網站首頁 編程語言 正文
引言
Firewalld 服務是紅帽 RHEL7 系統中默認的防火墻管理工具,特點是擁有運行時配置與永久配置選項且能夠支持動態更新以及 "zone" 的區域功能概念,使用圖形化工具 firewall-config 或文本管理工具 firewall-cmd,下面實驗中會講到~
區域概念與作用
防火墻的網絡區域定義了網絡連接的可信等級,我們可以根據不同場景來調用不同的 firewalld 區域,區域規則有:
| 區域 | 默認規則策略 |
|---|---|
| trusted | 允許所有的數據包。 |
| home | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh,mdns,ipp-client,samba-client 與 dhcpv6-client 服務則允許。 |
| internal | 等同于 home 區域 |
| work | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh,ipp-client 與 dhcpv6-client 服務則允許。 |
| public | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh,dhcpv6-client 服務則允許。 |
| external | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh 服務則允許。 |
| dmz | 拒絕流入的數據包,除非與輸出流量數據包相關或是 ssh 服務則允許。 |
| block | 拒絕流入的數據包,除非與輸出流量數據包相關。 |
| drop | 拒絕流入的數據包,除非與輸出流量數據包相關。 |
簡單來講就是為用戶預先準備了幾套規則集合,我們可以根據場景的不同選擇合適的規矩集合,而默認區域是 public。
字符管理工具
如果想要更高效的配置妥當防火墻,那么就一定要學習字符管理工具 firewall-cmd 命令, 命令參數有:
| 參數 | 作用 |
|---|---|
| --get-default-zone | 查詢默認的區域名稱。 |
| --set-default-zone=<區域名稱> | 設置默認的區域,永久生效。 |
| --get-zones | 顯示可用的區域。 |
| --get-services | 顯示預先定義的服務。 |
| --get-active-zones | 顯示當前正在使用的區域與網卡名稱。 |
| --add-source= | 將來源于此 IP 或子網的流量導向指定的區域。 |
| --remove-source= | 不再將此 IP 或子網的流量導向某個指定區域。 |
| --add-interface=<網卡名稱> | 將來自于該網卡的所有流量都導向某個指定區域。 |
| --change-interface=<網卡名稱> | 將某個網卡與區域做關聯。 |
| --list-all | 顯示當前區域的網卡配置參數,資源,端口以及服務等信息。 |
| --list-all-zones | 顯示所有區域的網卡配置參數,資源,端口以及服務等信息。 |
| --add-service=<服務名> | 設置默認區域允許該服務的流量。 |
| --add-port=<端口號/協議> | 允許默認區域允許該端口的流量。 |
| --remove-service=<服務名> | 設置默認區域不再允許該服務的流量。 |
| --remove-port=<端口號/協議> | 允許默認區域不再允許該端口的流量。 |
| --reload | 讓 “永久生效” 的配置規則立即生效,覆蓋當前的。 |
特別需要注意的是?firewalld 服務有兩份規則策略配置記錄,必需要能夠區分:
- RunTime: 當前正在生效的。
- Permanent: 永久生效的。
當下面實驗修改的是永久生效的策略記錄時,必須執行 "--reload" 參數后才能立即生效,否則要重啟后再生效。
查看當前的區域:
$ firewall-cmd --get-default-zone public
查詢 eno16777728 網卡的區域:
$ firewall-cmd --get-zone-of-interface=eno16777728 public
在 public 中分別查詢 ssh 與 http 服務是否被允許:
$ firewall-cmd --zone=public --query-service=ssh yes $ firewall-cmd --zone=public --query-service=http no
設置默認規則為 dmz:
$ firewall-cmd --set-default-zone=dmz
讓 “永久生效” 的配置文件立即生效:
$ firewall-cmd --reload success
啟動/關閉應急狀況模式,阻斷所有網絡連接:
應急狀況模式啟動后會禁止所有的網絡連接,一切服務的請求也都會被拒絕,當心,請慎用。
$ firewall-cmd --panic-on success $ firewall-cmd --panic-off success
如果您已經能夠完全理解上面練習中 firewall-cmd 命令的參數作用,不妨來嘗試完成下面的模擬訓練吧:
模擬訓練 1
允許 https 服務流量通過 public 區域,要求立即生效且永久有效:
方法一: 分別設置當前生效與永久有效的規則記錄:
$ firewall-cmd --zone=public --add-service=https $ firewall-cmd --permanent --zone=public --add-service=https
方法二: 設置永久生效的規則記錄后讀取記錄:
$ firewall-cmd --permanent --zone=public --add-service=https $ firewall-cmd --reload
模擬訓練 2
不再允許 http 服務流量通過 public 區域,要求立即生效且永久生效:
$ firewall-cmd --permanent --zone=public --remove-service=http success
使用參數 "--reload" 讓永久生效的配置文件立即生效:
$ firewall-cmd --reload success
模擬訓練 3
允許 8080 與 8081 端口流量通過 public 區域,立即生效且永久生效:
$ firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp $ firewall-cmd --reload
模擬訓練 4
查看模擬實驗 C 中要求加入的端口操作是否成功:
$ firewall-cmd --zone=public --list-ports 8080-8081/tcp $ firewall-cmd --permanent --zone=public --list-ports 8080-8081/tcp
模擬實驗 5
將 eno16777728 網卡的區域修改為 external,重啟后生效:
$ firewall-cmd --permanent --zone=external --change-interface=eno16777728 success $ firewall-cmd --get-zone-of-interface=eno16777728 public
端口轉發功能可以將原本到某端口的數據包轉發到其他端口:
firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源端口號>:proto=<協議>:toport=<目標端口號>:toaddr=<目標 IP 地址>
將訪問 192.168.10.10 主機 888 端口的請求轉發至 22 端口:
$ firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 success
使用客戶機的 ssh 命令訪問 192.168.10.10 主機的 888 端口:
$ ssh -p 888 192.168.10.10 The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established. ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts. root@192.168.10.10's password: Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10
再次提示: 注意立即生效與重啟后依然生效的差別,千萬不要修改錯了。
模擬實驗 6
設置富規則,拒絕 192.168.10.0/24 網段的用戶訪問 ssh 服務:
firewalld 服務的富規則用于對服務、端口、協議進行更詳細的配置,規則的優先級最高。
$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"source address="192.168.10.0/24"service name="ssh"reject" success
原文鏈接:https://segmentfault.com/a/1190000008615953
相關推薦
- 2022-09-20 Winform使用FTP實現自動更新_C#教程
- 2022-06-27 Python使用re模塊實現okenizer(表達式分詞器)_python
- 2022-04-21 Python的索引與切片原來該這樣理解_python
- 2022-04-27 bash?shell獲取當前腳本的絕對路徑(pwd/readlink)_linux shell
- 2023-01-13 C#實現動態圖標閃爍顯示的示例代碼_C#教程
- 2023-03-30 C/C++經典楊輝三角問題解決方案_C 語言
- 2022-03-15 Spring Boot 是如何控制版本和自動配置的
- 2022-07-11 UVM中設置打印信息的冗余度閾值和重載打印信息的嚴重性
- 最近更新
-
- window11 系統安裝 yarn
- 超詳細win安裝深度學習環境2025年最新版(
- Linux 中運行的top命令 怎么退出?
- MySQL 中decimal 的用法? 存儲小
- get 、set 、toString 方法的使
- @Resource和 @Autowired注解
- Java基礎操作-- 運算符,流程控制 Flo
- 1. Int 和Integer 的區別,Jav
- spring @retryable不生效的一種
- Spring Security之認證信息的處理
- Spring Security之認證過濾器
- Spring Security概述快速入門
- Spring Security之配置體系
- 【SpringBoot】SpringCache
- Spring Security之基于方法配置權
- redisson分布式鎖中waittime的設
- maven:解決release錯誤:Artif
- restTemplate使用總結
- Spring Security之安全異常處理
- MybatisPlus優雅實現加密?
- Spring ioc容器與Bean的生命周期。
- 【探索SpringCloud】服務發現-Nac
- Spring Security之基于HttpR
- Redis 底層數據結構-簡單動態字符串(SD
- arthas操作spring被代理目標對象命令
- Spring中的單例模式應用詳解
- 聊聊消息隊列,發送消息的4種方式
- bootspring第三方資源配置管理
- GIT同步修改后的遠程分支
提供CDN加速