文档章节

RHEL7中防火墙firewalld的配置

l
 lubin83
发布于 2016/04/15 18:40
字数 1318
阅读 23
收藏 0

 在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。因为这几个daemon是冲突的建议禁用其他的几种服务: 

    systemctl mask iptables(ip6tables,ebtables)

 

    在firewalld中使用了区域(zone)的概念,默认已经定义了几个zone:

 

    zone的解释:

 

    数据包要进入到内核必须要通过这些zone中的一个,而不同的zone里定义的规则不一样(即信任度不一样,过滤的强度也不一样)。可以根据网卡所连接的网络的安全性来判断,这张网卡的流量到底使用哪个zone,比如上图来自eth0的流量全部使用zone1的过滤规则,eth1的流量使用zone3。一张网卡同时只能绑定到一个zone。大家就可以把这些zone想象成进入火车站(地铁)的安检,不同的入口检测的严格度不一样。

    默认的几个zone(由firewalld 提供的区域按照从不信任到信任的顺序排序):

drop

    任何流入网络的包都被丢弃,不作出任何响应,只允许流出的网络连接。即使开放了某些服务(比如http),这些服务的数据也是不允许通过的。

block

    任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。

public(默认)

    用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的服务通过。

external

    用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的服务通过。

dmz

    用以允许隔离区(dmz)中的电脑有限地被外界网络访问,只允许选中的服务通过。

work

    用在工作网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。

home

    用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。

internal

    用在内部网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。

trusted

允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过(一路绿灯)。

查看当前的默认的区域:

 

设置默认的区域:

 

 

给某个区域开启某个服务

 

 

 

关闭某个服务:

 

如果没有指定zone的话,则是在默认的zone上操作。

 

查看某个zone上是否允许某个服务:

 

在firewalld里添加一个端口,这样就可以访问了:

 

 

查看开启了哪些端口:

 

 

查看某个接口是属于哪个zone的:

 

把接口加入到某个zone:

 

 

查看某个zone里开启了哪些服务、端口、接口:

 

现在默认的zone是trusted,虽然现在已经不允许http访问了,但是还能访问,为什么?

记住:因为trusted是最被信任的,即使没有设置任何的服务,那么也是被允许的,因为trusted是允许所有连接的。

有多个不同的zone,每个zone定义的规则是不一样的,因为所有的数据都是从网卡进入,到底使用哪个zone的规则,关键就在于这个网卡是在哪个区域的,比如下面的例子:

 

现在eth0是在public这个zone里的,此时public是允许http的:

 

但是默认的zone是external,且不允许http访问:

 

但是浏览器却能访问,证明了上面的说法。

如果改变eth0所在的zone,比如改到external:

 

则访问不了:

 

下面验证下源地址的意思:

网卡的source地址,也能决定可以使用哪个zone,新添加了一张网卡,此网卡开始默认不属于任何的zone:

 

此时通过访问eth1来访问web是访问不了的:

 

下面我们给public设置source,来自源192.168.30.0/24网段的都走public区:

 

 

通过验证,现在访问是成功的。

如果在external里面同时也加入192.168.30.0/24这个源呢?

 

显示为冲突,即一个源只能属于一个zone,不能同时属于多个zone。

 

以上是对tcp协议做的实验,下面对ICMP做一些演示:

首先获取firewalld所支持的ICMP类型:

 

记住:默认情况下是允许所有类型的ICMP通过。

 

下面阻断public的request的包:

 

这样凡是进来的是echo-request类型的包都会被拒绝,因为public是和eth0绑定在一块的,所以ping 192.168.2.130的时候是不通的:

 

 

删除此规则:

 

-端口的转发

 

意思是凡是来从external进来的22端口的数据包全部转发到192.168.30.254

 

验证:

 

 

更详细的写法,可以指定目标端口的:

 

 

查询:

 

删除:

 

未完待续…

本文转载自:http://www.rhce.cc/?p=1194

l
粉丝 0
博文 5
码字总数 0
作品 0
东城
私信 提问
Centos7/RHEL7-firewalld设置访问规则

  前言   CentOS7/RHEL7系统默认的iptables管理工具是firewalld,不再是以往的iptables-services,命令用起来也是不一样了,当然你也可以选择卸载firewalld,安装iptables-services。  ...

linux运维菜
2018/08/19
0
0
Centos7防火墙firewalld基本配置与端口转发

Centos7防火墙firewalld基本配置与端口转发 2018年12月14日 15:47:45 忒斯特 阅读数:69 1.firewalld基本介绍 Centos7开始已经放弃iptables,转而使用firewalld。从本质意义上讲,iptables和...

linjin200
01/26
155
0
fedora 28 , firewalld 防火墙控制,firewall-cmd 管理防火墙规则

今天,在使用fedora时,需要修改防火墙规则,一时间忘记了命令是什么,这里进行记录一下。 目前 fedora 28/ centos 7 使用 firewalld 作为防火墙软件;下面我就怎么简单管理防火墙规则进行记...

xuyaowen
2018/08/20
0
0
iptables规则备份恢复,firewalld的9个zone

10月29日任务 10.19 iptables规则备份和恢复 10.20 firewalld的9个zone 10.21 firewalld关于zone的操作 10.22 firewalld关于service的操作 linux防火墙-netfilter 保存和备份iptables规则 se...

zgxlinux
2018/10/29
48
0
CentOS 7 为firewalld添加开放端口及相关资料

1、运行、停止、禁用firewalld 启动:# systemctl start firewalld 查看状态:# systemctl status firewalld 或者 firewall-cmd --state 停止:# systemctl disable firewalld 禁用:# syste......

小田天
2017/11/04
48
0

没有更多内容

加载失败,请刷新页面

加载更多

CSS--列表

一、列表标识项 list-style-type none:去掉标识项 disc:默认实心圆 circle:空心圆 squire:矩形 二、列表项图片 list-style-img: 取值:url(路径) 三、列表项位置 list-style-position:...

wytao1995
今天
4
0
linux 命令-文本比较comm、diff、patch

本文原创首发于公众号:编程三分钟 今天学了三个文本比较的命令分享给大家。 comm comm 命令比较相同的文本 $ cat charabc$ cat chardiffadc 比如,我有两个文件char和chardiff如上,...

编程三分钟
今天
7
0
QML教程

https://blog.csdn.net/qq_40194498/article/category/7580030 https://blog.csdn.net/LaineGates/article/details/50887765...

shzwork
今天
5
0
HA Cluster之5

对于使用heartbeat v2版的CRM配置的集群信息都是保存在一个名为cib.xml的配置文件中,存放在/var/lib/heartbeat/crm/下。CIB:Cluster Information Base,由于xml文件配置不是那么方便,所以...

lhdzw
今天
6
0
玩转Redis-Redis基础数据结构及核心命令

  《玩转Redis》系列文章主要讲述Redis的基础及中高级应用,文章基于Redis5.0.4+。本文主要讲述Redis的数据结构String,《玩转Redis-Redis基础数据结构及核心命令》相关操作命令为方便对比...

zxiaofan666
今天
11
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部