1.2:firewall-cmd高階配置
1:firewalld中理解直接規則
將某個ip範圍列入黑名單
[root@localhost ~]# firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist
[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw prerouting 0 -s 192.168.0.0/24 -j blacklist
[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j log 00log-prefix "blacklisted"
[root@localhost ~]# firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist 1 drop
2:使用富語言
規則排序
測試和除錯
3:理解富規則命令
4:規則配置舉例
(1)為認證報頭協議ah使用新的ipv4和ipv6連線
[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
(2)允許新的ipv4和ipv6連線ftp,並使用審核每分鐘記錄一次
[root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
(3)允許來自192.168.0.0/24位址的tftp協議的ipv4連線,並且使用系統日誌每分鐘記錄一次
[root@localhost ~]# firewall-cmd --add-rich='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
(4)為radius協議拒絕所有來自1:2:3:4:6::的新的ipv6連線,日誌字首為「dns」,級別為info,並每分鐘最多記錄3次。接受來自其他發起段新的ipv6連線
[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:6::" service name="raduis" log prefix="dns" level="info" limit value="3/m" reject'
(5)將源192.168.2.2位址加入白名單,以允許來自這個源位址的所有連線
[root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
(6)拒絕來自public區域中ip位址為192.168.0.11的所有流量
[root@localhost ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
(7)丟棄來自預設區域中任何位置的所有傳入的ipsec esp協議包
[root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
(8)在192.168.1.0/24子網的dmz區域中,接收埠7900--1905的所有tcp包
[root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'
(9)接受從work區域到ssh的新連線,以notice級別且每分鐘最多三條資訊的方式將新連線記錄到syslog
[root@localhost ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
(10)在接下來的5min內,拒絕從預設區域中的子網192.168.2.0/24到dns的新連線,並且拒絕的連線將記錄到audit系統,且每小時最多一條訊息
[root@localhost ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
firewalld防火牆高階配置
當使用者資料報經過nat裝置時,nat裝置將源位址替換為公網ip位址,而返回的資料報就可以被路由。nat技術一般都是在企業邊界路由器或防火牆上配置。firewall中理解直接規則 firewalld提供了 direct inte ce 直接介面 它允許管理員手動編寫的iptables ip6tabl...
Linux防火牆firewalld的應用
目錄 firewalld概述 基礎指令 firewalld引數解釋 讀下內容前先了解引數解釋 檢視命令 新增埠 新增服務 firewalld是linux上新的防火牆軟體,和iptables差不多的工具。firewalld是centos7 8的一大特性,兩大優點 支援動態更新,不用重啟服務 加入了防火...
firewalld火牆設定
firewalld 一 圖形化管理火牆 系統提供了影象化的配置工具 firewall config system config firewall,提供命令列客戶端 firewall cmd,用於配置 firewalld 永久性或非永久性執行時間的改變。在圖形工具裡可以根據需求簡單直接的設定火牆策略。...