Linux--Firewall

最新推荐文章于 2024-02-29 10:16:42 发布
最新推荐文章于 2024-02-29 10:16:42 发布
阅读量203 收藏
点赞数
分类专栏: Linux--Firewall 文章标签: Firewall
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangyukai9579/article/details/99615902
版权

Firewall

作为内核的管理软件 firewall-cmd,通过使用这个软件来间接管理 Linux 内核的开启与关闭及其它功能,而 firewall-cmd 软件本身支持 firewall-cmd(命令)和 firewall-config (图形管理工具) 两种管理模式来管理 kernel netfilter

Firewall能将不同的网络连接归类到不同的信任级别,Zone提供了以下几个级别:

drop(丢弃)

丢弃所有进入的包,而不给出任何响应

block(拒绝)

拒绝所有外部发起的连接,允许内部发起的连接

public(公共)

允许指定的进入连接,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域

external(外部)

对伪装的进入连接,一般用于路由转发,仅接受ssh服务连接

dmz(非军事区)

仅接受ssh服务连接

work(工作)

允许受信任的计算机被限制的进入连接,仅接受ssh、ipp-client(网络打印机)或dhcpv6-client服务连接

home(家庭)

允许受信任的计算机被限制的进入连接,仅接受ssh、mdns、ipp-client、samba-client或dhcpv6-lient服务连接

internal(内部)

允许受信任的计算机被限制的进入连接,仅接受ssh、mdns、ipp-client、samba-client或dhcpv6-lient服务连接

trusted(信任)

信任所有连接

在这里插入图片描述

实验环境

需要三台主机

第一台主机(真实主机或虚拟主机)

单网卡

广播域: 172.25.254.30/24

vim /etc/sysconfig/network-scripts/ens33
编辑网卡配置文件
DEVICE=ens33

ONBOOT=yes

TYPE=Ethernet

BOOTPROTO=none

IPADDR=172.25.254.30/24

NETMASK=255.255.255.0

systemctl restart network

测试网络

ping 172.25.254.130

网络可达

第二台主机(虚拟主机)

双网卡

第一块网卡

广播域: 172.25.254.130/24

第二块网卡

广播域: 192.168.0.130/24

添加第二块虚拟网卡设备
在这里插入图片描述

vim /etc/sysconfig/network-scripts/eth0
编辑第一块网卡eth0
DEVICE=eth0

ONBOOT=yes

TYPE=Ethernet

BOOTPROTO=none

IPADDR=172.25.254.130

NETMASK=255.255.255.0

cp /etc/sysconfig/network-scripts/eth0 /etc/sysconfig/network-scripts/eth1

vim /etc/sysconfig/network-scripts/eth1
编辑第二块网卡eth1
DEVICE=eth1

ONBOOT=yes

TYPE=Ethernet

BOOTPROTO=none

IPADDR=192.168.0.130

NETMASK=255.255.255.0

systemctl restart network

在这里插入图片描述

测试网络

ping 172.25.254.131

网络可达

ping 192.168.0.230

网络可达

在这里插入图片描述

第三台主机(虚拟主机)

单网卡

广播域: 192.168.0.230/24

vim /etc/sysconfig/network-scripts/eth0
编辑网卡配置文件
DEVICE=eth0

ONBOOT=yes

TYPE=Ethernet

BOOTPROTO=none

IPADDR=192.168.0.230

NETMASK=255.255.255.0

systemctl restart network

在这里插入图片描述

测试网络

ping 192.168.0.130

网络可达

在这里插入图片描述

安装 Firewall

一般情况下,FirewallLinux 系统中为默认安装

在这里插入图片描述

如果 systemctl stats firewalld 查看,未找到 Firewall 服务

yum install firewalld firewall-cmd -y

安装 Firewall

安装 Apache

yum install httpd -y

在这里插入图片描述

systemctl start httpd

开启 Apache

systemctl enable httpd

开机自启

在这里插入图片描述

实验流程

systemctl stop firewalld

关闭防火墙

systemctl start firewalld

开启防火墙

systemctl enable firewalld

开机自启防火墙

systemctl disable firewalld

开机关闭自启防火墙

firewall-cmd 命令

firewall-config

图形化界面管理防火墙

在这里插入图片描述

firewall-cmd --state

在这里插入图片描述

firewall-cmd --get-active-zones

在这里插入图片描述

firewall-cmd --get-default-zone

在这里插入图片描述

firewall-cmd --get-zones

在这里插入图片描述

firewall-cmd --zone=public --list-all

在这里插入图片描述

firewall-cmd --list-all

查看默认域所有配置
在这里插入图片描述

firewall-cmd --get-services

在这里插入图片描述

firewall-cmd -list-all-zones

在这里插入图片描述

firewall-cmd --set-default-zone=home

在这里插入图片描述

Apache 测试防火墙服务

主机172.25.254.30

浏览器输入 172.25.254.130

Apache 已开启,无法访问,防火墙 Apache 服务未开启
在这里插入图片描述

firewall-cmd --add-source=172.25.254.30 --zone=trusted

在这里插入图片描述

主机172.25.254.30

浏览器输入 172.25.254.130

正常访问
在这里插入图片描述

firewall-cmd --remove-source=172.25.254.30 --zone=trusted

在这里插入图片描述

主机172.25.254.30

浏览器输入 172.25.254.130

无法访问
在这里插入图片描述

ifconfig eth0

172.25.254.130

ifconfig eth1

192.168.0.130
在这里插入图片描述

firewall-cmd --list-all
在这里插入图片描述

firewall-cmd --remove-interface=eth1 --zone=public
在这里插入图片描述

firewall-cmd --add-interface=eth1 --zone=trusted
在这里插入图片描述

主机192.168.0.230

浏览器输入 192.168.0.130

正常访问
在这里插入图片描述

firewall-cmd --list-all --zone=trusted
在这里插入图片描述

firewall-cmd change-interface=eth1 --zone=public
在这里插入图片描述

主机192.168.0.230

浏览器输入 192.168.0.130

无法访问
在这里插入图片描述

reloadcomplate-reload

服务端

firewall-cmd --list-all

查看默认域里全部配置信息

在这里插入图片描述

firewall-cmd --permanent --zone=public --add-service=dns

添加 public 域 dns 服务

firewall-cmd --reload

在这里插入图片描述

firewall-cmd --list-all

在这里插入图片描述

firewall-cmd --permanent --zone=public --remove-service=dns

移除 public 域 dns 服务

firewall-cmd --reload

在这里插入图片描述

firewall-cmd --list-all

在这里插入图片描述

firewall-cmd --permanent --zone=public --list-ports

firewall-cmd --permanent --zone=public --add-port=8080/tcp

firewall-cmd --permanent --zone=public --list-ports

firewall-cmd --reload

firewall-cmd --permanent --zone=public --list-ports

在这里插入图片描述

firewall-cmd --permanent --zone=public --remove-port=8080/tcp

firewall-cmd --permanent --zone=public --list-ports

firewall-cmd --reload

firewall-cmd --permanent --zone=public --list-ports

在这里插入图片描述

firewall-cmd --list-all

查看有 ssh 服务

firewall-cmd --permanent --remove-service=ssh

移除 ssh 服务

firewall-cmd --reload

在这里插入图片描述

firewall-cmd --list-all

在这里插入图片描述

ssh root172.25.254.230

防火墙 ssh 服务未关闭之前连接成功

irewall-cmd --permanent --remove-service=ssh

firewall-cmd --reload

当我们移除 ssh 服务并且使用 reload 后,已连接的 ssh 服务不会断开,只会在下次生效

172.25.254.230 端 df 命令正常使用

在这里插入图片描述

firewall-cmd --complete-reload

在这里插入图片描述

172.25.254.230 端 命令行已被停止使用(命令行卡住,无法正常使用)

在这里插入图片描述

拒绝访问

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.250 -p tcp --dport 22 -j REJECT

防火墙规则:172.25.254.250主机 禁止通过 ssh 22 端口 远程连接本机

firewall-cmd --reload

在这里插入图片描述

地址伪装

双网卡主机端

sysctl -a | grep net.ipv4.ip_forward

查看内核路由功能是否开启

net.ipv4.ip_forward=1

内核路由功能已开启

net.ipv4.ip_forward=0

未开启内核路由功能

vim /etc/sysctl.conf

net.ipv4.ip_forward=1

sysctl -a | grep net.ipv4.ip_forward

再次查看

net.ipv4.ip_forward=1

内核路由功能已开启

firewall-cmd --permanent --add-masquerade

firewall-cmd --reload

firewall-cmd --list-all

开启防火墙地址伪装功能

在这里插入图片描述

测试端

ifconfig

在这里插入图片描述

ping 192.168.0.130

ping 双网卡主机

网络可达

在这里插入图片描述

ping 172.25.254.30

网络不可达

不在一个广播域

在这里插入图片描述

编辑网卡配置文件

GATEWAY

172.25.254.130192.168.0.130

添加网关:双网卡主机任意一个 ip 地址

systemctl restart network

在这里插入图片描述

ping 192.168.0.130

网络可达

在这里插入图片描述

ping 172.25.254.30

网络可达

在这里插入图片描述

双网卡主机端

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.30

双网卡主机设置地址转换功能

任何 ip 远程登录本机 端口 22 号 sshd 服务都将被连接到 ip 172.25.254.30 主机

firewall-cmd --reload

在这里插入图片描述

测试端

ssh root@192.168.0.130

这时候,我们远程连接的真实 ip 是172.25.254.30 主机

需要认证密码为 172.25.254.30 主机的 root 密码

当我们输入正确密码进入后,可以看到本机 ip 为 172.25.254.30

在这里插入图片描述

w -i

查看到来源 ip 是172.25.254.130 主机而不是172.25.254.230 主机

在这里插入图片描述

张宇凯
关注
专栏目录
Linux系统firewall-cmd 命令详解.docx
02-07
Linux 系统 firewall-cmd 命令详解 firewall-cmdfirewalld 的字符界面管理工具,firewalld 是 CentOS 7 的一大特性。firewalld 最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone...
XFwall - Firewall Software For Linux-开源
07-11
XFwall 是面向高级用户的 Linux 多发行版专业图形防火墙软件。 该软件已被私营和政府公司采用。 XFwall 可以与客户端、服务器和(主要)网关机器一起使用。
firewall防火墙命令行操作这么简单,你不来看一看吗
weixin_57228276的博客
11-05 553
【代码】firewall防火墙命令行操作这么简单,你不来看一看吗。
firewalld 操作指令
Stars.Sky 的博客
06-15 4798
firewall-cmd 操作指令。
[Linux防火墙]一文学会防火墙概念及常用命令
喜欢水星记的博客
05-13 742
防火墙是Linux重要应用,一文概括Linux防火墙常用命令
firewalld
weixin_44575682的博客
02-29 2382
firewalld 防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。现在大部分的系统 默认都安装了firewalld防火墙工具,及在工作中会经常用到。为了防止很多时候忘记如何配置防火墙,故对下面的一些简单的 命令进行记录。
防火墙命令
qq_40679463的博客
01-06 320
防火墙命令
服务器安全设置Centos7 防火墙firewall与iptables
网站安全专家
06-27 2134
一.>>>>>>启用centos7 iptables防火墙Centos7 防火墙firewall设置方法我们Sinesafe在处理客户服务器Linux Centos7 64位系统里配置防火墙安全设置需要选择2种方案其中之一,最后选择了iptables防火墙。因为在Centos 7版本里默认的防火墙是firewall,所以首先用firewall防火墙的话,下面就是...
linux-firewall-java.rar_firewall_firewall linux_linux_防火墙_防火墙系统
07-14
基于linux操作系统,使用Java语言编程实现防火墙功能。
centos7防火墙基本操作命令_linux-order-firewall.zip
最新发布
09-17
centos7防火墙基本操作命令_linux-order-firewall
Linux 服务管理-firewall-CSDN博客.pdf
05-06
Linux 服务管理-firewall-CSDN博客.pdf
Docker部署mysql远程连接 解决2003
​​
10-17 5211
连接MySQL 这里我使用navicat远程连接,连接MySQL前需要防火墙开放端口或者关闭防火墙。 开放端口 firewall-cmd --add-port=3306/tcp --permanent // --permanent 永久生效,没有此参数重启后失效 firewall-cmd --reload // 重新载入 关闭防火墙 systemctl stop firewalld ...
Linux下防火墙设置
bittersweet0324的博客
05-04 2286
Firewalld概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewall-con
CentOS 7 firewalld 配置详解 (转)
swj9099的博客
04-26 609
1.在CentOS 7里有几种防火墙共存:firewalld、iptables、ebtables。 默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。 而iptables里默认是每个服务是允许,需要拒绝的才去限制。 f...
防火墙firewall-cmd用法
weixin_49278803的博客
04-03 2062
注:**-permanent参数表示永久生效设置,如果没有指定-zone参数,则加入默认区域。1、查看防火墙开放的所有端口。7、查看防火墙默认的域。3、查看端口是否开启。4、重新载入防火规则。
firewall-cmd命令详解
热门推荐
u014398490的博客
07-17 1万+
近期新上一个项目,环境是Centos7,以前的iptables的经验没用了。把firewalld研究了下,粗略记录一下把。 常用命令: firewall-cmd --reload firewall-cmd --complete-reload 和上面的意思差不多,但是不会维持当前连接信息。比如,用ssh22登陆,如果不小心把ssh 22关掉了,用reload不会把当前的连接杀死。但是用 --c...
firewall-cmd操作命令
ydZ157的博客
07-23 2751
# 开启防火墙 systemctl start firewalld.service # 防火墙开机启动 systemctl enable firewalld.service # 关闭防火墙 systemctl stop firewalld.service # 查看防火墙状态 firewall-cmd --state # 查看现有的规则 iptables -nL firewall-cmd --zone=public --list-ports # 重载防火墙配置 firewal.
防火墙:firewall-cmd命令
Linux
11-25 1万+
参考链接: https://wangchujiang.com/linux-command/c/firewall-cmd.html 查看防火墙状态:firewall-cmd --state: [root@localhost ~]# firewall-cmd --state running [root@localhost ~]# 查看防火墙:firewall-cmd --list-all [root@localhost ~]# firewall-cmd --list-all public (active
firewall-cmd 的常用命令使用
weixin_34261415的博客
09-20 203
1,启用端口 命令: $firewall-cmd[--zone=<zone>]--add-port=<port>[-<port>]/<protocol>[--timeout=<seconds>] 示例: $firewall-cmd--add-port=18080/tcp 2...
安装Linux firewall-cmd
08-10
要安装Linux firewall-cmd,您需要执行以下步骤: 1. 确保您的系统是基于CentOS/RHEL 7,并且已启用防火墙服务firewalld。 2. 使用以下命令安装防火墙管理工具firewall-cmd: ``` yum install firewalld ``` 3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值