linux - firewalld

什么是防火墙？
所谓防火墙指的是一个由 软件和 硬件设备组合而成、在 内部网和 外部网 之 间、 专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的 结合，使 Internet与 Intranet之间建立起一个 安全网关（Security Gateway），从而保护内部网免受非法用 户的侵入，防火墙主要由服务访问规则、验证工具、 包过滤和 应用网关4个 部分组成，防火墙就是一个位于 计算机和它所连接的 网络之间的 软件或 硬件。该计算机流入流出的所有 网络通信和 数据包均要经过此防火墙。

在网络中，所谓“ 防火墙”，是指一种将 内部网和公众访问网（如Internet）分开的方法，它实际上是一种 隔离技术。防火墙是在两个网络通讯时执行的一种 访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的 黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的不同区域zone 有不同的权限


(1) 要使用防火墙，我们首先需要打开防火墙 并设置为开机自动开启



(2) 以下列出了一些常见的firewalld 的命令

firewall-cmd --get-zones                                       #查看可用区域
firewall-cmd --state                                           #查看firewalld的状态
firewall-cmd --get-default-zone                                #查看当前默认活动的区域
firewall-cmd --get-default-zone=trusted                        #修改默认区域为trusted，可以接受任何连接

 

经zone 设置为 trusted  这样就可以接受各种连接了


然后再在另外一台主机访问http

firewall-cmd --list-all             #查看所有防火墙的策略
firewall-cmd --add-service=http     #添加http服务可以通过防火墙策略
firewall-cmd --reload               #重新加载

列出策略

添加服务 （临时，重新加载后会删除）


永久添加服务



使用配置文件添加防火墙通过服务
vim /etc/firewalld/zones/public.xml


删除添加的服务




设置防火墙通过某个端口




Direct Rules

例：firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.16.216 -p tcp --dport 22 -j ACCEPT   

除了172.25.16.216 其他的人都可以访问22端口

firewall-cmd --reload 

将添加策略命令中的add 还成remove可以删除某条策略

不同网卡接口的访问设置





添加 Rich Rules

实验所用的 服务端有两个网卡，ip 分别是 172.25.254.116 和 172.25.16.116      客户端 的ip是172.25.16.216  真机的ip是 172.25.254.16

端口转换，从客户端到真机

服务端添加策略



测试 : 从客户机连真机


 
地址伪装 真机到客户机




客户端登陆真机，显示域名为服务端116主机，伪装成功