firewall-cmd --add-masquerade 启用伪装
firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=192.168.1.10

rich规则语法:
forward-port port= protocol= tcp|udp [to-port= <PORTNUM> ] [to-addr= <ADDRESS> ]

示例:
转发从192.168.1.0/24来的,发往8080/TCP的流量到防火墙的端口80/TCP
firewall-cmd --zone=work --add-rich-rule=‘rule family=ipv4 sourceaddress=192.168.1.0/24 forward-port port=8080 protocol=tcp to-port=80’

zerocdn
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux防火墙富规则,firewalld的富规则
weixin_36202273的博客
05-12 3799
firewalld的富规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中富规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
详解CentOS7使用firewalld打开关闭防火墙与端口
09-15
本篇文章主要介绍了CentOS7使用firewalld打开关闭防火墙与端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
firewalld 端口、富规则
舍人的学习工厂
08-07 6083
​​​​​​​​​​​​章节概述: 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用。 本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全...
Linux】—管理、设置防火墙规则firewalld详解)
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-18 5141
Linux】—管理、设置防火墙规则firewalld详解)
Linux防火墙iptables与firewalld
yy150122的博客
08-08 617
防火墙的概念 安全技术 入侵检测与管理系统(Intrusion Detection Systems):特 点是不阻断任何网络访问,量化、定位来自内外网络的威胁情 况,主要以提供报告和事后监督为主,提供有针对性的指导措 施和安全决策依据。一般采用旁路部署方式 入侵防御系统(Intrusion Prevention System):以透明模 式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木 马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行 为后立即予以阻断,主动而有效的保护网络的安全,一般采用 在
firewalld
wdirdo的博客
10-23 219
firewalld服务 firewalld简介 ◆ firewalld是CentOS 7.0新推出的管理netfilter的工具 ◆ firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能 ◆ firewalld服务由firewalld包提供 ◆ firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则 ◆...
第2篇:Linux防火墙-firewalldrich规则配置
10-31 5308
第2篇:Linux防火墙-firewalldrich规则配置 这是承接上一篇的内容 在某些情况下,我们可能需要创建更复杂的规则,而不仅仅是允许区域中的某些端口或服务。例如,我们可能想要创建一条规则来阻止来自特定机器的某种类型的流量。这就是rich规则的意义所在。规则基本上由两部分组成:在第一部分中,我们指定要应用规则必须满足的条件,在第二部分中,指定要执行的操作:accept、drop或reject 实验目的 在下面的实验拓网络拓扑中,防火墙的ens33网卡是分配到external区域,ens3.
防火墙(2)富语言规则
m0_57207884的博客
08-13 1846
第三章 firewalld防火墙(二) 一.IP伪装端口转发 nat技术一般配置在企业边界路由器或防火墙 2.Firewalld支持两种类型的网络地址转换 2.1 IP地址伪装(masquerade) 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 2.2端口转发(Forward-port) 也称为目的地址转换或端口映射 通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口 例:企业内网服务器一般采用私网地址,可以
Linux下轻松理解防火墙的工作原理及相关设置(三)firewalld服务、包括Direct Rules 和Rich Rules (地址伪装和转发)
weixin_45649763的博客
12-04 1233
文章目录firewalld概述firewall和iptables的不同firewalld常用命令firewalld基本操作 firewalld概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配置方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默...
Linux防火墙-firewalldrich规则配置
binzhili88的博客
11-20 3639
Linux防火墙-firewalldrich规则配置
Linuxfirewalld防火墙基础
欲买桂花同载酒
05-22 1331
Linuxfirewalld防火墙基础,内含基础怎删改查命令行介绍,以及图文讲解,命令行演示图片
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
CentOS 7下用firewall-cmd控制端口与端口转发详解
01-10
可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式,前一种是重启firewalld服务,建议使用后一种“重载配置文件”。重载配置文件之后不会断掉正在连接的tcp会话
Linux -- firewalld的富语言规则
2301_77023501的博客
01-11 1503
firewalld的富语言(rich language)提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewalld 的基本语法中未涵盖的自定义防火墙规则。通过地址伪装,NAT 设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址,当返回的数据包到达时,会将目的地址修改为原 始主机的地址并做路由。(1)为认证报头协议AH使用新的IPv4和IPv6连接。
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 6533
查看防火墙策略。
端口转发firewalld rich rule实现
刘元林的博客
01-12 2910
firewalld提供了masquerade,用以辅助port-forward;但是,内部port-forward不需要masquerade。此外,端口转发rule中配置的port属性(eg:port=22002)无需添加到防火墙例外,因为无论添加与否都能被访问到,如果要对访问进行限制,则需要在策略中增加source address属性加以限制;或者在目的服务器上加以限制。 内部端口转发 firewall-cmd --permanent --add-rich-rule='rule family=i.
Linux CentOS 8(firewalld的配置与管理)
正月十六工作室
10-24 2631
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
CentOS 7 firewalld 配置详解 (转)
独乐乐不如众乐乐
03-25 5285
1.在CentOS 7里有几种防火墙共存:firewalld、iptables、ebtables。 默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。 而iptables里默认是每个服务是允许,需要拒绝的才去限制。 firewalld与iptables的关系 firewalld跟iptables比起来至少有两大好处: 1)firewalld可以动态修改
firewalld 查询开放的服务和端口号
06-08
您可以使用以下命令查询当前firewalld防火墙开放的服务和端口号: 1. 查询所有服务: ``` sudo firewall-cmd --list-services ``` 2. 查询所有端口: ``` sudo firewall-cmd --list-ports ``` 3. 查询指定区域(例如:public)开放的服务: ``` sudo firewall-cmd --zone=public --list-services ``` 4. 查询指定区域(例如:public)开放的端口: ``` sudo firewall-cmd --zone=public --list-ports ``` 在执行以上命令时,如果提示"command not found",可能是因为您的系统没有安装firewalld。您可以使用以下命令安装: ``` sudo yum install firewalld ``` 或者 ``` sudo apt-get install firewalld ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值