firewalld 防火墙

firewall

firewall引进了区域的概念,区域即一个功能独立的模块

【九大区域】

public:默认开机区域,公共区域 只有设置为允许的通信可以通过

trusted:信任区域   允许所有通信通过

drop:丢弃区域   拒绝所有通信

block:类似于drop   拒绝所有外部通信,允许内部通信

external:nat区域   开启nat代理和端口映射

dmz:非军事区 允许外部访问的服务器

work:工作区域

home:家庭区域

internal:内部区域

工作机制:审核网卡所在的区域

实验拓扑图:客户端A:202.0.0.1 ------ Re0:202.0.0.2;Re1:192.168.10.1 ------- B:192.168.10.2

实验:

1、安装软件包:

firewalld、firewall-config、system-config-firewall-base

2、重启服务

7.0版,将firewall启动,默认iptables是关闭的

systemctl restart firewall

systemctl enable firewall

firewall规则:

【查看】

firewall-cmd --state 查询firewall的状态=systemctl status firewall

firewall-cmd --get-default-zone 查看默认区域

firewall-cmd --list-all 查看默认区域的所有规则

firewall-cmd --get-zones 查看所有区域

firewall-cmd --get-services 查看所有支持的服务

firewall-cmd --get-zone-of-interface = eno16777736 查看接口所在的区域

firewall-cmd --zone = trusted --list-all 通过查看区域的规则查看网卡所在的位置

firewall-cmd --list-all-zones 查看所有区域的规则

【修改】

firewall-cmd --set-default-zone = trusted 修改默认区域

firewall-cmd --add-service = http 在当前默认区域中添加服务

firewall-cmd --zone = trusted --add-interface = eno16777736 将某个网卡添加到某个区域中,添加之前该网卡处于无区域的状态

firewall-cmd --zone = trusted --change-interface = eno16777736 改变某个接口所在的区域

firewall-cmd --add-port = 80/tcp 指定端口和协议,必须写清是tcp,还是udp

【移除】

firewall-cmd --remove-service = http 在当前区域中移除http

firewall-cmd --zone = trusted --remove-interface = eno16777736 从某个区域中移除网卡,该网卡的状态将变为无区域

< NAT网络地址转换(内访外)>

第一种方式:将默认区域修改到external

firewall-cmd --set-default-zone = external

第二种方式:

因为外网卡代替内网上网,所有将网卡加入到external区域中

firewall-cmd --zone = external --change-interface =  eno16777736

验证:

telnet (B ---> A)

netstat -n  查询通信端口

(外访内)

< 端口映射 >

firewall-cmd --zone = external --add-masquerade 开启端口映射功能

firewall-cmd --zone = external --add-forward-port =(port = 2300):proto = tcp:toport = 23

(: toaddr = 192.168.10.2)

port:在外网卡开启的映射口

proto:指定协议

toproto:内网进行映射的端口

toaddr:指定内网服务器IP地址

若防火墙出问题

1、修改默认区域drop

2、紧急机制开启,拒绝所有外来通信

firewall-cmd --panic-on 开启紧急机制

firewall-cmd --query-panic 查看当前紧急机制的状态

以上所有设置重启服务将全部失效

永久生效,修改配置文件

firewall-cmd --permanent(永久的) --add-service = http

该规则帮助我们修改配置文件,使其永久生效

重启服务生效

systemctl restart firewalld

3、firewall中可以对服务端口和协议进行保护,也可以对通信服务进行保护,对服务设置的保护实质上还是设置的端口保护

服务的配置文件:记录了服务的相关信息,使其协议和端口与服务名相对应

/usr/lib/firewalld/services

例:cd /usr/lib/firewalld/services

ls

发现里面的文件格式都是xxx.xml

例:cat http.xml

<port protocol = "tcp" port = "80">

所以虽然添加的是服务,但还是端口保护。

mysql的端口:3306

Oracle的端口:1521

自定义服务的配置文件

#cd /usr/lib/firewalld/services

#ls

#cp http.xml qq.xml

<description>    </description>

<port protocol = "tcp" port "8000">9

保存退出

重启服务进行加载

systemctl restart firewalld

systemctl status firewalld

7.0后默认开启firewall,iptables自动关闭,但是firewall的底层还是iptables

所有的保护还是要依靠iptables的三个链进行保护

iptables -L

firewall里针对本机的服务的保护,生效给iptables的INPUT链

路由器为转发功能,为了保护子网,将规则生效给iptables的forward链

时间: 2024-10-30 11:52:23

firewalld 防火墙的相关文章

firewalld防火墙

需求目的:能正确熟练的掌握firewalld防火墙的配置 能有什么样的效果:能在实际生产过程中熟练的配置防火墙策略,灵活运用于各种实际的生产环境.         理论知识点的描述:1.rhel7默认使用firewalld作为防火墙,管理工具是firewall-cmd,是包过滤机制,底层的调用命令仍然是iptables.                           2.rhel7中有几种防火墙共存:firewall,iptables,ebtables,因为这几种daemon是冲突的,所以

Centos7 firewalld防火墙学习使用记录

1.firewalld防火墙简介. FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具.它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口. 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启.这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等.而模块的卸载

firewalld防火墙的配置及应用

            防火墙(centos7)的配置及应用 1:防火墙有基本的三类 iptables.firewalld.ip6tables Systemctl   status   {firewalld,iptables,ip6tables}  查看三类的状态,这里主要介绍firewalld防火墙的配置以及基本应用功能 2:firewalld提供支持区域定义网络连接的防火墙 3:拥有运行时配置和永久性配置(临时和永久性配置) 4:之前是静态,现在是动态,不用重新启动防火墙,不用卸载防火墙的模

第8章 Iptables与Firewalld防火墙

章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall-cmd与图形化工具firewall-config. 本章节基于数十个防火墙需求,使用规则策略完整演示对数据包的过滤.SNAT/SDAT技术.端口转发以及负载均衡等实验. 不光光学习iptables命令与firewalld服务,还新增了Tcp_wrappers防火墙服务小节,简单配置即可保证系统与服务的安全. 本章目录结构 [收起] 8.1 了解防火墙管理工具 8.2 Ipta

第7章 Iptables与Firewalld防火墙。

第7章 Iptables与Firewalld防火墙. Chapter7_听较强节奏的音乐能够让您更长时间的投入在学习中. <Linux就该这么学> 00:00/00:00 104:01 204:13 304:12 402:47 502:57 605:39 702:52 803:55 903:59 1003:59 1102:56 1203:44 1303:19 1403:08 章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall

CentOS 7.0 关闭firewalld防火墙指令 及更换Iptables防火墙

CentOS 7.0 关闭firewalld防火墙指令 及更换Iptables防火墙 时间:2014-10-13 19:03:48  作者:哎丫丫  来源:哎丫丫数码网  查看:11761  评论:2 service firewalld stop 1. Disable Firewalld Service. [root@rhel-centos7-tejas-barot-linux ~]# systemctl mask firewalld 2. Stop Firewalld Service. [ro

CentOS firewalld 防火墙操作

Centos 7 开启端口CentOS 7 默认没有使用iptables,所以通过编辑iptables的配置文件来开启80端口是不可以的 CentOS 7 采用了 firewalld 防火墙 如要查询是否开启80端口则: [[email protected] ~]# firewall-cmd --query-port=80/tcp no 下面我们开启80端口: [[email protected] ~]# firewall-cmd --add-port=80/tcpsuccess

iptables 与 firewalld 防火墙

保障数据的安全性是继保障数据的可用性之后最为重要的一项工作.防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用. 1.防火墙管理工具 相较于企业内网,外部的公网环境更加恶劣,罪恶丛生.在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤.防火墙策略可以基于流量的源目地址.端口号.协议.应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃.

iptables -- firewalld防火墙

firewalld防火墙 public:仅允许访问本机的sshd等少数几个服务 trusted:允许任何访问 block:阻塞任何来访请求 drop:丢弃任何来访的数据包 查看安全域 firewall-cmd  --get-default-zone 修改安全域 firewall-cmd  --set-default-zone=trusted 查看规则   firewall-cmd  --list-all  --zone=block 设置规则   firewall-cmd  --permanent

linux firewalld 防火墙简单命令

linux firewalld 防火墙简单命令: firewall-cmd --get-default-zone  #查看当前默认区域 firewall-cmd –-set-default-zone=public  #设置public为默认接口区域 systemctl start firewalld  #启动 systemctl status firewalld  #或者firewall-cmd –state 查看状态 sytemctl disable firewalld  #停止并禁用开机启动