Firewalld防火墙(二)

最新推荐文章于 2023-03-01 15:51:49 发布
置顶 最新推荐文章于 2023-03-01 15:51:49 发布
阅读量329 收藏
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouchuan152/article/details/94974526
版权

Firewalld防火墙

一.Firewalld高级配置:

1.IP伪装与端口转发

随着IPv4地址缺乏地址的分配不均匀,虽然原有的IPv4地址空间基础上划分出来三段地址空间:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。虽然这些地址可以在企业或者公司内部重复使用但是不能用于互联网因为这三个范围的地址是无法Internet上路由的。

于是ANT(网络地址转换)技术便产生了,当用户数据包通过NAT设备时,NAT设备将原地址替换为公网IP地址,而返回的数据包就可以被路由。NAT技术一般是在企业边界路由器或防火墙上来配置的。

IP地址伪装:

地址伪装(masquerade)通过地址伪装,NAT设备将通过设备的包转发到制定接受方,同时通过的数据包的源地址更改为自己外网接口上的地址。返回的数据包到达时,会将目的地址修改为原始主机的地址做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPv4,IPv6不支持的。

端口转发

端口转发(forward-port):也称为目的地址转换或端口映射。通过端口转发,将指定IP地址和端口的流量转发相同的计算机上的不同端口,或不同计算机上的端口。企业内网的服务器一般都采用私网地址,可以通过端口转发将使用网地址的服务器发布到公网,以便让互联网用户访问

2.Firewalld中理解直接规则:

Firewalld提供“direct interface”(直接接口),它允许管理员手动编写的iptables和ebatbles规则插入firewalld管理的区域中,适用于应用程序,而不是用户。

注:如iptables不太熟,不建议使用直接借口,可能会无意中导致防火墙被入侵。Firewalld保持对所增加项目的追踪,所以它还能质询firewalld和发现使用直接端口模式的程序造成更改。

3.使用富语言:

Firewalld的富语言(rich language)提供了一种不需要了解iptables语的通过高级语言配置复杂IPv4IPv6防火墙规则的机制为管理员提供了一种表达语言,通过这种语言可以表达firewalld的基本语法中未涵盖的自定义防火墙规则。

富规则可用于表达基本的允许/拒绝规则。也可以用于配置记录(面向syslog和auditd)以及端口转发,伪装和速率限制

  1. 规则排序:

一旦向某个区域(一般是指防火墙)中添加了多个规则,规则的排序会在很大程度上影响防火墙的行为对于所有的区域,区域内的规则的基本排序是相同的。如果区域中的任何规则与包均不匹配,通常会拒绝该包,但是区域可能具有不用的默认值列如可信任域(trsted)将接收任何不匹配的包,此外,在匹配某个记录规则后,将继续正常处理包。

  1. 测试和调试

为了便于测试和调试,几乎所有的规则都可以与超时一起添加到运行时配置。包含超时的规则添加到防火墙时,计时器便针对该规则开始倒计时一旦规则的计时器达到0秒,便从运行时配置中删除该规则。

  1. 理解规则命令:

Firewall-cmd有四个选项可以用于处理富规则,所有这些选项都可以常规的

—permanent或—zone=<ZONE>选项组合使用

--add-rich-rule=‘RULE’向指定区域中添加RULE,如果没有指定区域则为默认区域

--add-remove-rich-rule=‘RULE’指定区域中删除RULE

区别在于一个是add添加一个remove删除命令都一样。

--list-rich-rules输出指定区域的所有富规则如果不指定区域则是输出默认规则。

规则的语法解释:

source:限制源IP地址,源地址可以是一个IPv4IPv6地址或者一个网络地址段。

destination限制目标地址,目标地址使用跟源地址相同语法。

element要素,该只能是以下几种要素类型之一service port protocol

icmp-block masquerade和forward-port

log:注册有内核日志的连接请求到规则中

andit:审核,审核该类型可以是accept rejectdrop中的一种但不能在audit命令后指定,因为审核类型会从规则动作中自动收集。

accept|reject|drop可以是这三个中的其中一个行为。Accept为允许reject为拒绝,drop为丢弃

规则案列

拒绝来自public区域中IP地址192.168.1.1的所有流量:

丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包:

192.168.1.0/24网段中,接收端口1~82的所有TCP包:

接收work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog

在接下来的5min内,拒绝从默认区域中的子网192.168.1.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,而且每小时最多一条消息。

将源192.168.1.1这个IP地址加入白名单,以允许来自这个原地址的所有连接:

以上是富规则常见配置。

玩IT的川
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
firewalld防火墙
yutao___的博客
11-16 138
firewalld防火墙) 实验要求 网关服务器ip 开启路由功能 内网ip和网关 外网ip和网关 网站服务器ip和网关 内网ping外网和网站服务器 在网站服务器安装apache 修改ssh端口 添加默认区域 允许https服务 添加123端口 删除ssh服务 禁止ping 网关服务器设置默认区域 给网卡32添加区域 35添加区域 查看配置 内网访问网站服务器 修改网关服务器ssh端口 添加123端口 删除ssh服务 禁止ping 互联网测试机ssh登录网关服务器 内网ss
Firewalld防火墙管理(
Minz
06-13 211
一,测试apache服务[root@200 Desktop]# systemctl status firewalld                                 &gt;&gt;&gt;&gt;&gt;&gt;开启防火墙 firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr...
firewalld防火墙
gcc001224的博客
05-13 9410
文章目录 Firewalld
Firewalld 防火墙详解
热门推荐
shenyuanhaojie的博客
09-19 4万+
文章目录1. firewalld 防火墙简介1.1 firewalld 是什么1.2 什么是动态防火墙1.3 firewalld 和 iptables 之间的关系 1. firewalld 防火墙简介 1.1 firewalld 是什么 firewalld 提供了支持 网络 / 防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。 1.2 什么是动态防火墙   我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下 iptables service 管
防火墙简介()——firewalld防火墙
想成功,靠自己
03-19 651
防火墙简介()——firewalld防火墙一、firewalld防火墙简介firewalld 与 iptables 的区别三、firewalld 区域的概念1、firewalld防火墙9个区域2、区域介绍四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1、使用firewall-cmd 命令行工具2、使用firewall-config 图形工具3、编写/etc/firewalld/中的配置文件七、区域管理八、服务管理九、端口管理 一
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
十章:Firewalld防火墙应用1
08-08
十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
十章:Firewalld防火墙应用.pdf
08-08
十章:Firewalld防火墙应用.pdf
ELK日志分析系统
玩IT的川
07-08 2万+
ELK日志分析系统 介绍: 顾名思义ELK是由ElasticsearchLogstash Kibana三大组件构成的一个基于web页面的日志分析工具。 日志分析是运维工程师解决系统故障,发现问题的主要手段。日志包含多种类型,包括程序日志,系统日志以及安全日志等。通过对日志分析,预发故障的发生,又可以在故障发生时,寻找到蛛丝马迹,快速定位故障点。及时解决。 组件结构: Elasticse...
linux查找文件夹
玩IT的川
07-02 1万+
liunx查找文件夹命令: linux查找根目录下文件夹名称叫www.buruyouni.com的目录地址 find / -name www.buruyouni.com -d 1 linux查找/var/www/目录下叫index.php的文件 find /var/www/ -name index.php 1 查找根目录下所有以".sh"结尾的文件 find / -name *.sh ...
搭建Keepalived双机热备
玩IT的川
07-07 1万+
Keepalived双机热备: 介绍: Keeplived软件起初是专门为LVS负载均衡软件设计的,用来管理并监控LVS群集中各节点的状态,后来又加入了可以实施高可用的VRRP功能。因此keepalived除了能够管理LVS软件外,还可以作为其他服务(例如:NginxHaproxy MySQL等)的高可用解决方案软件。 Keepalived软件主要是通过VRRP协议实现高可用功能的,VRR...
最全的tcpdump使用详解
玩IT的川
03-01 4177
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
Linux搭建基于域名的虚拟主机
玩IT的川
07-01 3805
搭建基于域名的虚拟主机1、首先为两个网站搭建dns服务器,并新建区域,分别为:www.benet.com和www.accp.com。 1)修改配置文件 2)修改数据文件 3)重启dns服务 2、搭建两个网站 1)准备网页 2)打开虚拟主机配置文件,修改配置文件 添加以下内容 3)修改主配置文件,启用虚拟主机 Vi /usr/local/httpd/conf/httpd.conf...
Linux-SSH远程访问及控制
玩IT的川
07-04 3205
远程访问及控制 linux运维管理的时候,一般都是通过远程方式管理,本章主要介绍安全的远程管理SSH的使用。 服务监听选项 Vim /etc/ssh/sshd_config (注意彩色部分要修改) Service sshd reload重新加载服务才能生效 用户登录控制 通常应禁止root用户或密码为空的用户登录,另外,可以限制登录验证的时间(默认为2分钟)及...
Linux安装web服务器
玩IT的川
07-01 3163
1、卸载原来已经存在的httpd 2、插入光盘:Benet 5.0所需软件\linux安全及高级应用\rhel-server-6.5-x86_64-dvd.iso 3、源码编译安装httpd,下图为: 1)解包 2)配置 4、编译和安装 下图为安装编译和安装过程中的状态,这里将会等待几分钟,耐心等待… 5、确认安装结果,如果出现下图所示,表示安装成功了 6. 优化执行路径 7...
部署tomcat及负载均衡-Tomcat+Nginx
玩IT的川
07-02 1460
理论部分: 之前我们学习解析PHP语言所开发的动态网站,而还有许多动态网站是由JAVA语言所开发,那么我们将如何进行解析呢?这就用到了我们今天的所需要掌握的tomcat。 Tomcat最初由Sun的软件架构师詹姆斯.邓肯.戴维森开发的,后来帮助其改为开源项目,并有Sun贡献给Apache软件基金会。T omcat的log是一个吉祥物公猫。 Tomcat一...
Nginx网站服务(一)
玩IT的川
07-06 1425
理论部分: cd /opt mkdir app adwnload logs work backup app : 代码目录 download : 网上下载的源码包等 logs : 自定义日志 work : shell 脚本 backup : 默认配置文件的备份 关闭 iptables规则 iptables -L : 查看是否有 iptables -F : 关闭iptables 规则 ...
firewalld防火墙命令
最新发布
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start firewalld ``` 2. 停止 firewalld 服务: ``` sudo systemctl stop firewalld ``` 3. 设置 firewalld 为开机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值