应用管理-防火墙

于 2021-08-18 20:34:48 发布
阅读量163 收藏
点赞数
分类专栏: 云计算 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lifeivv123/article/details/119778610
版权

防火墙

  • 构建web服务:提供一个页面内容

    • 安装httpd
    • 重启httpd服务
    • 测试访问
    • 书写页面文件
      • 存放位置:/var/www/html/
      • 网页名称:index.html
    • 构建FTP服务:文件传输
      • 安装vsftpd
      • 重启服务
      • 测试访问 ftp://127.0.0.1
      • 默认共享路径 /var/ftp/

  • 防火墙概述

    • 严格过滤入栈,允许出站
    • 系统服务:firewalld
    • 管理工具:firewall-cmd firewall-config
    • 预设安全区域
      • public:仅允许访问本机的sshd、dhcp、ping3个服务
      • trustd: 允许任何访问
      • block: 阻塞任何来访请求
      • drop:丢弃任何来访的数据包
    • 匹配原则:匹配及停止
        1. 查看数据包中源IP地址,查询源IP属于哪个区域,使用该区域规则
        1. 无区域匹配时,默认进入public
          [root@localhost ~]# firewall-cmd --get-default-zone //查看默认区域
          public
          [root@localhost ~]# firewall-cmd --set-default-zone= //更改默认区域
          block dmz drop external home internal public trusted work
    • 区域中添加协议
      • 查看区域中有哪些规则
      • [root@localhost ~]# firewall-cmd --zone=public --list-all
        public (active)
        target: default
        icmp-block-inversion: no
        interfaces: eth0
        sources:
        services: dhcpv6-client ssh
        ports:
        protocols:
        masquerade: no
        forward-ports:
        source-ports:
        icmp-blocks:
        rich rules:
      • 互联网常见协议
        • http:80:超文本传输协议
        • https:445:安全超文本传输协议
        • ftp:21:文本传输协议
        • tftp:69:简单的文件传输协议
        • telnet:23:远程管理协议
        • dns:53:域名解析协议
        • snmp:简单网络管理协议
        • smtp:邮件协议(发邮件)
        • pop3:邮件协议(收邮件)
      • 添加服务
      • 临时添加
        • [root@localhost ~]# firewall-cmd --zone=public --add-service=http
          success
          [root@localhost ~]# firewall-cmd --zone=public --add-service=ftp
          success
          [root@localhost ~]# firewall-cmd --zone=public --list-all
          public (active)
          target: default
          icmp-block-inversion: no
          interfaces: eth0
          sources:
          services: dhcpv6-client ftp http ssh
      • 永久添加 (使用参数permanent,最后要reload)
        [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=http
        success
        [root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=ftp
        success
        [root@localhost ~]# firewall-cmd --reload
        success
      • 区域中添加源IP地址
        单独拒绝某ip所有的访问
        [root@localhost ~]# firewall-cmd --zone=block --add-source=(IP地址)
        * 配置规则的位置
      • 运行时(runtime)
      • 永久(permanent)

  • 实现本机的端口银蛇

    • 本地应用的端口重定向(端口1 -->端口2)
      • 从客户机5423端口的请求,自动映射到本机80端口
      • [root@localhost ~]# firewall-cmd --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
        success
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值