firewall防火墙

最新推荐文章于 2024-11-22 10:08:35 发布
最新推荐文章于 2024-11-22 10:08:35 发布
阅读量649 收藏 20
点赞数 19
文章标签: firewall linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NorthHadesFish/article/details/140156013
版权

firewalld 与 iptables异同点

相同点:

firewalld 与 iptables 都是 Linux 中防火墙的管理程序,但其实其角色主要为对于防火墙策略的管理,真正的防火墙执行者是位于内核中的 Netfilter。

不同点:

iptables 仅能通过命令行进行配置;而 firewalld提供了图形接口,类似windows防火墙的操作方式

iptables 每一个单独更改意味着清除所有旧的规则,并从 /etc/sysconfig/iptables 中读取所有新的规则;而 firewalld 在有规则变动后,可以仅仅运行规则中的不同之处,即在 firewalld 运行时间内,改变设置时可以不丢失现行链接

iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件中

iptables 没有守护进程,并不能算是真正意义上的服务;而 firewalld 有守护进程

一:NAT 转发软路由

开启 NAT 转发之后,只要本机可以上网,不论是单网卡还是多网卡,局域网内的其他机器可以将默认网关设置为已开启 NAT 转发的服务器 IP ,即可实现上网。

# vim /etc/sysctl.conf

net.ipv4.ip_forward=1

## 重载网络配置生效

# sysctl -p

---------------------

# 开启 NAT 转发

firewall-cmd --permanent --zone=public --add-masquerade

firewall-cmd --zone=public --add-port=80/tcp --permanent# 检查是否允许 NAT 转发

NAT设置完成

二:端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。

# 将80端口的流量转发至8080

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

# 将80端口的流量转发至192.168.0.1

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1

# 将80端口的流量转发至192.168.0.1的8080端口

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080

添加拒绝某个IP访问ssh端口
firewall-cmd --add-rich-rule "rule family=ipv4 source address=10.0.10.1 service name='ssh' drop"

禁止响应ping
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'

查询是否有某个规则
firewall-cmd --query-rich-rule='rule family=ipv4 protocol value=icmp drop'

移除规则
firewall-cmd --remove-rich-rule='rule family=ipv4 protocol value=icmp drop'


拒绝来自public区域中IP地址为192.168.0.11的所有流量
firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'

允许来自192.168.0.0/24地址的TFTP协议的IPv4连接,并且使用系统日志每分钟记录一次
firewall-cmd --add-rich='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'

在192.168.1.0/24子网的dmz区域中,接收端口7900--1905的所有TCP包
firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'

firewalld(7)NAT、端口转发
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-03 1783
在前面的文章中已经介绍了firewalld了zone、rich rule等规则设置,并且在iptables的文章中我们介绍了网络防火墙、还有iptables的target,包括SNAT、DNAT、MASQUERADE、REDIRECT的原理配置。那么在这篇文章中,将继续介绍在firewalld中的NAT的相关配置使用。
firewall-cmd -nat转发实例.txt
08-08
firewall-cmd -nat转发实例
firewalld实现NAT端口转发
beck_li的博客
09-19 1055
指定地址访问指定的端口。
firewall-cmd NAT转发,使局域网内电脑可以上网
weixin_49888547的博客
04-07 1706
firewall-cmd NAT转发,使局域网内电脑可以上网 环境:拓扑图如下图,haproxy电脑可以上外网,其余6台机不可以上外网。操作之前默认为已经分别按如下图所示完成了IP的配置。 1 haproxy机器配置: #1启用IP转发 cat /proc/sys/net/ipv4/ip_forward 0 echo "1" > /proc/sys/net/ipv4/ip_forward cat /proc/sys/net/ipv4/ip_forward 1 #2修改网卡的zone #firewal
CentOS 7 NAT软路由
weixin_33805743的博客
10-30 1705
☼ NAT 转发软路由 开启 NAT 转发之后,只要本机可以上网,不论是单网卡还是多网卡,局域网内的其他机器可以将默认网关设置为已开启 NAT 转发的服务器 IP ,即可实现上网。   信任所有连接,并且开放NAT(一句完成) firewall-cmd --zone=trusted --add-interface=ens33 --permanent   # 开启 NAT 转发 fir...
Firewall防火墙配置
疏笃
11-22 1168
firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 ipv4, ipv6 防火墙设置以及以太网桥接,并且拥有运行时配置永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。
firewall防火墙(一)
hey1616的博客
01-09 1358
Linux防火墙基础、firewall-cmd命令、服务管理、端口管理、两种配置模式、firewalld防火墙应用案例
centos 7中firewall防火墙的常用命令总结
01-10
关于CentOS7下Firewall防火墙配置用法可以通过这篇文章进行查看,下面来看看本文的主要内容关于centos 7中firewall防火墙的常用命令,需要的朋友们可以参考学习。 一、开启、关闭firewall 启动: systemctl start ...
centos7中firewall防火墙命令详解
09-15
要查看防火墙当前的状态,输入`firewall-cmd --state`,如果返回"running",则说明防火墙处于活动状态。你可以用`firewall-cmd --get-active-zones`来获取当前活动的区域,这些区域定义了不同的安全策略。 获取...
Linux防火墙构建软路由
Flex天空
12-03 1266
  文主要介绍利用Linux自带的Firewall软件包来构建软路由的一种方法,此方法为内部网与外部网的互连提供了一种简单、安全的实现途径。Linux自带的Firewall构建软路由,主要是通过IP地址来控制访问权限,较一般的代理服务软件有更方便之处。 一、防火墙 防火墙一词用在计算机网络中是指用于保护内部网不受外部网的非法入侵的设备,它是利用网络层的IP包过滤程序以及一些规则来保护内部网的一种策
LinuxFirewalld&iptables nat转发
机智的埃努
11-08 1419
firewalld&iptables nat转发
iptablesfirewall-cmd实现nat转发配置
weixin_34210740的博客
11-27 424
环境如下: A机器两块网卡eth0(192.168.0.173)、eth1(192.168.100.1),eth0可以上外网,eth1仅仅是内部网络,B机器只有eth1(192.168.100.3),A机器eth1可以通信互联。 需求让B机器可以连接外网,端口转发,通过A:1122连接B:22 iptables实现: 注意:如果不能成功需要清空ip...
配置firewalld网关服务器,实现Nat转发
qq_47148037的博客
05-25 547
1,在主机A上开启防火墙 [root@ c7-41 ~] systemctl start firewalld.service 2,插入ip转发,并生效 [root@ c7-41 ~] vim /etc/sysctl.conf [root@ c7-41 ~] cat /etc/sysctl.conf |grep -v '^#' net.ipv4.ip_forward=1 [root@ c7-41 ~] sysctl -p #生效 net.ipv4.ip_forward = 1 3,在主机B上关掉第一块网卡
firewall-cmd设置NAT转换
qq_26227841的博客
03-13 8485
1、启用IP转发 vim /etc/sysctl.conf net.ipv4.ip_forward = 1 sysctl -p #命令生效 2、修改网卡的zone firewall-cmd --permanent --zone=external --change-interface=ens33(出口网卡) 3、设置IP地址伪装 firewall-cmd --zone=external --add-...
CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网
weixin_30245867的博客
12-13 1313
自从用 HAProxy 对服务器做了负载均衡以后,感觉后端服务器真的没必要再配置并占用公网IP资源。 而且由于托管服务器的公网 IP 资源是固定的,想上 Keepalived 的话,需要挤出来 3 个公网 IP 使用,所以更加坚定了让负载均衡后端服务器释放公网 IP 的想法。 可是,后端服务器也不是简单释放公网 IP 就能正常工作的,正在运行的系统很多模块依然需要具有连接外网获取数据的能力。 所以...
Linux firewall NAT 及 端口转发
lizhengyu891231的博客
05-30 342
Linux firewall NAT 及 端口转发
iptables & firewalld & nat转发 & ssh其它功能
weixin_43690636的博客
08-09 801
1、firewalldiptables的区别 在centos7下默认使用的是firewalld,但是在工作中,大多是时间用到的是iptables,所以推荐使用iptables iptables默认每个服务都是开启的,需要拒绝才能限制;firewalld默认每个服务都是拒绝的,需要设置才能开放 iptables 服务在 /etc/sysconfig/iptables 中储存配置;而 FirewallD 将配置储存在 /usr/lib/firewalld/ /etc/firewalld/ 中的各种 XML
firewall防火墙开放端口
最新发布
02-09
Ubuntu 用户可借助 `ufw` (Uncomplicated Firewall) 来简化防火墙管理。要开放某个UDP端口(例如12345),命令如下所示: ```bash sudo ufw allow from 192.168.1.100 to any port 12345 proto udp ``` 此指令将仅限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值