<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
Firewalld防火牆安全防護
2022-07-23 10:00:04
引言
Firewalld 服務是紅帽 RHEL7 系統中預設的防火牆管理工具,特點是擁有執行時設定與永久設定選項且能夠支援動態更新以及 "zone" 的區域功能概念,使用圖形化工具 firewall-config 或文字管理工具 firewall-cmd,下面實驗中會講到~
區域概念與作用
防火牆的網路區域定義了網路連線的可信等級,我們可以根據不同場景來呼叫不同的 firewalld 區域,區域規則有:
| 區域 | 預設規則策略 |
|---|---|
| trusted | 允許所有的封包。 |
| home | 拒絕流入的封包,除非與輸出流量封包相關或是 ssh,mdns,ipp-client,samba-client 與 dhcpv6-client 服務則允許。 |
| internal | 等同於 home 區域 |
| work | 拒絕流入的封包,除非與輸出流量封包相關或是 ssh,ipp-client 與 dhcpv6-client 服務則允許。 |
| public | 拒絕流入的封包,除非與輸出流量封包相關或是 ssh,dhcpv6-client 服務則允許。 |
| external | 拒絕流入的封包,除非與輸出流量封包相關或是 ssh 服務則允許。 |
| dmz | 拒絕流入的封包,除非與輸出流量封包相關或是 ssh 服務則允許。 |
| block | 拒絕流入的封包,除非與輸出流量封包相關。 |
| drop | 拒絕流入的封包,除非與輸出流量封包相關。 |
簡單來講就是為使用者預先準備了幾套規則集合,我們可以根據場景的不同選擇合適的規矩集合,而預設區域是 public。
字元管理工具
如果想要更高效的設定妥當防火牆,那麼就一定要學習字元管理工具 firewall-cmd 命令, 命令引數有:
| 引數 | 作用 |
|---|---|
| --get-default-zone | 查詢預設的區域名稱。 |
| --set-default-zone=<區域名稱> | 設定預設的區域,永久生效。 |
| --get-zones | 顯示可用的區域。 |
| --get-services | 顯示預先定義的服務。 |
| --get-active-zones | 顯示當前正在使用的區域與網路卡名稱。 |
| --add-source= | 將來源於此 IP 或子網的流量導向指定的區域。 |
| --remove-source= | 不再將此 IP 或子網的流量導向某個指定區域。 |
| --add-interface=<網路卡名稱> | 將來自於該網路卡的所有流量都導向某個指定區域。 |
| --change-interface=<網路卡名稱> | 將某個網路卡與區域做關聯。 |
| --list-all | 顯示當前區域的網路卡設定引數,資源,埠以及服務等資訊。 |
| --list-all-zones | 顯示所有區域的網路卡設定引數,資源,埠以及服務等資訊。 |
| --add-service=<服務名> | 設定預設區域允許該服務的流量。 |
| --add-port=<埠號/協定> | 允許預設區域允許該埠的流量。 |
| --remove-service=<服務名> | 設定預設區域不再允許該服務的流量。 |
| --remove-port=<埠號/協定> | 允許預設區域不再允許該埠的流量。 |
| --reload | 讓 “永久生效” 的設定規則立即生效,覆蓋當前的。 |
特別需要注意的是 firewalld 服務有兩份規則策略設定記錄,必需要能夠區分:
- RunTime: 當前正在生效的。
- Permanent: 永久生效的。
當下面實驗修改的是永久生效的策略記錄時,必須執行 "--reload" 引數後才能立即生效,否則要重啟後再生效。
檢視當前的區域:
$ firewall-cmd --get-default-zone public
查詢 eno16777728 網路卡的區域:
$ firewall-cmd --get-zone-of-interface=eno16777728 public
在 public 中分別查詢 ssh 與 http 服務是否被允許:
$ firewall-cmd --zone=public --query-service=ssh yes $ firewall-cmd --zone=public --query-service=http no
設定預設規則為 dmz:
$ firewall-cmd --set-default-zone=dmz
讓 “永久生效” 的組態檔立即生效:
$ firewall-cmd --reload success
啟動/關閉應急狀況模式,阻斷所有網路連線:
應急狀況模式啟動後會禁止所有的網路連線,一切服務的請求也都會被拒絕,當心,請慎用。
$ firewall-cmd --panic-on success $ firewall-cmd --panic-off success
如果您已經能夠完全理解上面練習中 firewall-cmd 命令的引數作用,不妨來嘗試完成下面的模擬訓練吧:
模擬訓練 1
允許 https 服務流量通過 public 區域,要求立即生效且永久有效:
方法一: 分別設定當前生效與永久有效的規則記錄:
$ firewall-cmd --zone=public --add-service=https $ firewall-cmd --permanent --zone=public --add-service=https
方法二: 設定永久生效的規則記錄後讀取記錄:
$ firewall-cmd --permanent --zone=public --add-service=https $ firewall-cmd --reload
模擬訓練 2
不再允許 http 服務流量通過 public 區域,要求立即生效且永久生效:
$ firewall-cmd --permanent --zone=public --remove-service=http success
使用引數 "--reload" 讓永久生效的組態檔立即生效:
$ firewall-cmd --reload success
模擬訓練 3
允許 8080 與 8081 埠流量通過 public 區域,立即生效且永久生效:
$ firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp $ firewall-cmd --reload
模擬訓練 4
檢視模擬實驗 C 中要求加入的埠操作是否成功:
$ firewall-cmd --zone=public --list-ports 8080-8081/tcp $ firewall-cmd --permanent --zone=public --list-ports 8080-8081/tcp
模擬實驗 5
將 eno16777728 網路卡的區域修改為 external,重啟後生效:
$ firewall-cmd --permanent --zone=external --change-interface=eno16777728 success $ firewall-cmd --get-zone-of-interface=eno16777728 public
埠轉發功能可以將原本到某埠的封包轉發到其他埠:
firewall-cmd --permanent --zone=<區域> --add-forward-port=port=<源埠號>:proto=<協定>:toport=<目標埠號>:toaddr=<目標 IP 地址>
將存取 192.168.10.10 主機 888 埠的請求轉發至 22 埠:
$ firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10 success
使用客戶機的 ssh 命令存取 192.168.10.10 主機的 888 埠:
$ ssh -p 888 192.168.10.10 The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established. ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts. root@192.168.10.10's password: Last login: Sun Jul 19 21:43:48 2015 from 192.168.10.10
再次提示: 注意立即生效與重啟後依然生效的差別,千萬不要修改錯了。
模擬實驗 6
設定富規則,拒絕 192.168.10.0/24 網段的使用者存取 ssh 服務:
firewalld 服務的富規則用於對服務、埠、協定進行更詳細的設定,規則的優先順序最高。
$ firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"source address="192.168.10.0/24"service name="ssh"reject" success
以上就是Firewalld防火牆安全防護的詳細內容,更多關於Firewalld防火牆的資料請關注it145.com其它相關文章!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45