Linux--firewall高级配置_sudo firewall-cmd list direct

原创 于 2025-01-18 01:42:39 发布
· 376 阅读 · 3 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #list #网络

地址伪装可以实现局域网多个地址共享单一公网地址上网。

二,端口转发

可以通过端口转发将私网地址的服务器发布到公网

三,富规则命令

选项说明
–add-rich-rule**=‘RULE’**向指定区域中添加RULE,如果没有指定区域,则为默认****区域
–remove-rich-rule**=‘RULE’**从指定区域中删除RULE,如果没有指定区域,则为默认****区域
–query-rich-rule**=‘RULE’**查询RULE是否已添加到指定区域,如果未指定区域,则为默认区域。规则存在,则返回0,否则返回****1
–list-rich-rules输出指定区域的所有富规则,如果未指定区域,则为默认****区域

已配置
富语言
规则
显示方式

firewall-
cmd
–list-all

firewall-
cmd

list-all-zones

富语言规则
具体语法

source

destination

element

service

port

protocol

icmp
-block

masquerade

forward-port

log

audit

accept|reject|drop

source:限制源IP地址

destination:限制目标地址

element:要素,该项只能是以下几种要素类型之一

service:服务

port:端口

protocol:协议

icmp-block:阻断一个或多个ICMP类型

masquerade:规则里的IP伪装

forward-port:将指定的TCP或UDP协议的数据包转发到本地的其他端口

log:系统日志

audit:审核,类型:accept,reject,drop的一种

四,规则配置举例

1.为认证报头协议AH使用新的IPv4和IPv6连接

[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
success

2.允许新的IPv4和IPv6连接FTP,并使用审核每分钟记录一次

[root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
success

3.允许来自192.168.0.0/24地址的TFTP协议的IPv4连接,并且使用系统日志每分钟记录一次

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="xftp" level="info" limit value="1/m" accept'
success

4.为RADIUS协议拒绝所有来自1:2:3:4:6::的新IPv6连接,日志前缀为“dns”,级别为“info”,并每分钟最多记录3次。接受来自其他发起端新的IPv6连接

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
success
[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
success

5.将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接

[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
success

6.拒绝来自public区域中IP地址192.168.0.11的所有流量

[root@localhost ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
success

7.丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包

[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
success

8.在192.168.1.0/24子网的dmz区域,接受端口7900-7905的所有TCP包

[root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
success

9.接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog。

2501_90253234
关注
linux7防火墙拒绝ip访问,FirewallD防火墙常用经验——开放端口——拒绝某个IP访问...
weixin_42363874的博客
05-10 1509
firewall-cmd --zone=public --add-interface=eth0--permanent添加网卡eth0到public区域,永久生效firewall-cmd --zone=public --remove-interface=eth0--permanent 删除网卡eth0到public区域,永久生效firewall-cmd --get-active-zone查看系统所...
Firewalld防火墙访问设置(二)
BBQwu1wukao的博客
05-12 1281
Firewalld防火墙访问设置二一、firewalld高级配置1、IP地址地址伪装2、端口转发3、富语言规则二、配置防火墙1、富语言规则使用2、配置IP地址伪装3、配置端口转发 一、firewalld高级配置 1、IP地址地址伪装 1)IP地址伪装的作用 将多个私网IP地址映射到一个公网IP地址访问互联网 2)IP地址伪装特点 节约公网IP地址 隐藏内部网络 增强网络安全性 只能配置IPv4协议 2、端口转发 1)端口转发的作用 将一个IP地址和端口号映射到另一个IP地址和端口上上 2)
Linux--firewall高级配置
征服Bug的博客
08-08 788
地址伪装可以实现局域网多个地址共享单一公网地址上网。
linux防火墙firewalld常用操作
andyguan01_2的博客
04-16 486
一、防火墙的开启、关闭、禁用命令 1、设置开机启用防火墙:systemctl enable firewalld.service 2、设置开机禁用防火墙:systemctl disable firewalld.service 3、检查防火墙状态:systemctl status firewalld 出现Active: active (running)且高亮显示则表示是启动状态。 出现A...
linux防火墙(firewall)对端口和IP开放与限制
weixin_45039768的博客
08-06 5922
【代码】linux防火墙(firewall)对端口和IP开放与限制。
firewall-cmd命令配置
热门推荐
看清所以看轻
08-31 1万+
1)启动、停止、查看firewalld服务在安装CentOS 7系统时,会自动安装firewalld和图形化工具firewall-config。执行以下命令可以启动firewalld并设置为开机自启动状态。 如果firewalld正在运行,通过systemctl status firewalld 或firewall-cmd 命令可以查看其运行状态。 或 如果想要禁用firewalld,执行以...
14. Linux-RHCE-firewalld-高级配置技巧
# 1. 理解Linux防火墙与...它提供了一种简单而强大的方法来对网络连接进行管理和控制,可以灵活地配置防火墙规则,适应不同的网络环境和需求。 ## 1.3 Linux防火墙与firewalld的关系 在Linux系统中,firewalld
15. Linux-RHCE-firewalld-高级设置技巧
Firewalld是一个Linux防火墙管理器,它提供了一个动态管理防火墙规则的方式,可以帮助管理员轻松地配置和管理系统防火墙。Firewalld采用D-Bus作为通信接口,支持IPv4和IPv6,提供了更加灵活和强大的防火墙管理功能。...
初识Linux-firewalld:如何安装与配置
它作为iptables的替代品,提供了更加简单和灵活的防火墙配置方式。Linux-firewalld基于D-Bus系统总线与系统其他组件进行通信,具有动态管理规则的能力。 ## 1.2 为什么我们要使用Linux-firewalld? 使用Linux-...
Linux-firewalld应用黑名单的配置方法
Firewalld是一个动态管理的防火墙工具,它通过提供一种管理区域的方式简化了防火墙配置Firewalld使用基于区域的概念,允许用户将不同的网络接口划分为不同的区域,并为这些区域分配预定义的防火墙规则。 ## 1.2 ...
Linux——firewalld防火墙(二)
zj2059129607的博客
01-10 1255
地址伪装(masquerade):通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。P地址伪装仅支持IPv4,不支持IPv6。
浅谈linux系统firewalld防火墙常用策略(ipv6、ipv4)
Mr.Wang的博客
12-08 7165
本文以CentOS7系统为例来讲述firewalld防火墙常用命令以及基础策略,主要记录博主日常维护系统常用防火墙命令操作,网络安全需求日益增长,需要大家共同努力维护绿色安全。
firewalld高级配置,富语言、以及防火墙应用
礁之的博客
12-19 1363
IP伪装、端口转发,富规则,以及防火墙应用
linuxfirewall限制ip,Centos7防火墙firewall-cmd开放或限制IP和端口
weixin_36138385的博客
05-10 773
防火墙firewall安装yum -y install firewall firewall-configfirewall启用禁用#开启systemctl start firewalld#查看状态systemctl status firewalld#开机启动systemctl enable firewalld#禁用systemctl disable firewalld#停用systemctl st...
Linux CentOS 8(firewalld的配置与管理)
正月十六工作室
10-24 5991
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
firewalld防火墙
m0_60655253的博客
11-09 613
1、firewalld防火墙 netfilter:内核态,使用的内核与iptables相同。 firewalld:用户态,提供了图形化配置界面和富语言的命令语句设置。比iptables的功能更多。 2、firewalld数据处理流程 firewalld检查数据来源的源地址,匹配区域规则 1.如果源地址关联到特定的区域,则执行该区域指定的规则。 2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则 3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则
firewalld的图形化管理和命令管理
qq_44776215的博客
08-15 515
1.什么是firewalld? 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15) 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出 防火墙是系统的第一道防线,其作用是防止非法用户的进入 centos 7中防火墙FirewallD...
第三章: firewalld 防火墙
GUOJUNWEI11的博客
01-10 568
【代码】第三章: firewalld 防火墙。
linux8 怎么配置firewalld规则?
最新发布
11-12
sudo firewall-cmd --list-all ``` 8. **关闭防火墙**: 当不再需要firewalld时,可以运行: ```bash sudo systemctl stop firewalld ``` 记得在操作完之后,使用`--reload`或`--commit`命令使改动生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值