CentOS7 OpenVPN Firewalld防火墙配置(1)

接口处于Public区域,网卡名称为ens33

firewall-cmd --list-all查看所有信息

public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 10.8.0.0
  services: dhcpv6-client ftp openvpn ssh
  ports: 9002/tcp 1194/udp 1194/tcp 9005/tcp 9004/tcp 9001/tcp 9000/tcp 9003/tcp
  protocols:
  masquerade: yes
  forward-ports:
  sourceports:
  icmp-blocks:
  rich rules:

Openvpn为VPN的客户端分配地址为10.8.0.x 子网掩码为255.255.255.0

  1. 首先将网卡加入所对应的区域(Public)
  2. 添加服务-OpenVPN          firewall-cmd --add-service=openvpn --permanent
  3. 添加端口-1194/tcp和1194/udp(默认vpn端口为1194)

    firewall-cmd --add-port=1194/tcp --permanent

    firewall-cmd --add-port=1194/ucp --permanent

    #执行两次分别为tcp和udp

  4. 添加源地址-源地址为:你的OpenVPN为VPN客户端所分配的地址段 10.8.0.0(默认openvpn配置文件)

    firewall-cmd --add-source=10.8.0.0 --permanent     #添加源IP地址,也就是openvpn要分给客户端的网段

    firewall-cmd --query-source=10.8.0.0 --permanent  #将该源IP地址绑定在public和这块网卡上

  5. 开启伪装(NAT)-masquerade

    firewall-cmd --add-masquerade --permanent

    firewall-cmd --query-masquerade --permanent

    #为了让分配的网段NAT出去并ping通内网

  6. 一定要开启转发ip_forward!(/proc/sys/net/ipv4/ip_forward 值为1)
  7. vi /etc/sysctl.conf
  8. sysctl -p
时间: 2024-10-06 09:38:26

CentOS7 OpenVPN Firewalld防火墙配置(1)的相关文章

CentOS7下Firewall防火墙配置用法详解

官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1 修改防火墙配置文件之前,需要对之前防火墙做好备份 重启防火墙后,需要确认防火墙状态和防火墙规则是否加载,若重启失败或规则加载失败,则所有请求都会被防火墙拦截 1 2 3 4 5 6 7

centos 7的firewalld防火墙配置IP伪装和端口转发(内附配置案例)

IP地址伪装和端口转发都属于NAT(网络地址转换). 地址伪装和端口转发的区别如下: IP地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包源地址更改为其NAT设备自己的接口地址.当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由.地址伪装可以实现局域网多个地址共享单一公网地址上网.类似于NAT技术中的端口多路复用(PAT).IP地址伪装仅支持ipv4,不支持ipv6. 端口转发:也可以称之为目的地址转换或端口映射.通过端口转发,将指定IP地址及端

保证Linux系统安全之firewalld防火墙配置地址伪装和端口转发详解

通过保证Linux系统安全之firewalld防火墙入门详解认识Linux系统firewalld防火墙,并可以编写一些相对简单一些的防火墙规则.Linux防火墙可以充当路由器(网关).路由器上的NAT技术,同样可以通过Linux防火墙来实现.地址伪装和端口转发说白了就是路由器中的NAT技术. 一.地址伪装和端口转发简介 firewalld防火墙支持两种类型的NAT: (1)地址伪装 地址伪装:基于源地址进行转换,通过地址伪装,NAT设备将经过设备的数据包转发到指定接收方,同时将通过的数据包的源地

centos7之firewalld防火墙的配置与使用

firewalld是centos7开始提供的管理防火墙工具,提供了一个动态管理的防火墙,当然低层仍然调用的是 netfilter . 一.区域(zone)firewalld将网卡对应到不同的区域(zone),zone默认共有9个,block,dmz,drop,external,home,internal,public,trusted,work. 二.服务(services)/usr/lib/firewalld/services目录中,保存了另一类配置文件,每个文件对应一项具体的网络服务,如 ss

Centos7 iptables firewalld防火墙与selinux配置

一.iptables防火墙 1.基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptables on 2.开启80端口 vim /etc/sysconfig/iptables

CentOS7 firewalld防火墙配置

[[email protected] ~]# firewall-cmd --version       //查看版本0.3.9 [[email protected] ~]# firewall-cmd --state        //查看状态running[[email protected] ~]# [[email protected] ~]# firewall-cmd --zone=public --list-ports  //查看所有打开的端口445/tcp 443/tcp 1080/tcp

CentOS7中firewall防火墙详解和配置

官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1 cd /usr/lib/firewalld/services 目录中存放定义好的网络服务和端口参数,系统参数,不能修改. cd /etc/firewalld/services/ syst

firewalld防火墙-萌贝树母婴不存在骗子

firewalld防火墙-萌贝树母婴不存在骗子,IP地址伪装: 1.通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包2.源地址更改为其NAT设备自己的接口地址.当返回的数据包到达时,会将目的地址修改3.为原始主机的地址并做路由.地址伪装可以实现局域网多个地址共享单一公网地址上网. 4.类似于NAT技术中的端口多路复用(PAT).IP地址伪装仅支持ipv4,不支持ipv6. 端口转发: 也可以称之为目的地址转换或端口映射.通过端口转发,将指定IP地址及端口的流量转发到相

centos7 firewall-cmd 理解多区域配置中的 firewalld 防火墙

原文:https://www.linuxidc.com/Linux/2017-11/148795.htm 现在的新闻里充斥着服务器被攻击和数据失窃事件.对于一个阅读过安全公告博客的人来说,通过访问错误配置的服务器,利用最新暴露的安全漏洞或通过窃取的密码来获得系统控制权,并不是件多困难的事情.在一个典型的 Linux 服务器上的任何互联网服务都可能存在漏洞,允许未经授权的系统访问. 因为在应用程序层面上强化系统以防范任何可能的威胁是不可能做到的事情,而防火墙可以通过限制对系统的访问提供了安全保证.