其实还是我写的啦 https://www.jianshu.com/p/3444d9413461

1.防火墙firewall的基本概述

现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。

firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。

wiki百科↓

https://fedoraproject.org/wiki/Firewalld

2.防火墙使用区域管理

阻塞区域(block):任何传入的网络数据包都将被阻止。

工作区域(work):相信网络上的其他计算机,不会损害你的计算机。

家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。

公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。

隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。

信任区域(trusted):所有的网络连接都可以接受。

丢弃区域(drop):任何传入的网络连接都被拒绝。

内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

注:FirewallD的默认区域是public。

firewalld默认提供了九个zone配置文件:block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml,他们都保存在“/usr/lib /firewalld/zones/”目录下。

3.防火墙基本指令参数

firewall-cmd #是命令行配置

firewall-config #是图形化配置 默认中文不支持福规则的动作设置需要LANG=C 转一下英文ASCII环境

firewall -cmd

1、域zone相关的命令

--get-default-zone	查询默认的区域名称

--set-default-zone=<区域名称>	设置默认的区域

--get-active-zones	显示当前正在使用的区域与网卡名称

--get-zones	显示总共可用的区域

--new-zone=	新增区域

2、services管理的命令

--get-services	显示预先定义的服务

--add-service=<服务名>	设置默认区域允许该服务的流量

--remove-service=<服务名>	设置默认区域不再允许该服务的流量

3、Port相关命令

--add-port=<端口号/协议>	设置默认区域允许该端口的流量

--remove-port=<端口号/协议>	设置默认区域不再允许该端口的流量

4、网卡相关的命令

--add-interface=<网卡名称>	将源自该网卡的所有流量都导向某个指定区域

--change-interface=<网卡名称>	将某个网卡与区域进行关联

5、查看所有规则的命令

--list-all	显示当前区域的网卡配置参数、资源、端口以及服务等信息

加上--permanent 查看永久生效的配置参数、资源、端口以及服务等信息

6、重载防火墙的策略

--reload	让“永久生效”的配置规则立即生效,并覆盖当前的配置规则

...

4.防火墙区域配置策略



开始之前确认防火墙是开启的状态

1、zone区域相关指令

//查看当前默认区域

[root@server ~]# firewall-cmd --get-default-zone

public

//查看当前活跃的区域

[root@server ~]# firewall-cmd --get-active-zone

public

interfaces: eth0 eth1

//将当前默认区域修改为drop

firewall-cmd --set-default-zone=drop

//将网络接口关联至drop区域

firewall-cmd --permanent  --change-interface=eth0 --zone=drop

//将192.168.122.0/24网段加入trusted白名单

 firewall-cmd --permanent --add-source=192.168.122.0/24 --zone=trusted

//重载防火墙

 firewall-cmd --reload

success

//查看当前处于活动的区域

firewall-cmd --get-active-zones

drop    # 默认区域, eth0接口流量都由drop区域过滤

  interfaces: eth0

trusted # 数据包的源IP是192.168.122.0/24网段走trusted区域

  sources: 192.168.122.0/24

2、使用firewalld中各个区域的应用

//允许10.0.0.1IP地址能访问ssh

 firewall-cmd --add-source=10.0.0.0/24 --permanent --zone=public #默认zone在public

firewall-cmd --reload

//将192.168.20.0网段加入白名单

firewall-cmd --add-source=192.168.20.0/24 --permanent --zone=trusted

firewall-cmd --reload

//查看设置项

firewall-cmd --get-active-zone

drop

  interfaces: eth0 eth1

public

  sources: 10.0.0.1/32

trusted

  sources: 192.168.20.0/24

3、查询firewald指定区域的明细

firewall-cmd  --list-all --zone=drop #指明要查的zone 加上--permanent查看永久生效的区域的明细

drop (active)

  target: DROP

  icmp-block-inversion: no

  interfaces: eth0 eth1

  sources:

  services:

  ports:

  protocols:

  masquerade: no

  forward-ports:

  source-ports:

  icmp-blocks:

  rich rules:

4、查询public区域是否允许请求SSH协议的流量 #对应服务对应状态

firewall-cmd --zone=public --query-service=ssh

yes

5、恢复默认规则操作

firewall-cmd --set-default-zone=public

firewall-cmd --remove-source=192.168.1.0/24 --zone=public --permanent

firewall-cmd --remove-source=192.168.1.0/24 --zone=trusted --permanent

firewall-cmd --reload

5.防火墙端口访问策略

1、开放80端口

firewall-cmd --permanent --add-port=80/udp --add-port=80/tcp

firewall-cmd --reload #重载配置生效

firewall-cmd --list-ports #检查开放的端口

2、配置防火墙, 访问80udp的端口流量设置为永久拒绝,并立即生效

firewall-cmd --permanent --remove-port=80/udp

firewall-cmd --reload && firewall-cmd --list-ports #重载并查看

6.防火墙服务访问策略

1、开放httpd服务

firewall-cmd --permanent --add-service=http --add-service=https

firewall-cmd --reload ; firewall-cmd --list-services # 重载生效并查看

2、配置防火墙, 请求https协议的流量设置为永久拒绝,并立即生效

firewall-cmd --permanent --remove-service=https

firewall-cmd --reload ; firewall-cmd --list-services # 重载生效并查看

7.防火墙端口转发策略

端口转发需要用到forward-port

转发本机80/tcp端口的流量至8080/tcp端口,要求当前和长期有效

firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:to port=8080:toaddr=10.0.0.61

移除转发

firewall-cmd --remove-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.0.0.61

开启IP伪装

firewall-cmd --add-masquerade --permanent #IP地址转换

8.防火墙富规则策略

到重点了,这里上面的条目富规则都可实现

具体配置案例查询firewalld.richlanguage

//区里的富规则按先后顺序匹配,按先匹配到的规则生效。#firewall-cmd ↓

--add-rich-rule='<RULE>'    //在指定的区添加一条富规则

--remove-rich-rule='<RULE>' //在指定的区删除一条富规则

--query-rich-rule='<RULE>'  //找到规则返回0 ,找不到返回1

--list-rich-rules       //列出指定区里的所有富规则

--list-all 和 --list-all-zones 也能列出存在的富规则

//在192.168.0.0/24这个段里可以访问tftp服务

rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" accept

//来自192.168.0.0/24这个段的8080端口数据转发到本地的80端口

rule family="ipv4" source address="192.168.0.0/24" forward-port to-addr="local" to-port="8080" protocol="tcp" port="80"

//拒绝192.168.2.4这个ip访问

rule family="ipv4" source address="192.168.2.4" drop

...

9.防火墙开启内部上网

firewalld防火墙开启ip伪装

1、网卡默认是在public的zones内,也是默认zones。永久添加源地址转换功能

firewall-cmd --add-masquerade --permanent

firewall-cmd --reload

2、共享上网

开启的ip转发后,相当了一台本地的nat服务器。

将client的网关指向你配置的ip转发服务器的IP。

只要你的ip转发服务器可以正常解析公网IP(dns可解析公网地址)。

Clent服务器就可以借助IP转发服务器实现上网(前提是中间路由可达)。

Firewalld 用法解析的更多相关文章

  1. extern "c"用法解析

    转自: extern "c"用法解析 - 简书 引言 C++保留了一部分过程式语言的特点,因而它可以定义不属于任何类的全局变量和函数.但是,C++毕竟是一种面向对象的程序设计语言, ...

  2. WordPress的have_posts()和the_post()用法解析

    原文地址:http://www.phpvar.com/archives/2316.html 网上找到一篇介绍WordPress的have_posts()和the_post()用法解析的文章,觉得不错! ...

  3. extern "C" 用法解析

    extern "c"用法解析 作者 作者Jason Ding ,链接http://www.jianshu.com/p/5d2eeeb93590 引言 C++保留了一部分过程式语言的 ...

  4. mysql group by 用法解析(详细)

    在使用mysql时,有时需要查询出某个字段不重复的记录,虽然mysql提供 有distinct这个关键字来过滤掉多余的重复记录只保留一条,但往往只用它来返回不重复记录的条数,而不是用它来返回不重记录的 ...

  5. (转载)mysql group by 用法解析(详细)

    (转载)http://blog.tianya.cn/blogger/post_read.asp?BlogID=4221189&PostID=47881614 mysql distinct 去重 ...

  6. group by 用法解析

    group by 用法解析 group by语法可以根据给定数据列的每个成员对查询结果进行分组统计,最终得到一个分组汇总表. SELECT子句中的列名必须为分组列或列函数.列函数对于GROUP BY子 ...

  7. sql中的group by 和 having 用法解析

    转载博客:http://www.cnblogs.com/wang-123/archive/2012/01/05/2312676.html --sql中的group by 用法解析:-- Group B ...

  8. C/C++之extern "C"的用法解析

    extern "C"的用法解析 http://blog.sina.com.cn/u/494a1ebc010004g5 C++中extern “C”含义深层探索 1.引言 C++语言 ...

  9. ZT extern "C"的用法解析

    extern "C"的用法解析 1.引言 C++语言的创建初衷是“a better C”,但是这并不意味着C++中类似C语言的全局变量和函数所采用的编译和连接方式与C语言完全相同. ...

随机推荐

  1. 我有一个idea,但是没有钱,又没技术怎么办?

    我想你还少讲一件事,就是同时如果你也没什么明确的商业计划,恭喜,那你有机会成为马云第二,因为他曾说过自己的成功要素就是「没钱」.「不懂技术」.「没有计划」,要是这么刚好让你从事互联网产业,我看不出三年 ...

  2. hadoop-14-进行libtirpc的rpm包安装

    hadoop-14-进行libtirpc的rpm包安装 安装过程中出现了这个问题,进行安装: yum localinstall --nogpgcheck libtirpc-0.2.1-13.el6.x ...

  3. Activity生命周期的运行流程

    Activity的生命周期运行流程:  ·当Activity第1次被启动:     ·onCreate()->onStart()->onResume()  ·当Activity被遮挡后再次 ...

  4. 逆向project第003篇:跨越CM4验证机制的鸿沟(上)

    一.前言 <冠军足球经理>系列作为一款拟真度极高的足球经营类游戏.赢得过无数赞誉,而CM4可以说是这个传奇的起点. 可是在游戏安装过程中.当用户输入完序列号之后.程序并不会对用户的输入进行 ...

  5. Windows下从源代码编译Skia

    在PPAPI里面画图,能够结合第三方的图形库.比方Cairo.Skia. Google Chrome.Chromium和Android都使用Skia作为画图引擎.我也来试试Skia,先过编译关. fo ...

  6. 启用Database Vault

    步骤1:停止EM.监听.数据库 步骤2:启用Database Vault [oracle@single1 ~]$ cd $ORACLE_HOME/rdbms/lib [oracle@single1 l ...

  7. lightoj--1155-- Power Transmission (最大流拆点)

    Power Transmission Time Limit: 2000MS   Memory Limit: 32768KB   64bit IO Format: %lld & %llu Sub ...

  8. hpuoj--校赛--爬楼梯(模拟)

    问题 E: 感恩节KK专场--爬楼梯 时间限制: 1 Sec  内存限制: 1000 MB 提交: 382  解决: 89 [提交][状态][讨论版] 题目描述 来机房比赛的时候大家都会爬楼梯,但是每 ...

  9. Spring MVC登录注册以及转换json数据

    项目结构; 代码如下: BookController package com.mstf.controller; import javax.servlet.http.HttpServletRespons ...

  10. rails 开发随手记 9

    ruby 根据名称确定类Object.const_get 一个简单的应用,在header中的,个人信息链应该链接到对应的用户类型的页面上. <%= link_to "个人信息" ...