firewalld防火墙(二)

最新推荐文章于 2024-10-21 15:39:55 发布
最新推荐文章于 2024-10-21 15:39:55 发布
阅读量2.8k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61116007/article/details/125719504

目录

IP伪装与端口转发

firewall-cmd高级配置

直接规则(direct interface)

富语言(rich language)

理解富规则命令

规则配置示例

防火墙配置实例

 配置需求

基本环境配置

网站服务器环境搭建

在网站服务器上配置firewalld防火墙

网关服务器上配置firewalld

配置IP伪装与端口转发

配置端口转发

本章主要重点:

  1. 理解firewalld的富语言规则
  2. 配置地址伪装和端口转发

IP伪装与端口转发

        NAT(网络地址转换):当用户数据包经过NAT设备时,NAT设备将源地址替换为公网IP地址,而返回的数据宝就可以被路由。NAT技术一般都是在企业边界路由器或者防火墙上配置。

        firewalld支持两种类型NAT:IP地址伪装和端口转发。

  • IP地址伪装(masquerade)

       可以实现局域网多个地址共享单一公网地址上网 ​ IP地址伪装仅支持IPv4,不支持IPv6

  • 端口转发(Forward-port)

        也称为目的地址转换或端口映射 ​ 通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口

firewall-cmd高级配置

  • 直接规则(direct interface)

        允许管理员手动编写的iptables、ip6tables和ebtables 规则插入到Firewalld管理的区域中 ​ 直接端口通过firewall-cmd命令中的--direct选项实现 ​ 除显示插入方式之外,优先匹配直接规则

执行以下命令即可添加一些直接规则以将某个IP范围列入黑名单

 [root@localhost ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist
 success
 [root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist
 success
 [root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"
 success
 [root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 1 -j DROP 
 success

  • 富语言(rich language)

        表达性配置语言,无需了解iptables语法 ​ 用于表达基本的允许/拒绝规则、配置记录(面向syslog和auditd)、端口转发、伪装和速率限制

 rule [family="<rule family>"]
     [ source address="<address>" [invert="True"] ]
     [ destination address="<address>" [invert="True"] ]
     [ <element> ]
     [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
     [ audit ]
     [ accept|reject|drop ]

规则的单一元素都能够以option=value的形式来采用附加参数。

1. 规则排序

        一旦向某个区域(一般是指防火墙)中添加多个规则,规则的排序会在很大程度影响防火墙的行为。对于所有的区域,区域内的规则的基本排序是相同的。如果区域中的任何规则与包都不匹配,通常会拒绝该包,但是区域可能具有不同的默认值。例如,可信任区域(trusted)将接受任何不匹配的包。此外,在匹配某个记录规则后,将继续正常处理包。

        直接规则是个例外。大部分直接规则将首先进行解析,然后由firewalld进行其他处理,但是直接规则语法允许管理员在任何区域中的任何位置插入任何规则。

2. 测试和调试

        为了方便于测试和调试,几乎所有规则都可以与超时一起添加到运行时配置。当包含超时的规则添加到防火墙时,计时器便针对规则开始倒计时,一但规则的计时器达到0秒,便从运行时配置中删除改规则。

        通过在启用规则的firewall-cmd命令的结尾追加选项——timeout=<TIMEINSECONDS>,可向运行时规则中添加超时。

  • 理解富规则命令

        firewall-cmd有四个选项可以用于处理规则,所有这些选项都可以同常规的--permanent或--zone=<ZONE>选项组合使用,具体选项如下。

选项 说明
--add-rich-rule=‘RULE’ 向指定区域中添加RULE,如果没有指定区域,则为默认区域
--remove-rich-rule=‘RULE’ 从指定区域中删除RULE,如果没有指定区域,则为默认区域
--query-rich-rule=‘RULE’ 查询RULE是否已添加到指定区域,如果未指定区域,则为默认区域。规则存在,则返回0,否则返回1
--list-rich-rules 输出指定区域的所有富规则,如果未指定区域,则为默认区域

        任何已配置的富规则都会显示firewall-cmd --list-all和firewall-cmd --list-all-zones的输出结果中,具体语法如下。

  1. source:限制源IP地址,源地址可以是一个ipv4、ipv6地址或者一个网络地址段。

  2. destination:限制目标地址,目标地址使用跟源地址相同的语法。

  3. element:要素,该项只能是以下几种要素类型之一:service、port、protocol、icmp-block、masquerade和forward-port。

    (1)service:服务名称是firewalld提供的其中一种服务。要获得支持的服务列表,输入以下命令:firewall-cmd --get-services。如果一个服务提供了一个目标地址,它和规则中的目标地址冲突,则会导致一个错误。命令格式为:srvice name =service_name。

    (2)port:端口可以是一个独立端口数字,或者是端口范围,如5060~5062。协议为TCP或UDP。命令格式为:port port=number_or_range protocol=protocol。

    (3)protocol:协议,可以是一个协议ID号,或者一个协议名。查询可用协议,请查阅/etc/protocols。命令格式为:protocol value=protocol_name_or_ID。

    (4)icmp-block:阻断一个或多个ICMP类型。要获得支持的ICMP类型列表,输入firewall-cmd --get-icmptypes命令查看即可。命令格式为:icmp-block name=icmptype_name。

    (5)masquerade:规则里的IP伪装。用源地址而不是目的地址来把伪装限制在一个范围内。

    (6)forward-port:将指定的TCP或UDP协议的数据包转发到本机的其他端口,或另一台机器,或另一台机器上的其他端口。port和to-port可以是一个单独的端口数字,或一个端口范围。而目的地址是一个简单的IP地址。命令格式为:forward-port port=numbr_or_range protocol=protocol to-port=number_or_range to-addr=address。

  4. log:注册有内核日志的连接请求到规则中,如系统日志。可以定义一个前缀文本把日志信息作为前缀加入。日志等级可以emerg、alert、crit、error、warning、notice、info或者debug中的一个。可以选择日志的用法,按以下方式限制日志:log [prefix=prefix text] [level=log level] limit value=rate/duration。持续的单位为s、m、h、d。s表示秒,m表示分钟,h表示小时,d表示天。最大限定值是1/d(每天最多有一条日志进入)。

  5. audit:审核,审核类型可以是accept、reject或drop中的一种,但不能在audit命令后指定,因为审核类型将会从规则动作中自动收集。审核不包含自身参数,但可以选择性地增加限制。审核的使用是可选择的。

  6. accept|reject|drop:可以是accept、reject或drop中的一个行为。命令格式为:accept | reject [type=reject type] | drop。指定accept时,所有新的连接请求都将会被允许。指定reject时,连接被拒绝,发起端将接到一个拒绝信息。指定drop时,所有数据包会被丢弃,并且不会向发起端发送任何信息。

  • 规则配置示例

        1.为认证报头协议AH使用新的ipv4和ipv6连接。

 [root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept' 
 success

       2. 允许ipv4和ipv6连接FTP,并使用审核每分钟记录一次。

 [root@localhost ~]# f
最低0.47元/天 解锁文章

200万优质内容无限畅学
firewalld的zone及firewalldservice
Linux从入门到弃坑
09-27 836
iptables规则备份和恢复 iptables备份数据到配置文件/etc/sysconfig/iptables,使用如下命令 [root@linux-001 ~]# service iptables save iptables备份规则到另外一个文件,而不是配置文件 在这里插入代码片 ...
firewalld服务讲解
Liang_GaRy的博客
10-19 1585
Linxu-firewalld服务讲解
firewalld学习--service
weixin_30585437的博客
08-05 394
servicefirewalld中另外一个非常重要的概念。还是拿门卫的例子来解释。 在iptables的时代我们给门卫下达规则时需要告诉他“所有到22号楼的人全部予以放行”、“所有到80号楼的人全部予以放行”等等, 不过到了firewalld的时代就不需要这样了, 而是可以直接下达像“到销售部的全部予以放行”这样的命令,然后门卫再一查发现销售部在80号楼,那么所有到80号楼的人门...
linux禁止开机启动防火墙firewalld.service
热门推荐
挨踢学霸
03-17 1万+
每次重启测试环境会发现外网都无法访问80端口,用systemctl status firewalld.service检查防火墙,是开启的状态 要使firewall不开机启动,使用命令systemctl disable firewalld.service重启虚机后,再次检查firewall的状态 已经没有启动了。更多文章关注公众号“挨踢学霸”...
firewalld学习--service的使用和配置
weixin_30631587的博客
08-05 497
service配置文件 firewalld默认给我们提供的ftp的service配置文件ftp.xml <?xml version="1.0" encoding="utf-8"?> <service> <short>FTP</short> <description>FTP is a protocol use...
Firewalld防火墙
06-28 1102
firewalld防火墙Linux系统上的一种动态防火墙管理工具,它是Red Hat公司开发的,并在许多Linux发行版中被采用。相对于传统的静态防火墙规则,firewalld使用动态的方式来管理防火墙规则,可以更加灵活地适应不同的网络环境和应用场景。firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。
Linux系统firewalld防火墙实战指南
最新发布
qq_24442273的博客
10-21 956
firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。例如,当一个新的网络接口被添加到系统中时,firewalld可以接收到相关的通知,并自动更新防火墙规则以适应新的网络环境。firewalld和liptables都是用来管理防火墙的工具(属于用户态),它们都可以用来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统(属于内核态),从而实现包过滤防火墙功能。
firewalld 防火墙常用命令,新手必看
啊醒的博客
08-31 2405
firewall防火墙常用命令,详细讲解
firewalld关于service的操作
乐猿
12-02 2857
firewalld关于service的操作
linuxFirewalld防火墙概述
weixin_51725822的博客
02-25 1372
linux防火墙firewalld一、Firewalld概述1.1 firewalld防火墙1.2 firewalld 与 iptables 的区别(1)作用点(2)存储位置(3)新规则的使用(4)防火墙类型1.3 firewalld 区域的概念firewalld防火墙预定义了9个区域1.4 firewalld数据处理流程firewalld防火墙的配置2.1 firewalld防火墙的配置方法2.2 区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应
centos 7防火墙firewalld.service
寻找手艺人的专栏
06-18 1024
centos7中使用systemctl工具来管理服务程序(包括了service和chkconfig) 关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running) #启动一个服务: systemctl start firewall
CentOS7防火墙设置;Linux防火墙设置;systemctl -- firewalld.servicefirewallfirewall-cmd
秋̶᭄ꦿ攻城狮࿆ྂ
07-20 548
1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 # 开启 service firewalld start # 重启 service firewalld restart # 关闭 service firewalld stop 4、查看防火墙规则 firewall-cmd --list-all 5、查询、开放、关闭端口 #
linux中的firewalld服务
Hguan07的博客
08-19 1065
firewalldlinux系统中的默认防火墙,也被称为动态防火墙firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样。 firewalld
用活firewalld防火墙service
denghe6366的博客
07-20 557
原文地址:http://www.excelib.com/article/291/show 前面学生已经给大家介绍了在firewalldservice的概念以及在zone中怎么使用service,但是service本身怎么配置我们还没讲,本节学生就来给大家介绍service本身的配置。 service配置文件 service相对于zone来说结构要简单的多,其整体配置文件结构如下 ...
linux 7 services设定,centos7 firewalld.service 设定
weixin_34942785的博客
05-16 274
官方文档地址:cd /usr/lib/firewalld/services 目录中存放定义好的网络服务和端口参数,系统参数,不能修改。cd /etc/firewalld/services/systemctl status firewall查看firewall服务状态firewall-cmd –state查看firewall的状态firewall-cmd –l...
firewalld(6)自定义services、ipset
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-02 1601
自定义服务配置文件:通常位于目录下,文件名以.xml结尾。这些文件允许用户定义自己的服务,包括其使用的端口、协议、模块(如内核模块)以及目标地址等。系统级服务配置文件:位于目录下,这些文件包含预定义的服务配置,这些服务通常是众所周知的网络服务(如HTTP、SSH等)。参考 /usr/lib/firewalld/services/ssh.xml,在下面新建你需要的服务名以.xml结尾,内容格式参照如ssh.xml、rdp.xml等文件中的内容即可。
firewalld.service设置开机不启动
gushaolin的博客
12-03 1903
CentOS 7安装后,默认安装firewalld.service,会导致网络连接不上的问题,比如mysql无法远程连接,这个时候需要关闭firewalld.service。 1,查看firewalld.service当前运行状态 systemctl status firewalld.service 2,关闭firewalld.service systemctl stop firewalld.se...
linux-日常运维-firewalld关于service的操作
weixin_34319374的博客
10-29 324
service:zone下面的一个子单元,可以理解为指定的端口 firewall-cmd --get-services 查看所有的servies firewall-cmd --list-services //查看当前zone下有哪些service firewall-cmd --zone=public --list-services #查看指定zone下的service...
firewalld防火墙命令
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start firewalld ``` 2. 停止 firewalld 服务: ``` sudo systemctl stop firewalld ``` 3. 设置 firewalld 为开机启动: ``` sudo systemctl enable firewalld ``` 4. 禁止 firewalld 的开机启动: ``` sudo systemctl disable firewalld ``` 5. 查看 firewalld 状态: ``` sudo systemctl status firewalld ``` 6. 开启指定端口: ``` sudo firewall-cmd --zone=public --add-port=<port_number>/tcp --permanent ``` 7. 关闭指定端口: ``` sudo firewall-cmd --zone=public --remove-port=<port_number>/tcp --permanent ``` 8. 重新加载防火墙配置: ``` sudo firewall-cmd --reload ``` 这些是一些基本的 firewalld 命令,你可以根据实际需求进行配置和调整。记得在修改配置后重新加载防火墙才能生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大虾好吃吗

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值