firewalld火牆設定

2021-08-13 02:12:11 字數 2901 閱讀 9410

firewalld  

一、圖形化管理火牆

系統提供了影象化的配置工具 firewall-config 、 system-config-firewall, 提供命令列客戶端 firewall-cmd, 用於配置 firewalld 永久性或非永久性執行時間的改變。在圖形工具裡可以根據需求簡單直接的設定火牆策略。

二、firewalld

的配置儲存

/etc/firewalld

進行的所有永久設定,均是改變此中檔案/etc/firewalld/zones

中的檔案的內容,也可在檔案中直接改動,改完後需要進行重啟服務。

三、用命令管理firewalld

firewall-cmd --state    ##狀態

firewall-cmd --get-zones    ##檢視系統火牆域有哪些

firewall-cmd --get-default-zone    ##檢視預設域是哪乙個

firewall-cmd --get-active-zones    ##當前正在生效的設定

firewall-cmd --set-default-zone=trusted   ##trusted設為預設域

firewall-cmd --zone=public --list-all    ##列出指定域的策略

firewall-cmd --get-services    ##檢視所有可以開啟的服務

firewall-cmd --list-all-zones    ##列出系統中可以直接使用的域

對於企業來說,一些伺服器要同時向內部和外界提供服務。出於安全性考慮,對內外所開放的服務許可權是不同的。這一點就可以用配置火牆來實現。(在此以public和trusted以及httpd服務來作乙個簡單的示例。)

首先給該伺服器配置雙網絡卡,假設eth0為內網,eth1為外網。其各自ip如下。

將eth0從public域上取下,放到trusted域上。

檢視正在工作的域有public和trusted

檢視public域的火牆策略,不支援http訪問。

通過eth0的http訪問成功。

通過eth1的http訪問被拒。

這樣就可以實現不同網段的訪問控制。

firewall-cmd --add-service=ftp

firewall-cmd --direct --add-rule ipv4 filter input 1 ! -s 172.25.254.60 -p tcp --dport 21 -j reject    ##只允許60使用21埠否則拒絕,第一條非172.25.254.60不能連線21埠

firewall-cmd --direct --remove-rule ipv4 filter input 1 ! -s 172.25.254.60 -p tcp --dport 21 -j reject    ##移除

60主機本可以連線21埠。

寫入策略後60主機不能連線。

firewall-cmd --direct --add-rule ipv4 filter input 1 ! -s 172.25.254.60 -p tcp --dport 22 -j drop    ##只允許60連線否則等待

firewall-cmd --direct --remove-rule ipv4 filter input 1 ! -s 172.25.254.60 -p tcp --dport 22 -j drop    ##移除

目的地位址**,路由之前    ##別人連我,轉換出去

firewall-cmd --add-masquerade --zone=public

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.60

測試:foundation60.ilt.example.com主機的ip為172.25.254.60

firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.60

源位址轉換,路由之後

firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.160 masquerade'

firewall-cmd --list-all

客戶機的閘道器要設定成路由器上能和它通訊的ip。

firewalld防火牆設定

centos7 rhel7系統預設的iptables管理工具是firewalld,不再是以往的iptables services,命令用起來也是不一樣了,當然你也可以選擇解除安裝firewalld,安裝iptables services firewalld 服務管理 1.安裝firewalld yu...

配置firewalld防火牆

public 只容許訪問本機的sshd等少數幾個服務 trusted 容許任何訪問 block 阻塞任何來訪請求 drop 丟棄任何來訪的資料報 新增防火牆規則的位置包括 執行時 runtime 當前有效,過載防火牆後失效 永久 permanent 靜態配置,需要過載防火牆才能生效 本地埠 埠1 埠...

配置firewalld防火牆

題 請按下列要求在 system1 和 system2 上設定防火牆系統 允許 group8.example.com 域的客戶對 system1 和 system2 進行 ssh 訪問。禁止 my133t.org 域的客戶對 system1 和 system2 進行 ssh 訪問。備註 my133t...