当前位置: 开发笔记 > 编程语言 > 正文

Linux基础教程学习笔记32——防火墙的使用与配置

作者：年少不轻易谈情 | 来源：互联网 | 2023-10-11 11:53

nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd

Linux基础教程学习笔记32——防火墙的使用与配置

一、RHEL7中的防火墙类型

以下防火墙只能同时使用一张,firewall底层调用的还是Iptables的服务：

firewalld：默认

iptables：RHEL6使用

ip6tables

ebtables

二、防火墙的配置方式

1、图形化配置

使用firewall-config

# RHCE7认证学习笔记32——防火墙的使用与配置

允许某项服务只需打上勾即可

2、命令行

三、防火墙的区域与配置

查看区域：

[root@test ~]# firewall-cmd --get-zones

block dmz drop external home internal public trusted work

查看默认区域

[root@test ~]# firewall-cmd --get-default-zone

public

每个区域配置多个服务，对应多个接口

[root@test ~]# firewall-cmd --get-services

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

查看允许的服务

[root@test ~]# firewall-cmd --list-services --zOne=public

dhcpv6-client ssh

某些服务，对应多个端口，在防火墙允许某项服务则可能意味着允许该服务对应的多个端口：

给区域添加服务：

[root@test ~]# firewall-cmd --add-service=ftp --zOne=public --permanent

删除区域服务:

[root@test ~]# firewall-cmd --remove-service=ftp --zOne=public

查看某项服务是否被允许：

[root@test ~]# firewall-cmd --query-service=http --zOne=public

区域添加端口：

[root@test ~]# firewall-cmd --add-port=8000/tcp --zOne=public --permanent

删除端口：

1 firewall-cmd --remove-port=8000/tcp --zOne=public

查看端口是否被允许：

[root@test ~]# firewall-cmd --query-port=8000/tcp --zOne=public

一个区域可以绑定多个网卡，一个网卡只能绑定一个区域：

查看网卡和区域绑定：

[root@test ~]# firewall-cmd --get-zone-of-interface=ens33

区域添加端口：

[root@test ~]# firewall-cmd --add-interface=ens34 --zOne=public --permanent

区域删除网卡：

[root@test ~]# firewall-cmd --remove-interface=ens34 --zOne=public --permanent

修改网卡的区域：

[root@test html]# firewall-cmd --change-interface=ens33 --zOne=public --permanent

trusted区域的所有服务都被允许：

网卡如果不属于任何区域，那么来自该接口的所有数据包将使用默认的区域规则：

区域添加来源地址，如果接口不属于某个区域，那么来自于该接口的流量如果匹配来源地址，那么流量将从来源的区域通过：

查看某个区域的所有配置信息：

[root@test html]# firewall-cmd --list-all

public (default, active)

interfaces: br1 ens34 ens37 virbr0

sources:

services: dhcpv6-client ssh

ports: 443/tcp 464/tcp 88/udp 88/tcp 123/udp 389/tcp 53/tcp 53/udp 636/tcp

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

所有的配置操作如果想永久生效，则需要加--permanent选项，否则配置只会在当前运行环境生效

三、firewall对ICMP的过滤

firewall可以对以下类型的ICMP进行过滤：

# RHCE7认证学习笔记32——防火墙的使用与配置

firewall对ICMP的过滤存在BUG，对RHEL6及windows的机器均不能很好的支持，只能对RHEL7有效

四、富规则rich rule

富规则可以对服务端口协议进行更详细的配置：

# RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置富规则：

查看富规则：

[root@test ~]# firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.35.89.0/24" service name="http" accept

[root@test ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent

[root@test ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept' --permanent

删除富规则

[root@test ~]# firewall-cmd --remove-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp accept'

五、端口转发

图形化配置：

本地转发

# RHCE7认证学习笔记32——防火墙的使用与配置

转发到其他主机：

# RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置：

[root@test log]# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=

forward-ports: port=8000:proto=tcp:toport=80:toaddr=

port=8080:proto=tcp:toport=80:toaddr=

六、伪装masque

图形化配置很简单，勾上伪装区域即可

# RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置也很简单：

[root@test log]# firewall-cmd --add-masquerade

启用伪装功能的主机同时也需要开启转发服务：

[root@test log]# echo 1 > /proc/sys/net/ipv4/ip_forward

富规则中使用伪装功能可以更精确详细的限制：

[root@test log]# firewall-cmd --add-rich-rule '

rule family=ipv4 source address=10.10.10.2/24 masquerade'

rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"

推荐阅读

post
CentOS下ProFTPD的安装与配置指南

本文详细介绍在CentOS操作系统上安装和配置ProFTPD服务的方法，包括基本配置、安全设置及高级功能的启用。 ... [详细]

蜡笔小新 2024-11-21 09:45:56
io
利用 Calcurse 在 Linux 终端高效管理日程与任务

对于喜爱使用 Linux 终端进行日常操作的系统管理员来说，Calcurse 提供了一种强大的方式来管理日程安排、待办事项及会议。本文将详细介绍如何在 Linux 上安装和使用 Calcurse，帮助用户更有效地组织工作。 ... [详细]

蜡笔小新 2024-11-21 17:01:54
io
如何在Mozilla Firefox中调整GIF动画的循环次数

本文介绍了如何通过调整Mozilla Firefox的高级设置来控制GIF动画的播放次数，帮助用户根据个人喜好自定义浏览体验。 ... [详细]

蜡笔小新 2024-11-19 19:36:54
io
Docker安全策略与管理

本文探讨了Docker的安全挑战、核心安全特性及其管理策略，旨在帮助读者深入理解Docker安全机制，并提供实用的安全管理建议。 ... [详细]

蜡笔小新 2024-11-21 20:03:03
io
CentOS 中 SWAP 分区的创建与管理

本文详细介绍了在 CentOS 系统中如何创建和管理 SWAP 分区，包括临时创建交换文件、永久性增加交换空间的方法，以及如何手动释放内存缓存。 ... [详细]

蜡笔小新 2024-11-21 19:01:54
process
Windows环境下Nginx缓存优化配置指南

本文详细介绍了在Windows系统中如何配置Nginx以实现高效的缓存加速功能，包括关键的配置文件设置和示例代码。 ... [详细]

蜡笔小新 2024-11-21 16:19:57
process
Web动态服务器Python基本实现

Web动态服务器Python基本实现 ... [详细]

蜡笔小新 2024-11-21 08:01:30
process
构建个人多节点Linux环境（CodeSheep）

本文介绍如何通过虚拟机搭建一个多节点的Linux环境，这对于学习、实验和项目部署都具有重要意义。文章详细讲解了网络IP设置、节点间通信等关键步骤。 ... [详细]

蜡笔小新 2024-11-18 11:49:49
string
Beetl模板引擎初探

Beetl是一款先进的Java模板引擎，以其丰富的功能、直观的语法、卓越的性能和易于维护的特点著称。它不仅适用于高响应需求的大型网站，也适合功能复杂的CMS管理系统，提供了一种全新的模板开发体验。 ... [详细]

蜡笔小新 2024-11-21 16:57:10
plugins
在Ubuntu 16.10 (x86) 上安装 WordPress 4.7.115

本文介绍如何在Ubuntu 16.10 (x86) 系统上安装WordPress 4.7.115，包括下载、解压、配置等步骤，确保安装过程顺利进行。 ... [详细]

蜡笔小新 2024-11-19 10:42:16
io
在 Ubuntu 22.04 LTS 上部署 Jira 敏捷项目管理工具

Jira 敏捷项目管理工具专为软件开发团队设计，旨在以高效、有序的方式管理项目、问题和任务。该工具提供了灵活且可定制的工作流程，能够根据项目需求进行调整。本文将详细介绍如何在 Ubuntu 22.04 LTS 上安装和配置 Jira。 ... [详细]

蜡笔小新 2024-11-19 09:56:22
post
构建高可用性Apache集群的Heartbeat使用指南

本文详细介绍了如何使用Heartbeat构建一个高可用性的Apache集群，包括安装、配置和测试步骤。 ... [详细]

蜡笔小新 2024-11-18 13:54:04
io
CentOS7通过RealVNC实现多人使用服务器桌面

背景：公司研发团队通过VNC登录到CentOS服务器的桌面实现软件开发工作为防止数据外泄，需要在RealVNC设置禁止传输文件、访问粘贴板等策略过程&# ... [详细]

蜡笔小新 2024-11-18 09:22:21
get
Ubuntu 14.04 系统安装后网卡名称修改方法

本文介绍了在安装 Ubuntu 14.04 Server 版本后，如何将默认的网卡名称从非 eth 格式修改为传统的 eth 格式，并提供了详细的步骤和示例。 ... [详细]

蜡笔小新 2024-11-18 01:19:07
io
Vulnhub DC3 实战记录与分析

本文记录了在 Vulnhub DC3 靶机上的渗透测试过程，包括漏洞利用、内核提权等关键步骤，并总结了实战经验和教训。 ... [详细]

蜡笔小新 2024-11-17 20:50:03

年少不轻易谈情

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章