新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 安全防护 > 软件

Linux防火墙常用规则配置

时间:2020-01-15 09:54:37  来源:  作者:

当使用firewalld-cmd添加防火墙规则时,它实际上是将配置转换成iptables规则后,再应用到系统中。

设有如下网络拓扑:

内网internal (172.12.0.100)br1--linux---br0---external(10.10.11.250)

1. 查询系统中的zone信息

 firewall-cmd --get-zones
block dmz drop external home internal public trusted work

zone:它是安全域的范围,就类似于Window上的域网络,工作网络,家庭网络,Internet网络等,不同的安全作用域其安全级别不同,安全程度不同,家庭zone的安全规则就是最宽松的。

  • trusted(信任) ---可接受所有的网络连
  • home(家庭) ---- 用于家庭网路,默认仅接受ssh, mDNS, ipp-client,dhcpv6-client服务连
  • internal(内部) --- 用于内部网络,默认仅接受ssh, mdns, ipp-client,dhcpv6-client服务连
  • work(工作) -- 用于工作区域,默认仅接受ssh, dhcpv6-client服务连
  • public(公共) --- 在公共区域使用,默认仅接受ssh,dhcpv6-client服务连,为firewalld的默认区域
  • external(外部) -- 出去的IPv4网络连,通过此区域或伪装(source nat)或是转发,仅接受ssh服务连接
  • dmz(非军事区) --- 仅接受ssh服务连
  • block(限制) ---拒绝所有的网络连接
  • drop(丢弃) ---任何接收的网络数据包都被丢弃,没有任何回复

 

2. 查询防火墙状态和配置信息

Firewall运行状态

[root@localhost ~]# firewall-cmd --state
Running

Firewall接口分配信息

[root@localhost ~]# firewall-cmd --list-all
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: eth0 ens4
….

开放端口信息

[root@localhost ~]# firewall-cmd --list-port
500/udp 4500/udp

 

3. 更改接口所属区域

当前接口所属区域

firewall-cmd --get-active-zones
public
 interfaces: eth0 ens4

更改接口区域

firewall-cmd --permanent --zone=external --change-interface=eth0
firewall-cmd --permanent --zone=internal --change-interface=ens4

 

更改后的区域归属

firewall-cmd --get-active-zones
internal
 interfaces: ens4
external
 interfaces: eth0

 

4. 区域中添加、删除接口

将接口加入到区域中

firewall-cmd --permanent --zone=internal --add-interface=eth0

将接口从区域中删除

firewall-cmd --permanent --zone=internal --remove-interface=eth0

参数permanent指的是配置将永久有效

 

5. 添加、删除服务或端口

在公共区域添加邮件服务

firewall-cmd --permanent --zone=public --add-service=smtp

在公共区域删除邮件服务

firewall-cmd --permanent --zone=public --remove-service=smtp

在所有区域添加、删除udp端口67

firewall-cmd –permanent –add-port=67/udp
firewall-cmd –permanent -remove-port=67/udp

 

6. 设置、删除网络地址到指定的区域

firewall-cmd --permanent --zone=internal --add-source=172.12.0.0/24

firewall-cmd --permanent --zone=internal --remove-source=172.12.0.0/24

 

7. 添加、删除DNAT转发

在本机所有端口上接收到TCP 4522的报文时,将报文的目的地址和端口转换为内部网络的172.12.0.11:22端口

firewall-cmd --add-forward-port=port=4522:proto=tcp:toport=22:toaddr=172.12.0.11 –permanent

删除DNAT规则

firewall-cmd --remove-forward-port=port=4522:proto=tcp:toport=22:toaddr=172.12.0.11 --permanent

添加DNAT规则到区域

firewall-cmd --zone=internal --add-forward-port=port=4522:proto=tcp:toport=22:toaddr=172.12.0.11 –permanent

从区域中删除DNAT规则

firewall-cmd --zone=internal --remove-forward-port=port=4522:proto=tcp:toport=22:toaddr=172.12.0.11 –permanent

 

8. SNAT规则添加、删除

设置IP地址伪装(SNAT)

firewall-cmd --zone=external --add-masquerade –permanent

删除SNAT规则

firewall-cmd --zone=external --remove-masquerade –permanent

将source为192.168.2.0网段来的数据包伪装成external(即ens4)的地址

firewall-cmd --permanent --zone=external --add-rich-rule=‘rule family=ipv4 source address=192.168.2.0/24 masquerade’

将source为192.168.2.0网段来的数据包伪装成external(即ens4)地址的规则移除

firewall-cmd --permanent --zone=external --remove-rich-rule=‘rule family=ipv4 source address=192.168.2.0/24 masquerade’

9. 查询端口是否打开

firewall-cmd  --query-port=80/tcp

 

10. 重载Firewall使配置生效

firewall-cmd --reload


Tags:防火墙   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
当使用firewalld-cmd添加防火墙规则时,它实际上是将配置转换成iptables规则后,再应用到系统中。设有如下网络拓扑:内网internal (172.12.0.100)br1--Linux---br0---external(10...【详细内容】
2020-01-15   防火墙  点击:(0)  评论:(0)  加入收藏
公司的私网通常会有一些服务需要提供给公网的用户访问,但是由于网络部署时,服务器地址一般都会配置成私网地址,这样就不能实现公网的用户访问了。那么华为防火墙作为企业的出口...【详细内容】
2020-01-13   防火墙  点击:(6)  评论:(0)  加入收藏
Firewalld服务简介▶1 基本介绍firewalld是CentOS 7.0新推出的管理netfilter的工具firewalld是配置和监控防火墙规则的系统守护进程,可以实现iptables,ip6tables,ebtables的...【详细内容】
2019-12-26   防火墙  点击:(8)  评论:(0)  加入收藏
电脑自带有防火墙功能,可以保护系统安全,一些用户为阻止对方进入我们电脑,设置IP黑名单,设置方法很简单,接下去分享Win系统使用防火墙设置IP黑名单的方法。  解决方法如下:  1...【详细内容】
2019-12-24   防火墙  点击:(27)  评论:(0)  加入收藏
1.防火墙的概念和特征防火墙概念所谓“防火墙”是指一种计算机硬件和软件的结合,将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙主要由服务访问规...【详细内容】
2019-12-16   防火墙  点击:(16)  评论:(0)  加入收藏
在一个每天都会出现新的网络攻击并出现的世界中,我们必须不断寻找和建立新的安全控制和保护机制。目前发现的最常见的网络安全威胁通常涉及数据泄露并且发生在应用程序级别,这...【详细内容】
2019-08-26   防火墙  点击:(12)  评论:(0)  加入收藏
Cisco 的 NAT 从来都是谜之难用,无论是 IOS 还是 ASA。在这里专门集中整理了一下 ASA NAT 的一些概念和基础配置案例,仅限于基础部分,实在是没有精力去深究。( ASA version 8.3...【详细内容】
2019-12-02   防火墙  点击:(21)  评论:(0)  加入收藏
UFW防火墙简单设置sudo ufw version防火墙版本;sudo ufw status查看防火墙状态;sudo ufw disable关闭防火墙;Ubuntu 系统默认已安装了ufw,安装命令:sudo apt-get install ufw启用...【详细内容】
2019-11-29   防火墙  点击:(32)  评论:(0)  加入收藏
一、Linux防火墙的基础Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:f...【详细内容】
2019-11-28   防火墙  点击:(18)  评论:(0)  加入收藏
在规划网络时,往往需要考虑整体网络的可靠性和可用性,通常采用一些技术手段,提高整体网络的冗余能力,避免出现单点故障。今天通过分享一个核心交换机不做堆叠的情况下防火墙热备...【详细内容】
2019-11-27   防火墙  点击:(29)  评论:(0)  加入收藏
从广义上讲,就是对于重要的服务,使用两台服务器,互相备份,共同执行同一服务。当一台服务器出现故障时,可以由另一台服务器承担服务任务,从而在不需要人工干预的情况下,自动保证系统...【详细内容】
2019-11-25   防火墙  点击:(26)  评论:(0)  加入收藏
简介在CentOS 8采用firewalld管理netfilter子系统,默认情况,firewall的后端是nftables,而非iptables,底层调用的是nft命令,而非iptables命令。不同的防火墙软件相互间存在冲突,使...【详细内容】
2019-11-21   防火墙  点击:(56)  评论:(0)  加入收藏
本文将以图例的形式结合通俗易懂的语言对计算机网络中常提到的防火墙技术做详细的解读,旨在让广大读者朋友们认识、了解防火墙的“故事”,缩小更多计算机盲区!防火墙一、为什么...【详细内容】
2019-11-20   防火墙  点击:(22)  评论:(0)  加入收藏
在日常工作中,有时候需要把公司内部的某些服务向外提供服务,例如FTP服务、WEB服务等等,像这种需求,应该怎样解决呢?下面通过一个简单的案例来讲解拓扑图 企业内网用户和FTP服务器...【详细内容】
2019-11-20   防火墙  点击:(251)  评论:(0)  加入收藏
随着技术的发展,路由器和防火墙很多功能已经重叠,大家都支持,比如:路由功能(静态路由/RIP/OSPF/BGP等)、NAT、ACL、DHCP等等。那么网络出口究竟选择路由器还是防火墙呢?术业有专攻...【详细内容】
2019-11-15   防火墙  点击:(138)  评论:(0)  加入收藏
通过静态IP接入互联网 局域网内部所有的PC都不是在10.3.0.0/24网段,均通过DHCP动态获取IP地址。企业从运营商处获取固定的IP地址为1.1.1.1/24。企业需要利用防火墙接入互联网...【详细内容】
2019-11-15   防火墙  点击:(47)  评论:(0)  加入收藏
防火墙三种类型1、包过滤防火墙包过滤是最早使用的一种防火墙技术,它的第一代模型是“静态包过滤”,使用包过滤技术的防火墙通常工作在OSI模型中的网络层上,后来发展更新的“动...【详细内容】
2019-11-13   防火墙  点击:(201)  评论:(0)  加入收藏
· 安全区域介绍防火墙通俗讲是用于控网络之间的隔离,专业讲是用于保护一个安全区域免受另外一个安全区域的网络攻击和入击行为。从防火墙的定义中可以看出防火墙是基...【详细内容】
2019-11-12   防火墙  点击:(58)  评论:(0)  加入收藏
一、防火墙 开启、关闭、查看状态1、开启防火墙[root@localhost ~]# systemctl start firewalld2、关闭防火墙[root@localhost ~]# systemctl stop firewalld3、重启防火墙[...【详细内容】
2019-11-06   防火墙  点击:(33)  评论:(0)  加入收藏
上一篇文章《防火墙入门基础之登录Web配置界面》已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念。其实防火墙安全区域是一个非...【详细内容】
2019-11-04   防火墙  点击:(240)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条