日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
CentOS7下使用Firewall防火墻

在 centos 7 中,引入了一個(gè)新的服務(wù),F(xiàn)irewalld,下面一張圖,讓大家明確的了解防火墻 Firewall 與 iptables 之間的關(guān)系與區(qū)別。

安裝它,只需

yum install firewalld

如果需要圖形界面的話,則再安裝

yum install firewall-config

一、介紹

防火墻守護(hù) firewalld 服務(wù)引入了一個(gè)信任級(jí)別的概念來管理與之相關(guān)聯(lián)的連接與接口。它支持 ipv4 與 ipv6,并支持網(wǎng)橋,采用 firewall-cmd (command) 或 firewall-config (gui) 來動(dòng)態(tài)的管理 kernel netfilter 的臨時(shí)或永久的接口規(guī)則,并實(shí)時(shí)生效而無需重啟服務(wù)。

zone

  • drop: 丟棄所有進(jìn)入的包,而不給出任何響應(yīng)
  • block: 拒絕所有外部發(fā)起的連接,允許內(nèi)部發(fā)起的連接
  • public: 允許指定的進(jìn)入連接
  • external: 同上,對(duì)偽裝的進(jìn)入連接,一般用于路由轉(zhuǎn)發(fā)
  • dmz: 允許受限制的進(jìn)入連接
  • work: 允許受信任的計(jì)算機(jī)被限制的進(jìn)入連接,類似 workgroup
  • home: 同上,類似 homegroup
  • internal: 同上,范圍針對(duì)所有互聯(lián)網(wǎng)用戶
  • trusted: 信任所有連接

過濾規(guī)則

  • source: 根據(jù)源地址過濾
  • interface: 根據(jù)網(wǎng)卡過濾
  • service: 根據(jù)服務(wù)名過濾
  • port: 根據(jù)端口過濾
  • icmp-block: icmp 報(bào)文過濾,按照 icmp 類型配置
  • masquerade: ip 地址偽裝
  • forward-port: 端口轉(zhuǎn)發(fā)
  • rule: 自定義規(guī)則

其中,過濾規(guī)則的優(yōu)先級(jí)遵循如下順序

1.source
2.interface
3.firewalld.conf

二、使用方法

# systemctl start firewalld        # 啟動(dòng),
# systemctl enable firewalld        # 開機(jī)啟動(dòng)
# systemctl stop firewalld          # 關(guān)閉
# systemctl disable firewalld      # 取消開機(jī)啟動(dòng)

具體的規(guī)則管理,可以使用firewall-cmd ,具體的使用方法可以

$ firewall-cmd --help

--zone=NAME                        # 指定 zone
--permanent                        # 永久修改,--reload 后生效
--timeout=seconds                  # 持續(xù)效果,到期后自動(dòng)移除,用于調(diào)試,不能與 --permanent 同時(shí)使用

1. 查看規(guī)則

查看運(yùn)行狀態(tài)

$ firewall-cmd --state

查看已被激活的 Zone 信息

$ firewall-cmd --get-active-zones
public
  interfaces: eth0 eth1

查看指定接口的 Zone 信息

$ firewall-cmd --get-zone-of-interface=eth0
public

查看指定級(jí)別的接口

$ firewall-cmd --zone=public --list-interfaces
eth0

查看指定級(jí)別的所有信息,譬如 public

$ firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client http ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

查看所有級(jí)別被允許的信息

$ firewall-cmd --get-service

查看重啟后所有 Zones 級(jí)別中被允許的服務(wù),即永久放行的服務(wù)

$ firewall-cmd --get-service --permanent

2. 管理規(guī)則

# firewall-cmd --panic-on          # 丟棄
# firewall-cmd --panic-off          # 取消丟棄
# firewall-cmd --query-panic        # 查看丟棄狀態(tài)
# firewall-cmd --reload            # 更新規(guī)則,不重啟服務(wù)
# firewall-cmd --complete-reload    # 更新規(guī)則,重啟服務(wù)

添加某接口至某信任等級(jí),譬如添加 eth0 至 public,永久修改

# firewall-cmd --zone=public --add-interface=eth0 --permanent

設(shè)置 public 為默認(rèn)的信任級(jí)別

# firewall-cmd --set-default-zone=public

a. 管理端口

列出 dmz 級(jí)別的被允許的進(jìn)入端口

# firewall-cmd --zone=dmz --list-ports

允許 tcp 端口 8080 至 dmz 級(jí)別

# firewall-cmd --zone=dmz --add-port=8080/tcp

允許某范圍的 udp 端口至 public 級(jí)別,并永久生效

# firewall-cmd --zone=public --add-port=5060-5059/udp --permanent

b. 網(wǎng)卡接口

列出 public zone 所有網(wǎng)卡

# firewall-cmd --zone=public --list-interfaces

將 eth0 添加至 public zone,永久

# firewall-cmd --zone=public --permanent --add-interface=eth0

eth0 存在與 public zone,將該網(wǎng)卡添加至 work zone,并將之從 public zone 中刪除

# firewall-cmd --zone=work --permanent --change-interface=eth0

刪除 public zone 中的 eth0,永久

# firewall-cmd --zone=public --permanent --remove-interface=eth0

c. 管理服務(wù)

添加 smtp 服務(wù)至 work zone

# firewall-cmd --zone=work --add-service=smtp

移除 work zone 中的 smtp 服務(wù)

# firewall-cmd --zone=work --remove-service=smtp

d. 配置 external zone 中的 ip 地址偽裝

查看

# firewall-cmd --zone=external --query-masquerade

打開偽裝

# firewall-cmd --zone=external --add-masquerade

關(guān)閉偽裝

# firewall-cmd --zone=external --remove-masquerade

e. 配置 public zone 的端口轉(zhuǎn)發(fā)

要打開端口轉(zhuǎn)發(fā),則需要先

# firewall-cmd --zone=public --add-masquerade

然后轉(zhuǎn)發(fā) tcp 22 端口至 3753

# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=3753

轉(zhuǎn)發(fā) 22 端口數(shù)據(jù)至另一個(gè) ip 的相同端口上

# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100

轉(zhuǎn)發(fā) 22 端口數(shù)據(jù)至另一 ip 的 2055 端口上

# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100

f. 配置 public zone 的 icmp

查看所有支持的 icmp 類型

# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded

列出

# firewall-cmd --zone=public --list-icmp-blocks

添加 echo-request 屏蔽

# firewall-cmd --zone=public --add-icmp-block=echo-request [--timeout=seconds]

移除 echo-reply 屏蔽

# firewall-cmd --zone=public --remove-icmp-block=echo-reply

g. IP 封禁

# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.222.222.222' reject"


分享題目:CentOS7下使用Firewall防火墻
網(wǎng)頁網(wǎng)址:http://www.5511xx.com/article/cdshhjg.html