3-unit10 firewalld

#######网络端口安全###########

本单元涵盖的主题:

**管理防火墙

**管理防火墙规则

**防火墙端口伪装和转发

**管理Selinux端口标签

Firewalld概述

** 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

** 系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。

**firewalld和iptables service 之间最本质的不同是:

iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.

使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

基于用户对网络中设备和交通所给与的信任程度,防火墙可以用来将网络分割成不同的区域。NetworkManager通知firewalld一个接口归属某个区域,新加入的接口被分配到默认区域。

1.配置防火墙

## firewall-cmd --state    ##查看firewalld状态

## firewall-cmd --get-active-zones    ##查看当前活动的区域,并附带一个目前分配给它们的接口列表 
## firewall-cmd --get-default-zone   ##查看默认区域 
## firewall-cmd --get-zones    ##查看所有可用区域

## firewall-cmd --zone=public --list-all    ##列出指定域public的所有设置

## firewall-cmd --get-services    ##列出所有预设服务

## firewall-cmd --list-all-zones    ##列出所有区域的设置

## firewall-cmd --set-default-zone=trusted    ##设置默认区域

## firewall-cmd --permanent --zone=trusted --add-source=172.25.254.36    ##设置网络地址到指定的区域

## firewall-cmd --reload   ##重载防火墙
## firewall-cmd --remove-interface=eth0 --zone=public    ##从public区域移除eth0端口

## firewall-cmd --add-interface=eth0 --zone=trusted    ##添加eth0端口到trusted

## firewall-cmd --add-service=http --zone=public    ##添加http服务

## firewall-cmd --list-ports    ##列出端口

## firewall-cmd --add=port=53/tcp    ##添加53端口

## firewall-cmd --permanent --remove-service=ssh    ##永久删除ssh服务

## firewall-cmd --complete-reload    ##重新加载服务,中断服务

## firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.36.11 -p tcp--dport 22 -j ACCEPT    ##设置除了172.25.36.11主机22端口不可访问,其他主机22端口都可以访问

端口转发:
## firewall-cmd --zone=public--add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.62    ##端口转发    
## firewall-cmd --add-masquerade        ##添加masquerade

测试:

伪装:

## firewall-cmd --permanent --add-masquerade

## firewall-cmd --permanent  --add-rich-rule=‘rule family=ipv4 source addres=172.25.0.0/24 masquerade‘

时间: 2024-11-05 17:24:14

3-unit10 firewalld的相关文章

firewalld防火墙

需求目的:能正确熟练的掌握firewalld防火墙的配置 能有什么样的效果:能在实际生产过程中熟练的配置防火墙策略,灵活运用于各种实际的生产环境.         理论知识点的描述:1.rhel7默认使用firewalld作为防火墙,管理工具是firewall-cmd,是包过滤机制,底层的调用命令仍然是iptables.                           2.rhel7中有几种防火墙共存:firewall,iptables,ebtables,因为这几种daemon是冲突的,所以

Linux的防火墙firewalld

一.firewalld 动态防火墙后台程序提供了一个动态管理的防火墙,用以支持网络"zone",以分配对一个网络及其相关链接和界面一定程度上的信任.它具备对IPV4和 IPV6防火墙设置的支持.它支持以太网桥,并有分离运行时间和永久性配置选择.它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口. 系统提供了图像化的配置工具firewall-config.system-config-firewall,提供命令行客户端firewall- cmd,用于配置firewalld永久性运行

CentOS7使用firewalld打开关闭防火墙与端口

1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体. 启动一个服务:systemctl start firewalld.service关闭一个服务

【Firewalld(Iptables)】

****************************************                *************Firewalld(iptables)********                    **************************************** 一,firewalld(动态防火墙后台程序)    1.(重点)相比iptables,firewalld更加只能化,用以支持网络"zones",以及分配对一个网络及其相关连接和

centos7的防火墙firewalld

centos7的防火墙引入了新的防火墙firewalld,和以前的iptables完全不同,不过我觉得用起来还是新的好. 新安装的系统默认就启用了新防火墙,老的虽然还有,但是需要把新的停了,才能启动. 新系统安装完了,默认就开启了SSH协议,和ping(ICMP)协议. 据介绍,有图显示,其实只是对操作界面进行了更换,内核的操作还是用iptables去netfilter 引入了防火墙真正的概念,zone(区域),然后把网络接口归属于zone,这些都是真正防火墙的概念. firewall-conf

firewalld 使用简介

学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不会用,索性直接搬官方文档,学习firewalld了,好像比iptables要简单点了. 官方文档地址:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewall

CentOS7防火墙管理firewalld

学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要简单点了. 官方文档地址:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewal

【Linux笔记】CentOS 7 systemctl、firewalld

一.CentOS7 systemctl 在CentOS7中,进行chkconfig命令操作时会发现有类似“systemctl.....”的提示,systemctl可以简单实现service和chkconfig的结合,这样通过一个命令就可以实现两个命令的功能. systemctl命令的基本操作格式是: systemctl [OPTIONS...] {COMMAND}... 以nginx服务为例,实现停止.启动.重启的动作如下: systemctl stop nginx.service system

firewalld火墙服务

一.firewalld简介 动态防火墙后台程序提供了一个动态管理的防火墙,用以支持网络"zone",以分配对一个网络及其相关链接和界面一定程度上的信任.它具备对IPV4和 IPV6防火墙设置的支持.它支持以太网桥,并有分离运行时间和永久性配置选择.它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口. 系统提供了图像化的配置工具firewall-config.system-config-firewall,提供命令行客户端firewall- cmd,用于配置firewalld永久性

firewalld

##############################firewalld########################### 一 Firewalld概述 1. 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 " zones" ,以分配对一个网络及其相关链接和界面一定程度的信任.它具备对 IP v4 和 IP v6 防火墙设置的支持.它支持以太网桥,并有分离运行时间和永久性配置选择.它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口.2