Day 39 防火墙技术Firewalld

2024-05-24 01:20

本文主要是介绍Day 39 防火墙技术Firewalld,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一:Firewalld简介

​CentOS7中默认将原来的防火墙iptables升级为了firewalld,firewalld跟iptables比起来至少有两大好处;

​firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效

firewalld在使用上要比iptables人性化很多,即使不明白“四张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能

1.目录结构

firewalld的配置文件以xml格式为主(主配置文件firewalld.conf例外),有两个存储位置

​ firewalld配置文件:

​ /etc/firewalld/

​ /usr/lib/firewalld/

​ firewalld规则配置文件:

​ /etc/firewalld/zones:规则配置文件

​ /usr/lib/firewalld/zones:规则模版配置文件,默认不生效,需要用时将该目录的配置文件模版复制到/etc/firewalld/zones

​ 使用规则

​ 当需要一个文件时firewalld会首先到第一个目录中去查找,如果可以找到,那么就直接使用,否则会继续到第二个目录中查找

​ 注意

​ 两个目录下的同名配置文件第一个目录内的生效

​ 第二个目录中存放的是firewalld给提供的通用配置文件,如果我们想修改配置, 那么可以copy一份到第一个目录中

​ 当然也可以直接修改第二个目录下的文件

2.相关命令

​ 查看服务状态

[root@xingdian~ ]# systemctl status firewalld
[root@xingdian~ ]# systemctl status -l  firewalld

​ 启动关闭服务

[root@xingdian~ ]# systemctl  start  firewalld
[root@xingdian~ ]# systemctl  stop  firewalld
[root@xingdian~ ]# systemctl reload firewalld
[root@xingdian~ ]# systemctl disable firewalld

二:Firewalld之Zone

​ firewalld默认提供了九个zone配置文件:block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml,他们都保存在“/usr/lib /firewalld/zones/”目录下;九个zone其实就是九种方案,而且起决定作用的其实是每个xml文件所包含的内容,而不是文件名,所以不需要对每种zone(每个文件名)的含义花费过多的精力,比如trusted这个zone会信任所有的数据包,也就是说所有数据包都会放行,但是public这个zone只会放行其中所配置的服务,其他的一律不予放行,其实我们如果将这两个文件中的内容互换一下他们的规则就换过来了,也就是public这个zone会放行所有的数据包

注意:

​ 生效的只有默认zone里面的规则

​ trusted.xml中zone的target,就是因为他设置为了ACCEPT,所以才会放行所有的数据包

​ 而 public.xml中的zone没有target属性,这样就会默认拒绝通过,所以public这个zone只有其中配置过的服务才可以通过

1.drop(丢弃)

​ 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接

2.block(限制)

​ 任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝

3.public(公共)

​ 在公共区域内使用,不相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接(默认拒绝)

4.external(外部)

​ 是为路由器启用了伪装功能的外部网。不信任来自网络的其他计算,不相信它们不会对您的计算机造成危害,只接收经过选择的连接

5.dmz(非军事区)

​ 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接

6.work(工作)

​ 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接

7.home(家庭)

​ 用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接

8.internal(内部)

​ 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接

9.trusted(信任)

​ 可接受所有的网络连接

三:规则配置

1.方式

​ firewall-config(图形方式)

​ firewall-cmd(命令行方式)

​ 直接编辑xml文件

2.命令行方式
显示防火墙状态:
[root@xingdian~ ]# firewall-cmd --staterunning
列出当前有几个zone:
[root@xingdian~ ]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
取得当前活动的zones:    
[root@xingdian~ ]# firewall-cmd --get-active-zones publicinterfaces: ens33设置当前区域的接口:
[root@xingdian~ ]# firewall-cmd --get-zone-of-interface=enp03s      
临时修改网络接口(enp0s3)为内部区域(internal):
[root@xingdian~ ]#firewall-cmd --zone=internal --change-interface=enp03s
取得默认的zone:
[root@xingdian~ ]# firewall-cmd --get-default-zonepublic
设置默认zone:    
[root@xingdian~ ]# firewall-cmd --set-default-zone=public取得当前支持的service(跟当前服务器是否已经安装某服务无关):
[root@xingdian~ ]# firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server检查下一次重载后将激活的服务:
[root@xingdian~ ]# firewall-cmd --get-service --permanentRH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server    列出zone public 端口:
[root@xingdian~ ]# firewall-cmd --zone=public --list-ports    列出zone public当前设置:
[root@xingdian~ ]# firewall-cmd --zone=public --list-allpublic (default, active)interfaces: eno16777736sources: services: dhcpv6-client sshports: masquerade: no  伪装功能forward-ports: icmp-blocks: rich rules:增加zone public开放http service:
[root@xingdian~ ]# firewall-cmd --zone=public --add-service=httpsuccess
[root@xingdian~ ]# firewall-cmd --permanent --zone=internal --add-service=httpsuccess--permanent  永久生效
重新加载配置:
[root@xingdian~ ]# firewall-cmd --reloadsuccess
增加zone internal开放443/tcp协议端口:
[root@xingdian~ ]# firewall-cmd --zone=internal --add-port=443/tcpsuccess
删除zone public 中ssh服务
[root@xingdian~ ]# firewall-cmd --zone=public --remove-service=ssh
列出zone internal的所有service:
[root@xingdian~ ]# firewall-cmd --zone=internal --list-servicesdhcpv6-client ipp-client mdns samba-client ssh设置黑/白名单: (hosts.allow  hosts.deny)增加172.28.129.0/24网段到zone trusted(信任)
[root@xingdian~ ]# firewall-cmd --permanent --zone=trusted --add-source=172.28.129.0/24success
add-sourc
列出zone truste的白名单:
[root@xingdian~ ]# firewall-cmd --permanent --zone=trusted --list-sources172.28.129.0/24活动的zone:
[root@xingdian~ ]# firewall-cmd --get-active-zonespublicinterfaces: eno16777736添加zone truste后重新加载,然后查看--get-active-zones:
[root@xingdian~ ]# firewall-cmd --reload          success
[root@xingdian~ ]# firewall-cmd --get-active-zonespublicinterfaces: ens32 veth4103622trustedsources: 172.28.129.0/24列出zone drop所有规则:
[root@xingdian~ ]# firewall-cmd --zone=drop --list-alldropinterfaces: sources: services: ports: masquerade: noforward-ports: icmp-blocks: rich rules:添加172.28.13.0/24到zone drop:
[root@xingdian~ ]# firewall-cmd --permanent --zone=drop --add-source=172.28.13.0/24success添加后需要重新加载:
[root@xingdian~ ]# firewall-cmd --reloadsuccess[root@xingdian~ ]# firewall-cmd --zone=drop --list-alldropinterfaces: sources: 172.28.13.0/24services: ports: masquerade: noforward-ports: icmp-blocks: rich rules: [root@xingdian~ ]#firewall-cmd --reloadsuccess从zone drop中删除172.28.13.0/24:
[root@xingdian~ ]# firewall-cmd --permanent --zone=drop --remove-source=172.28.13.0/24success查看所有的zones规则:
[root@xingdian~ ]# firewall-cmd --list-all-zones案例:比如我当前的默认zone是public,需要开放80端口对外访问,则执行如下命令:
[root@xingdian~ ]# firewall-cmd --zone=public --permanent --add-port=80/tcpsuccess
[root@xingdian~ ]# firewall-cmd --reloadsuccess
3.修改配置文件
以public zone为例,对应的配置文件是/etc/firewalld/zones/public.xml,像我们刚刚添加80端口后,体现在public.xml 中的内容为:
[root@xingdian~ ]# cat public.xml<?xml version="1.0" encoding="utf-8"?><zone><short>Public</short><description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming      connections are accepted.</description><service name="dhcpv6-client"/><service name="ssh"/><port protocol="tcp" port="80"/><source address="10.9.25.0/24"></zone>
注意在修改配置文件后 --reload 或重启 firewall 服务。  

四:高级规则

1.Direct Rules概述

​ 通过firewall-cmd工具,可以使用 --direct选项在运行时间里增加和删除链。如果不熟悉iptables,使用直接接口非常危险,因为可能无意间导致防火墙被入侵。直接端口模式适用于服务或者程序,以便于在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用

Direct OptionsThe direct options give a more direct access to the firewall. These optionsrequire user to know basic iptables concepts, i.e.  table(filter/mangle/nat/...), chain (INPUT/OUTPUT/FORWARD/...), commands(-A/-D/-I/...), parameters (-p/-s/-d/-j/...) and targets(ACCEPT/DROP/REJECT/...).Direct options should be used only as a last resort when it's not possible touse for example --add-service=service or --add-rich-rule='rule'.The first argument of each option has to be ipv4 or ipv6 or eb. With ipv4 itwill be for IPv4 (iptables(8)), with ipv6 for IPv6 (ip6tables(8)) and with ebfor ethernet bridges (ebtables(8)).[--permanent] --direct --get-all-chainsGet all chains added to all tables. This option concerns only chainspreviously added with --direct --add-chain.[--permanent] --direct --get-chains { ipv4 | ipv6 | eb } table

查看防火墙上设置的规则

[root@xingdian zones]# firewall-cmd --direct --get-all-rules

添加高级规则

[root@xingdian zones]#  firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.77 -j ACCEPT

注意:

​ 只允许172.25.254.77通过80端口访问主机位为110的http服务。因为访问的是主机位为110的http服务,需要主机位为110的内核同意开启http服务,需要在表filter中设置INPUT;-p 数据包类型;–dport 服务端口

删除防火墙上的规则

[root@xingdian zones]# firewall-cmd --permanent --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.217 -j REJECT

注意:

​ 移除:不允许172.25.254.217通过22端口的访问ssh,连接172.25.254.110这条规则

2.端口转发

​ 端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题

​ 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了

​ 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP

案例

1. firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   
# 将80端口的流量转发至8080
2. firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 
# 将80端口的流量转发至192.168.0.1
3. firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 
# 将80端口的流量转发至192.168.0.1的8080端口

开启IP伪装

查看:
[root@xingdian zones]# firewall-cmd --query-masquerade yes no
开启:
[root@xingdian zones]# firewall-cmd --add-masquerade
关闭:
[root@xingdian zones]# firewall-cmd --remove-masquerade

作用

​ 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去

​ 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器

这篇关于Day 39 防火墙技术Firewalld的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/996968

相关文章

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

day-51 合并零之间的节点

思路 直接遍历链表即可,遇到val=0跳过,val非零则加在一起,最后返回即可 解题过程 返回链表可以有头结点,方便插入,返回head.next Code /*** Definition for singly-linked list.* public class ListNode {* int val;* ListNode next;* ListNode() {}*

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时

系统架构设计师: 信息安全技术

简简单单 Online zuozuo: 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo :本心、输入输出、结果 简简单单 Online zuozuo : 文章目录 系统架构设计师: 信息安全技术前言信息安全的基本要素:信息安全的范围:安全措施的目标:访问控制技术要素:访问控制包括:等保

前端技术(七)——less 教程

一、less简介 1. less是什么? less是一种动态样式语言,属于css预处理器的范畴,它扩展了CSS语言,增加了变量、Mixin、函数等特性,使CSS 更易维护和扩展LESS 既可以在 客户端 上运行 ,也可以借助Node.js在服务端运行。 less的中文官网:https://lesscss.cn/ 2. less编译工具 koala 官网 http://koala-app.

Spring的设计⽬标——《Spring技术内幕》

读《Spring技术内幕》第二版,计文柯著。 如果我们要简要地描述Spring的设计⽬标,可以这么说,Spring为开发者提供的是⼀个⼀站式的轻量级应⽤开发框架(平台)。 作为平台,Spring抽象了我们在 许多应⽤开发中遇到的共性问题;同时,作为⼀个轻量级的应⽤开发框架,Spring和传统的J2EE开发相⽐,有其⾃⾝的特点。 通过这些⾃⾝的特点,Spring充分体现了它的设计理念:在

java线程深度解析(六)——线程池技术

http://blog.csdn.net/Daybreak1209/article/details/51382604 一种最为简单的线程创建和回收的方法: [html]  view plain copy new Thread(new Runnable(){                @Override               public voi

java线程深度解析(二)——线程互斥技术与线程间通信

http://blog.csdn.net/daybreak1209/article/details/51307679      在java多线程——线程同步问题中,对于多线程下程序启动时出现的线程安全问题的背景和初步解决方案已经有了详细的介绍。本文将再度深入解析对线程代码块和方法的同步控制和多线程间通信的实例。 一、再现多线程下安全问题 先看开启两条线程,分别按序打印字符串的

Linux基础入门 --9 DAY

文本处理工具之神vim         vi和vim简介 一、vi编辑器 vi是Unix及类Unix系统(如Linux)下最基本的文本编辑器,全称为“visual interface”,即视觉界面。尽管其名称中包含“visual”,但vi编辑器实际上工作在字符模式下,并不提供图形界面。vi编辑器以其强大的功能和灵活性著称,是Linux系统中不可或缺的工具之一。 vi编辑器具有三种主要的工作模