(企业服务篇)火墙服务firewalld

最新推荐文章于 2022-03-09 19:46:36 发布
原创 最新推荐文章于 2022-03-09 19:46:36 发布 · 289 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#firewalld

本文详细介绍Firewalld的安装、启动、配置方法,包括端口管理、服务添加、网络区域设置及直接规则操作,适合系统管理员和网络工程师学习。

Firewalld:

启用firewalld

yum install -y firewalld firewall-config -y下载firewalld 和firewalld-config(此文件是firewalld的图形接口)软件
systemctl start  firewalld开启firewalld软件
systemctl enable firewalld将firewalld设置成开机自启
systemctl disable firewalld关闭firewalld的开机自启
systemctl stop firewalld关闭火墙服务

本文只针对于firewalld的命令来进行firewalld的配置:iptables在下一篇博客中会详细描述。

端口添加删除服务命令:(selinux附加的内容)

semanage port -a -t http_port_t -p tcp 777   ##将777端口给http_port_t
semanage port -d -t http_port_t -p tcp 777   ##删除http_port_t的使用权
semanage port -l | grep http   ##查看http的端口信息
netstat -antlupe | grep httpd   ##查看软件正在用的端口

semanage port -l |grep http   ###显示http的端口信息
实验:将777给httpd用,修改阿帕奇的配置文件把,阿帕奇的端口设置成刚刚开启的端口,重启apache重启成功表示成功

1>

2>

3>

4>

5>

6>

注:上面的截图可以看见此时777端口已经加在了http服务下

 火墙的运行原理:

动态火墙后台程序firewalld提供一个动态管理的防火墙,用以支持网络“zeons”,以分配一个对网络及其相关链接和界面一定程度的信任。它具备对IPv4和ipv6防火墙设置的支持。它支持一个通向服务或者应用程序以直接增加防火墙规则的接口
  系统提供了图像化的配置工具firewall-config,system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld用户性或者非永久性运行时间的改变:它依次用iptables工具与执行数据筛选的内核中的Netfilter通信

网络区名称                                                                        默认配置
work(工作)用于工作区,仅接受ssh,mdns,ipp-client或dhcpv6-client 服务连接
drop(丢弃)任何接受的网络数据包都被丢弃,没有任何回复
internal(内部)用于内部网络,仅接受ssh,mdns,ipp-client,samba-client或dhcpv6-client 服务连接
external(外部)出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
trusted (信任)可以接受所有的网络连接
home(家庭) 用于家庭网络,仅接受ssh,mdns,ipp-client samba-client或dhcpv6-client 服务连接
dmz(非军事区)仅接受ssh服务连接
public(公共)在公共区域使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
block(限制)拒绝所有网络连接

使用命令行接口配置防火墙:

命令                           解释
firewall-cmd --state 显示火墙的运行状态
firewall-cmd --get-active-zones显示当前活动的区域
firewall-cmd --get-default-zone显示当前的默认域
firewall-cmd --get-zones查看firewalld的所有的域
firewall-cmd --zone=public --list-all显示public域的所有信息
firewall-cmd --get-services显示firewalld的所有服务
firewall-cmd --list-all-zones列出所有的域及其详细信息
firewall-cmd --set-default-zone=work将默认域设置成work域

1>firewall-cmd --state      

                        
2>firewall-cmd --get-active-zones


3>firewall-cmd --get-default-zone


4>firewall-cmd --get-zones


5>firewall-cmd --zone=public --list-all


6>firewall-cmd --get-services


7>firewall-cmd --list-all-zones


8>firewall-cmd --set-default-zone=dmz

命令:

firewall-cmd --zone=trusted --add-source=172.25.254.6  ###将172.25.254.6加入到信任域里

firewall-cmd --zone=work  --remove-interface=eth1    ###将网卡eth1从work域中删除

firewall-cmd --zone=trusted --add-interface=eth1   将网卡设备eth1加入到trusted域里面

firewall-cmd --add-service=dns      ###将dns服务加入到默认域中

通过上面的介绍我们已经能够知道火墙的运行机制了,但是在实际的生产环境中会遇到更加精确的产品要求,这就需要了解下面的知识:

Direct Rules  :

通过firewall-cmd 工具,可以使用 --direct选项在运行时间里增加或者移除链。如果不熟悉iptables,使用直接接口非常危险,因为您可能在无意间导致防火墙被入侵。直接端口模式适用于服务或程序,一边在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用

实验:端口的转发:

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:tport=22:toaddr=172.25.254.6        ####将访问本机的22端口的信息转发到ip为172.25.254.6的22端口上,此时在访问目标ssh 172.25.254.106的时候会自动连接到ip:172.25.254.6主机上。

实验1:

firewall-cmd --zone=trusted --add-source=172.25.254.6    ###将172.25.254.6加入到信任域里

此时当前服务端的主机的默认域是work域,并且work域里面没有允许httpd服务:

测试:在两套不同ip的主机上访问服务端的httpd:

主机1:ip:172.25.254.6:

主机2 ip :172.25.254.206访问结果:

 

firewalld的伪装:

实验:

客户端设置:

设置客户端ip是:1.1.1.206将本机的网关设置成1.1.1.106(服务器端的ip地址)

服务器端设置:

1.设置服务端ip是:1.1.1.106和172.25.254.106:

2.将服务端的火墙的伪装功能打开:

1>firewall-cmd --permanent --add-masquerade(注:前面的permanent指的是永久更改,需要重新加载firewall的配置文件才能生效)

2>firewall-cmd --reload(注:这个reload是重新读取firewalld的配置文件,也就是说临时设定的不会其作用)

3.将服务器端的内核路由功能打开:

vim /etc/sysctl.conf    

sysctl -p                ###重新加载内核路由策略

sysctl -a |grep ip_forward       ###查看内核路由功能

测试:

在客户端上ping 172.25.254.106:

自定义表
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT

此时主机172.25.254.6在连接172.25.254.106的22端口的时候会被接受


firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT

####将刚才设置的firewall的域的信息删除
###direct表示指定  表是filter中的INPUT第一行 -p 端口类型 --dport 端口22
-s 指定源, -j 表示的动作
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22! -s 172.25.254.6 -j ACCEPT
实验:
在服务端设置:将默认域的ssh服务去掉
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22! -s 172.25.254.6 -j ACCEPT  ###这句的命令是除了172.25.254.6连不上,剩下的都连的上。

实验截图:

172.25.254.6主机连接106主机的时候:

172.25.254.206主机连接106主机的时候:

动作有三种:
1.ACCEPT   2.DROP  3.REJECT
不同的动作对于ssh有不同的回应

DROP的时候目的主机会将所有发送到22端口的数据包都丢弃;(此时连接就没有反馈)

REJECT的时候目的主机会直接拒绝连接(连接请求有反馈)

 

 

halobios_
关注
新秀 ##Linux企业级高速缓存DNS配置##
China_zgd的博客
05-24 395
高速缓存DNS:DNS 服务器可以高速缓存从其他 DNS 服务器收到的 DNS 记录。 也可以在 DNS 客户服务中使用高速缓存,将其作为 DNS 客户端保存在最近的查询过程中得到的信息高速缓存的方法。 总的来说就是提高解析速度。 高速缓存DNS服务下载与配置 %%在虚拟机: [root@foundation20 ~]# rht-vmctl view desktop ...
Linux下的软件管理(包括rpm命令,yum软件仓库,第三方软件仓库,共享软件仓库)
ly_qiu的博客
02-18 578
软件安装包格式类型 老师发文件后在复制过来 26::00 绿色: 解压后就能用 33:30 rpm不能指定路径 36:20 rpm命令 参数 作用 -ivh - – – – – – – 设定实验环境: mkdir /westos 在虚拟机系统光驱中添加系统匹配镜像 1 2 3 rpm -qa | grep dhc...
Linux防火墙在中小型企业的应用
07-30
Linux防火墙在中小型企业的应用论文。
企业级Firewalld火墙】【企业级火墙配置】【fierwalld 操作案例】
mingqing的博客
10-05 1684
文章目录企业级Firewalld火墙**1、区域:**命令详解**firewalld配置使用**更改默认区域向public区域添加服务企业级火墙配置iptables -Ffierwalld 操作案例 企业级Firewalld火墙 rhel 7:firewall-cmd工具,firewalld服务 1、区域: firewalld将网卡对应到不同的区域(zone),通过不同的zone定义了不同的安全等级 命令详解** firewalld配置使用** 查看默认区域: 更改默认区域 向public区域
firewall-cmd --direct
11-24 2832
直接选项 直接选项可以更直接地访问防火墙。这些选项要求用户知道基本的iptables概念,即table(filter / mangle / nat / ...),chain(INPUT / OUTPUT / FORWARD / ...),命令(-A / -D / -I / .. 。),参数(-p / -s / -d / -j / ...)和目标(ACCEPT / DROP / REJECT / ...)。直接选项应该仅作为最后的手段,当它不可能使用时诸如--add-service=‘service’或--
nfs
wcczb的博客
06-09 427
nfs [root@localhost ~]# systemctl start firewalld.service 1. 安装 yum install nfs-utily systemctl start nfs-server.service     ##开启服务 systemctl enable nfs-server.service    ##开机自动开启 2. fire
什么是firewalld,简介、策略及规则(Centos7防火墙
礁之的博客
12-19 7743
火墙策略与规则一、linux防火墙简介- 防火墙技术种类:- 包过滤防火墙概述:- 包过滤的工作层次:二、firewalld简介- 概述:- 特点:- 工作原理(数据处理流程):- 网络区域: 一、linux防火墙简介 - 防火墙技术种类: (1)包过滤防火墙 packet filtering (2)应用代理防火墙 application proxy (3)状态检测防火墙 stateful inspection (firewalld是包过滤防火墙,所以这里只讲包过滤防火墙) - 包过滤防火墙概述: (1
linux环境搭建-linux防火墙、端口配置
weixin_44923168的博客
03-09 375
linux防火墙操作 #启动防火墙 systemctl start firewalld #禁用防火墙 systemctl stop firewalld #设置开机启动 systemctl enable firewalld #停止并禁用开机启动 systemctl disable firewalld
linux下的火墙管理 (iptables
qq_42564122的博客
04-02 485
文章目录火墙介绍结构火墙管理工具切换iptables 的使用 火墙介绍 数据访问流程: 以apache为例:当外部数据想要访问apache时,首先要通过内核的80端口进行访问内核,内核同意访问,外部数据才能访问到apache上的数据。 火墙火墙为内核上的插件,其功能为对来访的数据包进行过滤筛选(起到是否同意访问的功能)。 netfilter: 为了保证数据交换的安全性,内核上开启了一个名为ne...
Linux中使用无人值守安装脚本的一些注意事项及PXE环境搭建
小螺号的博客
11-10 363
文章目录前言一、kickstart 自动安装脚本制作之前的准备工作二、具体步骤1、用模板自作 kickstart2、搭建 dhcpd 服务器3、测试三、PXE环境搭建四、具体操作 前言 在企业中安装多台操作系统时面临的问题: 当安装 Linux 操作系统时,安装过程会需要回答很多关于设定的问题。这些问题必须手动选择,否则无法进行安装,当只安装 1 台 Linux 系统,手动选择设定工作量比较轻松。当安装多台 Linux,这些设定需要重复多次,这些重复动作是效率底下的操作 解决办法: 用文件来记录所有安装过
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2568
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
Linux firewall-cmd 命令详解
热门推荐
三生万物
09-26 6万+
宽为限 紧用功 功夫到 滞塞通 firewall-cmd Linux上新用的防火墙软件,跟iptables差不多的工具。补充说明firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld跟iptables比起来至少有两大好处:firewalld
Linux系统的firewall(配置火墙相关参数,firewalld“三表五链“、端口转发、地址伪装)
monster_warm的博客
08-19 1763
firewalld 概述 动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones“以分配对一个网络及其相关链接和界面一定程序的新人。具备对IPV4和IPV6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 配置防火墙相关参数 使用图形方式进行添加 firewall-config ...
AO3镜像使用指南[可运行源码]
01-01
本文提供了AO3作品库非官方镜像的使用指南,包括搭建个人镜像站点的步骤、访问被屏蔽内容的方法以及项目API的使用建议。用户可以通过克隆代码、准备环境、配置部署和运行服务来搭建自己的镜像站点。访问镜像站点时,建议选择推荐的镜像地址,并在遇到问题时尝试不同的站点或刷新页面。对于开发者,建议直接与项目维护团队沟通以获取API接口的详细信息。使用非官方镜像可能存在风险,用户应确保个人信息安全,并定期查看项目主页以获取最新指导。
2022年超额管理费用测算代码与数据:企业寻租代理变量Rent的构建与应用
01-01
本研究选取2001年至2022年间的上市公司数据作为初始样本,共计包含45,649个观测值。在样本筛选过程中,依据学术惯例,剔除了金融行业公司、被标记为ST或PT状态的企业、已处于资不抵债状况的公司,以及关键变量数据存在缺失的样本。 在衡量企业寻租活动强度方面,本研究借鉴了陈骏等学者于《会计研究》2021年发表的研究方法。具体而言,首先构建了管理费用率的回归模型,随后提取该模型的残差项,并将其定义为超额管理费用。该残差值被命名为Rent,并作为企业寻租程度的代理变量纳入后续分析。 本研究可提供完整的原始数据集、数据处理与分析的执行程序代码,以及最终的实证结果。结果文件将以Excel和Stata(dta)两种常用格式提供,以确保研究过程的可复现性与结果的易用性。 主要参考文献如下: 1. 陈骏, 徐捍军, 林婧华. 企业寻租如何影响审计意见购买?[J]. 会计研究, 2021. 2. 刘春奇, 王秋红, 晁峰. 超额管理费用与企业“真实”业绩:促进还是抑制[J]. 南方经济, 2017.。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
欧姆龙触摸屏软件MPTST 5.02.zip
最新发布
01-01
源码地址: https://pan.quark.cn/s/a4b39357ea24 欧姆龙触摸屏编程软件MPTST 5.02是专门为欧姆龙品牌的工业触摸屏而研发的编程解决方案,它赋予用户在直观界面上构建、修改以及排错触摸屏应用程序的能力。 该软件在工业自动化领域具有不可替代的地位,特别是在生产线监视、设备操控以及人机互动系统中发挥着核心作用。 欧姆龙MPTST(Machine Process Terminal Software Touch)5.02版本配备了多样化的功能,旨在应对不同种类的触摸屏项目要求。 以下列举了若干核心特性:1. **图形化编程**:MPTST 5.02采用图形化的编程模式,允许用户借助拖拽动作来设计屏幕布局,设定按钮、滑块、指示灯等组件,显著简化了编程流程,并提升了工作效率。 2. **兼容性**:该软件能够适配欧姆龙的多个触摸屏产品线,包括CX-One、NS系列、NJ/NX系列等,使用户可以在同一个平台上完成对不同硬件的编程任务。 3. **数据通信**:MPTST 5.02具备与PLC(可编程逻辑控制器)进行数据交互的能力,通过将触摸屏作为操作界面,实现生产数据的显示与输入,以及设备状态的监控。 4. **报警与事件管理**:软件中集成了报警和事件管理机制,可以设定多种报警标准,一旦达到预设条件,触摸屏便会展示对应的报警提示,助力操作人员迅速做出响应。 5. **模拟测试**:在设备实际连接之前,MPTST 5.02支持用户进行脱机模拟测试,以此验证程序的正确性与稳定性。 6. **项目备份与恢复**:为了防止数据遗失,MPTST 5.02提供了项目文件的备份及还原功能,对于多版本控制与团队协作具有显著价值。 7. **多语言支持**:针对全球化的应...
Java生成汉字方法-下载即用.zip
01-01
Java编程语言提供了生成汉字字符的方法,该方法通过编写Java程序来随机产生汉字。 下载方式:https://pan.quark.cn/s/2e4f1d1330a5 这种技术能够满足特定的生成汉字需求。 背景信息--------GB 2312-80是中国官方发布的简体中文字符集标准,全称为《信息交换用汉字编码字符集·基本集》,由中国国家标准管理机构于1981年5月1日正式推行。 GB2312编码在中国大陆广泛使用,同时新加坡等地区也采纳了这一编码体系。 在中国大陆,几乎所有中文处理系统和国际化软件均支持GB 2312。 GB2312标准总共包含了6763个汉字,其中一级汉字有3755个,二级汉字为3008个;此外还收录了包括拉丁字母、希腊字母、日文平假名及片假名字母、俄语西里尔字母等在内的682个字符。 GB2312标准的制定,基本上满足了汉字在计算机中的处理需求,其所收录的汉字已经覆盖了在中国大陆99.75%的使用频率。 Java编程实现随机汉字生成的方法-----------------------------在Java编程环境中,可以利用Random类来生成随机数值,并将这些数值转换为汉字字符。 以下是一个基础的示例代码:```javaimport java.io.UnsupportedEncodingException;import java.util.Random;public class GeneCharTest { public static void main(String[] args) { for (int i = 1; i < 24; i++) { System.out.print(getRandomChar() + " "); } } privat...
双色球历史数据分享[代码]
01-01
本文分享了从2013年1月1日至2024年2月29日的双色球历史数据,共计11年的数据,适合进行大数据分析。作者已经对数据进行了标准化处理,将6个红球和1个蓝球的数据列分割,并转化为数值类型,方便直接分析。文章还提供了数据下载的网盘链接和提取码,供彩友使用。此外,作者还提到之前分享的福彩和体彩历史数据采集器的安装使用步骤,并回应了彩友们的需求,直接提供了采集好的历史数据,省去了安装插件的环节。
基于Matlab的湍流通道流溶解过程参数化分析工具
01-01
本资源包为流体力学与化学传质交叉领域的研究提供了一套完整的数值模拟解决方案,重点针对湍流条件下通道内溶解物质的输运与分布规律进行定量分析。该工具集专为高等院校理工科专业的教育与科研需求设计,尤其适合计算机科学、电子工程及数学等相关学科的本科生在完成课程项目、综合设计或学位论文时使用。 软件环境兼容多个版本的MatLAB平台,包括2014a、2019b及后续的2024b发行版,确保了在不同实验室或个人计算环境中的可移植性。资源包内预置了经过验证的示例数据集,用户可直接调用主程序执行计算,显著降低了初始学习成本,使初学者能够迅速掌握基本操作流程。 代码架构采用模块化与参数驱动设计。所有关键物理参数(如流速、扩散系数、边界条件等)均集中于独立的配置模块,用户无需深入底层算法即可灵活调整计算条件,从而高效模拟多种湍流溶解场景。程序逻辑结构清晰,各功能段均配有详尽的说明注释,既阐述了数值方法的理论依据,也解释了关键步骤的实现意图,便于使用者理解模型构建过程并进行针对性修改。 在学术训练方面,本工具能够帮助学生将抽象的流体动力学与传质理论转化为可视化的数值实验结果,深化对湍流混合、浓度边界层等概念的理解。对于毕业设计或专题研究,其参数化框架支持用户嵌入自定义模型,开展创新性数值实验,为深入研究复杂流动中的溶解机制提供可靠的技术支撑。 总体而言,该MATLAB分析工具集通过结构化的代码设计、完备的案例支持与广泛的版本兼容性,为流体溶解现象的数值研究提供了一个高效、可扩展的计算平台,兼具教学示范与科研探索的双重价值。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
firewalld火墙的使用教程
03-08
systemctl start firewalld.service # 开启服务 systemctl enable firewalld.service # 设置开机自启 ``` #### 基本操作命令 - **查看状态** 要检查当前防火墙的状态以及活动区域的信息,可输入: ```bash ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值