firewalld火墙服务

一.firewalld简介

动态防火墙后台程序提供了一个动态管理的防火墙,用以支持网络“zone”,以分配对一个网络及其相关链接和界面一定程度上的信任。它具备对IPV4和 IPV6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

系统提供了图像化的配置工具firewall-config、system-config-firewall,提供命令行客户端firewall- cmd,用于配置firewalld永久性运行时间的改变:它依次用iptables工具与执行数据包筛选的内核中的Netfilter通信。

firewalld和iptables service之间最本质的不同是:

1)iptables service在/etc/sysconfig/iptables中存储配置,而firewalld将配置存储在/usr/lib/firewalld/和 /etc/firewalld/ 中的各种XML文件里。

2)使用iptables service每一个单独更改意味着清楚所有旧的规则和从 /etc/sysconfig/iptables 里读取所有新的规则,然而使用firewalld却不会创建任何新的规则;仅仅运行规则中的不同之处。此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

二.配置参数

1.firewalld的网络“zone”

firewall-cmd --get-zones                                   查看可用区域

firewall-cmd --state                                           查看firewalld的状态

firewall-cmd --get-default-zone                       查看当前默认活动的区域

firewall-cmd --get-default-zone=trusted         修改默认区域为trusted,可以接受任何连接

2.firewall-cmd --get-default-zone=trusted         修改默认区域为trusted,可以接受任何连接

3.firewall-cmd --list-all                      查看防火墙策略

firewall-cmd --add-service=http   防火墙添加通过http服务

firewall-cmd --reload                      重新加载

4.使用配置文件添加防火墙通过服务

编辑/etcfirewalld/zones/public.xml

5.设置防火墙通过8080端口

测试前修改http默认访问端口,无法浏览

添加8080端口后可以访问

6.允许172.25.254.224主机访问任何连接,将172.25.254.224添加到trusted域中

7.删除添加的服务

三.Direct Rules

通过firewall-cmd工具,可以使用  --direct选项在运行时间里增加或者移除链。如果不熟悉iptables,使用直接接口非常危险,因为泥坑无意间导致防火墙被入侵。直接端口模式,适用于服务或者程序,以便在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用。

1.firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.224 -p tcp --dport 22 -j ACCEPT

除了224主机22端口不能访问,其他主机22端口都可访问

测试224主机,显示无法访问,别的主机可以

2.firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.224 -p tcp --dport 80 -j REJECT

除了224主机80端口不能访问,其他主机80端口都可访问

3.删除第二条策略

四.不同网卡接口的访问设置

1.eth0和eth1都属于public域

2.将eth1网口从public域调整到trusted域中

3.与eth0连接的网段无法访问服务,因为有public域的限制

4.与eth1连接的网段可以访问服务,因为eth1在trusted域

五.Rich Rules

通过“rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是iptables工具的抽象表示,这种语言可以用来配置分区,也仍然支持现行的配置方式。

环境配置

服务端两块网卡   eth0 172.25.254.124

eth1 172.25.0.124

客户端IP 172.25.0.224

真机         172.25.254.24

服务端firewall-cmd --add-masqueeade                        开启地址伪装

1.端口转换 真机到客户端

将从172.25.254.24的22端口 伪装为172.25.0.224的22端口

测试,从真机进入到服务端128,显示的网卡为172.25.0.224

2.地址伪装   客户机到真机

将从客户传过来的数据伪装为172.25.254.124端口的源数据

ifconfig查看

六.允许非系统端口的服务通过防火墙(httpd服务修改端口为例)

1.防火墙通过http

2.修改http的端口为6666

3.添加系统http默认端口

由于修改后无法重启服务

原因是系统默认允许的http端口没有6666

添加6666端口到http的默认端口列表中

重启服务成功

4.访问http6666端口成功

时间: 2024-10-06 15:05:04

firewalld火墙服务的相关文章

iptables防火墙火墙服务

一.iptables介绍 二.安装服务并开启服务 yum install iptables-services.x86_64 systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl start iptables.service systemctl enable iptables.service systemctl status iptables.service 三.参数的相关解释

防火墙的配置--firewalld与iptables

管理防火墙的两种方式:firewalld与iptables (1)firewalld ?管理火墙的工具,相对简单 -->windows (2)iptables ?复杂,功能强大 ?-->route (1).(2)不能同时起作用 一.firewalld相关配置 (一)图形化管理 打开图形化管理火墙界面,并打入后台不影响终端使用 [[email protected] ~]# firewall-config & ##runtime 临时生效,立即生效 ##permanent 更改配置文件,永

centos配置vsftp,ftp服务

1.安装vsftp 1.1.安装vsftp,测试安装的vsftpd的版本是:vsftpd.x86_64 0:3.0.2-11.el7_2 yum -y install vsftpd 1.2.修改配置文件 vi /etc/vsftpd/vsftpd.conf 保证下面3项为YES anonymous_enable=YES anon_upload_enable=YES anon_mkdir_write_enable=YES 1.3.设置vsftpd开机启动 systemctl enable vsft

fedora/centos7防火墙FirewallD详解

1 使用 FirewallD 构建动态防火墙 1.1 “守护进程” 1.2 静态防火墙(system-config-firewall/lokkit) 1.3 使用 iptables 和 ip6tables 的静态防火墙规则 1.4 什么是区域? 1.4.1 预定义的服务 1.4.2 端口和协议 1.4.3 ICMP 阻塞 1.4.4 伪装 1.4.5 端口转发 1.5 哪个区域可用? 1.5.1 丢弃 1.5.2 阻塞 1.5.3 公开 1.5.4 外部 1.5.5 隔离区(dmz) 1.5.6

[ Centos 7 iscsi搭建 及 1台客户端同时挂载多台iscsi服务端问题 ]

一.什么是iscsi iSCSI技术是一种由IBM公司研究开发的,是一个供硬件设备使用的可以在IP协议的上层运行的SCSI指令集,这种指令集合可以实现在IP网络上运行SCSI协议,使其能够在诸如高速千兆以太网上进行路由选择.iSCSI技术是一种新储存技术,该技术是将现有SCSI接口与以太网络(Ethernet)技术结合,使服务器可与使用IP网络的储存装置互相交换资料. 二.需求分析 最近在做虚拟化,需要通过一个主机挂载来自两个iscsi服务器的targets,如图: 三.实现思路        

centos7 firewalld防火墙

使用 FirewallD 构建动态防火墙 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具.它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口. 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启.这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等.而模块

Linux网络相关、firewalld和netfilter、netfilter5表5链介绍和ipta

ifconfig查看网卡-a 当网卡当机时或,无ip时不显示ifup ens33 /ifdown ens33 启动关闭网卡(ifup/ifdown后跟的是网卡名字,具体网卡名字需要用ifconfig查看)注:远程连接时,不要关闭你所连接的网卡,要重启你所连接的网卡可执行ifdown ens33 && ifup ens33设定虚拟网卡:1.进入网卡配置文件所在目录cd /etc/sysconfig/network-scripts/2.拷贝网卡配置文件cp ifcfg-ens33 ifcfg-

iptables 与 firewalld 防火墙

保障数据的安全性是继保障数据的可用性之后最为重要的一项工作.防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用. 1.防火墙管理工具 相较于企业内网,外部的公网环境更加恶劣,罪恶丛生.在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤.防火墙策略可以基于流量的源目地址.端口号.协议.应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃.

Linux网络相关、防火墙firewalld、netfilter 及iptable的五表五链、语法

一. Linux网络相关1?ifconfig 查看网卡的ip地址,(yum install net-tools)也可以用ip add-a 断网的情况下都可以查看2?ifdown /ifup 断开/连接 网卡.更改配置的时候,用来重启指定的网卡.如果是远程的机器不可以单独用,可以把它们连起来用:ifdown eth0 && ifup eth03?想多增加一个ip地址,增加虚拟网卡:进入网卡目录cd /etc/sysconfig/network-scripts/拷贝网卡: cp ifcfg-e