总结

最新推荐文章于 2024-11-20 08:00:48 发布
最新推荐文章于 2024-11-20 08:00:48 发布
阅读量399 收藏 1
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wxiaomimang/article/details/106130021
版权

systemctl start firewalld #开启防火墙
firewall-cmd --get-zones #查看所有区域
firewall-cmd --get-default-zone #查看所处的区域(默认pubic)
firewall-cmd --list-all #查看规则明细(默认查看pubic)
firewall-cmd --list-all --zone=trusted|drop #查看trusted或drop区域规则明细,

常用区域: pubilc 默认区域
trusted 白名单 (默认允许所有)
drop 黑名单 (默认拒绝所有)

添加trusted和drop区域:–add-source
.将来源IP是10.0.0.0/24 走trusted区域。放行了所有。
[root@web01 ~]# firewall-cmd --add-source=10.0.0.0/24 --zone=trusted

---------------------------------添加:–add-port|service
1.1端口设置
firewall-cmd --add-port=8080/tcp --permanent #–add-port:根据端口添加, --permanent:永久添加
firewall-cmd --add-port={9000,9005}/tcp #一次添加多个端口

1.2服务名称设置
firewall-cmd --add-service=http|nfs --permanent #–add-service:根据服务名称添加
vim /usr/lib/firewalld/services/http.xml (http默认端口配置文件)#其实也是根据端口号进行添加,所有服务的配置文件在这个目录下面,如果有的服务没有可以cp一份配置文件修改默认端口号就可以.
---------------------------------删除:–remove-port|service
firewall-cmd --remove-port=9000/tcp #端口
firewall-cmd --remove-service=http --permanent #服务名称(永久删除)
---------------------------------永久添加:–permanent---------------------------------

重载会清空所有配置的临时规则规则:–reload
重载 配置firewall-cmd --reload

---------------------------------------端口转发:
语法:firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

10.0.0.1 请求 10.0.0.7:5555 —转发到–>172.16.1.8:22
[root@web01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.8
[root@web01 ~]# firewall-cmd --add-masquerade #开启地址转发

---------------------------------------富规则
man firewalld.richlanguage # 获取富规则手册
rule
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]

rule [family=“ipv4|ipv6”] #ipv4
source address=“address[/mask]” [invert=“True”] #ip地址
service name=“service name” #服务名称
port port=“port value” protocol=“tcp|udp” #端口
forward-port port=“port value” protocol=“tcp|udp” to-port=“port value” to-addr=“address” #传输协议
accept | reject [type=“reject type”] | drop #动作

–add-rich-rule= #在指定的区域添加一条富规则
–remove-rich-rule= #在指定的区域删除一条富规则
–query-rich-rule= #找出规则则返回0,找不到返回1
–list-rich-rules #列出指定区域的所有富规则
accept #允许
drop #拒绝

1.比如允许10.0.0.1主机能够访问80端口或http服务,允许172.16.1.0/24能访问8080端口
#根据服务名称做允许规则
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=10.0.0.1/32 service name=http accept’
#根据端口号做允许规则
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=172.16.1.0/24 port port=“8080” protocol=“tcp” accept’

2.默认public区域对外开放所有人能通过ssh服务连接,但拒绝172.16.1.0/24网段通过ssh连接服务器
#根据服务名称拒绝
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=“172.16.1.0/24” service name=“ssh” drop’

3.使用firewalld,允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务
#设置默认pubilc区域(但是默认pubilc区域可以访问ssh所有要删除)
firewall-cmd --add-service={http,https}
#删除pubils默认区ssh
firewall-cmd --remove-service=ssh
#允许10.0.0.1访问(富规则优先级最高)
firewall-cmd --add-rich-rule=‘rule family=“ipv4” source address=“10.0.0.1/32” service name=ssh accept’

4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.8的22端口
# 端口转发
firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=“10.0.0.1/32” forward-port port=“5555” protocol=“tcp” to-port=“22” to-addr=172.16.1.8’
#开启端口转发
firewall-cmd --add-masquerade
firewall-cmd --add-masquerade --permanent #永久开启

-----------------------------firewalld实现内部主机共享上网:
两台设备:
一台能上网 10.0.0.7 172.16.1.7
一台不能上网 172.16.1.8

1.172.16.1.8网关指向172.16.1.7
1.关闭eth0
ifdown eth0
2.修改eth1网卡配置
[root@web02 ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
NAME=eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=172.16.1.8
PREFIX=24
GATEWAY=172.16.1.7
DNS1=223.5.5.5
3.重启eth1的网卡
ifdown eth1 && ifup eth1

2.172.16.1.7上面开启forward转发
[root@web01 ~]# firewall-cmd --add-masquerade --permanent
[root@web01 ~]# firewall-cmd --add-masquerade

3.客户端测试是否能正常连接网络
[root@web02 ~]# ping baidu.com

NAT
DNAT:目标地址转换 端口映射
SNAT:源地址转换 共享上网

详解Linux防火墙-Firewalld原理与实战操作
天涯的浪子
12-21 1248
本文围绕Linux防火墙Firewalld展开,先是深入剖析其原理,阐述其如何在Linux系统中发挥网络防护作用,对其运行机制等关键内容进行解读。同时结合实战操作,通过具体示例展示Firewalld的配置、规则设定等常用操作步骤,旨在帮助读者全面理解Firewalld,提升运用它保障Linux系统网络安全的能力。
jumpserver堡垒机集群搭建
水彩橘子
06-19 899
(4)下载 jumpserver-install 软件包。(6)执行脚本安装 JumpServer 服务。(3)配置 NFS 共享目录开机自动挂载。(7)启动 JumpServer 服务。(2) Yum 方式安装 Redis。(2)Yum 方式安装 MySQL。(2)创建挂载 NFS 目录。根据提示选择 是还是不是即可。(2)安装 NFS 依赖包。(1)安装 NFS 依赖包。(4) 启动 MySQL。(3) 配置 Redis。(3)配置 MySQL。(4)启动 Redis。(5)修改临时配置文件。
Linux 配置网络案例
云满笔记
12-08 547
防火墙是 Linux 系统的主要的安全工具,可以提供基本的安全防护,在 Linux 历史上已经使用过的防火墙工具包括:ipfwadm、ipchains、iptables。在 Firewalld 中新引入了区域(Zones)这个概念。本文介绍一下使用最新版本的 firewalld 构建动态防火墙的方法和使用技巧,本文使用的 Linux 发行版本是 RHEL 7.0。firewalld 提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具。
CentOS7 Firewall 防火墙配置教程
gbz2000的博客
05-26 4743
一、firewall介绍 CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙中进行了升级了。 1、什么是区域Zone: 网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。 2、哪个区域可用? 由firewalld 提供的区域按照从不信任到信任的顺序排序。 3、区域的分类? Firewalls can be used to separate networks into d
【内网】配置firewalld
qq_43497436的博客
08-15 760
给服务器配置firewalld服务,启动服务没有报错,但是查看服务状态是没拉起来的。
Linux防火墙firewall的使用
最新发布
小云的博客
11-20 429
Linux防火墙firewall的使用CentOS 7新的防火墙服务firewalld的基本原理,它有个非常强大的过滤系统,称为 Netfilter,它内置于内核模块中,用于检查穿过系统的每个数据包。这意味着它可以在到达目的地之前以编程方式检查、修改、拒绝或丢弃任何网络数据包,如传入、传出或转发,从 Centos-7 开始,firewalld 成为管理基于主机的防火墙服务的默认工具,firewal...
10万字总结java面试题和答案
05-16
Java 10万字总结java面试题和答案 其包含的内容模块有:基础、JVM、多线程与高并发、Spring、MyBatis、SpringBoot、MYSQL、SpringCloud、Dubbo、Nginx、MQ、数据结构与算法、Linux、Zookeeper、Redis、分布式、网络...
程序员年终总结PPT模板
12-27
标题中的“程序员年终总结PPT模板”意味着这是一个专门为程序员设计的、用于年终总结报告的PowerPoint(PPT)模板集合。这种模板通常包含了一系列精心设计的幻灯片布局,可以帮助程序员们有效地展示他们在过去一年的...
运维工作报告总结,桌面运维工程师必备手册
07-06
非常全的维修年度总结报告,详细给出了整个单位全年的维修工单分布以及维修任务量。
MATLABGUI设计总结-matlab gui 设计总结.doc
08-13
MATLABGUI设计总结-matlab gui 设计总结.doc 最近做毕业设计用到GUI,搜集到了很多资料,现在传上来,和大家一起分亨。 一.10个小问题 二.MATLAB GUI编程中几个有用的程序段 1、 启动 2、 在GUI中使用Axes控件...
测试工程师工作总结(多篇)模板
12-30
软件测试工程师的工作总结
路由控制配置 ipv4- family命令解析
将勤补拙
12-20 2万+
ipv4- family命令 1.命令功能 ipv4 family i命令用来使能BGP的|Pv4地址族并进入BGP的P4地址族视图。 undo ipv4 family命令用来删除BGP的相应|P4地址族视图下的所有配置。 缺省情况下,进入BGP-IPv4单播地址族视图。 2.命令格式 ipv4-family unicast undo ipv4-family unicast 3.参数说明 参数:u...
Centos7防火墙配置rich-rule实现IP端口限制访问
热门推荐
sunny05296的博客
02-18 3万+
Centos7防火墙配置rich-rule实现IP端口限制访问 最初配置3306端口允许访问,后来根据业务需求,需要严格限制仅允许指定IP访问3306端口。 可以通过防火墙配置rich-rule实现。 #Step1:删除原有的3306端口访问规则 firewall-cmd --permanent --remove-port=3306/tcp #Step2:添加规则 firewall-cmd ...
Centos7-firewall(初学转发及访问控制)
splenday的专栏
09-08 1万+
1、添加永久有效规则 –permanent 1)方式: 允许 firewall-cmd –permanent –add-rich-rule ‘rule family=ipv4 source address=192.168.0.104 port port=9100 protocol=tcp accept’ 拒绝 firewall-cmd –permanent –add-rich-rule ‘r
《Linux 就该这么学》 第八章学习总结
weixin_44603568的博客
05-27 401
第八章主要讲的是iptabels、firewalld、TCP Wrappers 几款防火墙的知识。其中iptables功能逐渐变弱,不能满足需求,在rehel7以至以后的版本讲逐渐退出舞台,现在rehel7中的防火墙默认改为了firewalld。TCP Wrappers 这个服务在红帽的官方描述中,红帽认为firewalld完全能替代它所有的功能,所以在rehel8中直接舍弃了。 所以,以下的内容只说说的是firewalld服务。 一、什么是防火墙? 防火墙就是通过对流量的放行,与...
MySQL 的升级、降级
wxiaomimang的博客
07-18 1441
MySQL 的升级、降级1.升级1.1 INPLACE就地1.2 Mergeing(logical)迁移 ----> 建议1.3 升级注意事项1.4 INPLACE 升级过程原理 (生产思路)5.6.46版本--->5.7.28Inplace 升级演练将5.7 升级至 8.02.降级2.1 限制2.2、 5.7.28 ---》 5.7.10 inplace downgrade演练1 .安装 5.7.10 (低) 二进制版本2. 针对5728版本(高)进行处理工作3. 优雅的关闭5.7.28(
tomcat部署zrlog博客
wxiaomimang的博客
05-12 1239
文章目录1.单节点Tomcat部署Zrlog2.多个web节点部署3.tomcat自带的base的基础认证。 ( nginx basic auth)3.java源码包、jar包、war包的关系、联系、区别? 扩展知识 1.单节点Tomcat部署Zrlog 1.获取war包,或者 ( 源码包 -->编译-->war包--部署 ) war包:直接部署 源码包:编译生成war包在部署 1.定义虚拟主机 [root@web01 ~]# vim /soft/tomcat/conf/server
多个web节点实现nfs共享存储
wxiaomimang的博客
04-27 850
nginx代理1.扩展多个web节点nfs共享存储 1.扩展多个web节点 单台web服务器能抗住的访问是有限的,配置多台web服务器能提升更高的访问速度,能够接收更多的用户请求。 1.提高冗余。 2.提高性能。 分配ip web01 10.0.0.7 172.16.1.7 (前面准备好了) web02 10.0.0.8 172.16.1.8 (复制一份172.16.1.7的数据即可)...
多级代理下如何实现透传真实IP地址
wxiaomimang的博客
04-28 728
方案: 1.客户端经过的所有代理都必须添加X-Forward-For头字段 ( 其中某一个环节没有,那么就无法提取到真是的IP地址) 2.Nginx RealIP模块来实现地址透传 1.根据X-Forward-For头字段 实现 环境准备 10.0.0.1 --> client ip.oldxu.com #用户 10.0.0.5 --> proxy-1 #一级代理...
创意PPT模板:大文懂个P的趣味月度总结
给PPT文件命名时,应当简明扼要地反映文件内容,如“大文懂个P趣味创意卡通风个人月总结ppt模板”就直接告诉用户这是一份个人月总结的PPT模板,由名为“大文懂个P”的作者设计,风格为趣味性卡通风格。 2. **文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值