firewalld防火牆高階配置

2021-09-08 07:24:47 字數 3187 閱讀 8454

當使用者資料報經過nat裝置時,nat裝置將源位址替換為公網ip位址,而返回的資料報就可以被路由。nat技術一般都是在企業邊界路由器或防火牆上配置。

firewall中理解直接規則

firewalld提供了「」direct  inte***ce「(直接介面),它允許管理員手動編寫的iptables、ip6tables和ebtables規則插入firewalld管理的區域中,適用用於應用程式,而不是使用者。直接埠通過firewall-cmd命令中的--direct選項實現。除非將直接規則顯式插入firewalld管理的區域,否則將首先解析直接規則,然後解析其他firewalld規則。

使用富語言

firewalld的富語言提供了一種不需要了解iptables語法的通過高階語言配置 複雜ipv4和ipv6防火牆規則的機制,為管理員提供了一種表達性語言,通過這種語言可以表達firewalld的基本語法中未涵蓋的自定義防火牆規則。富規則可用於表達基本的允許/拒絕規則,也可以用於配置記錄(面向syslog和auditd),以及埠**、偽裝和速率限制

規則的每個單一元素都能夠以option=value的形式來採用附加引數

理解富規則命令

firewall-cmd有四個選項可以用於處理富規則,所有這些選項都可以同常規的--permanent或--zone=選項組合使用

選項說明

--add-rich-rule='rule'

向指定區域中新增rule,如果沒有指定區域,則為預設區域

--remove-rich-rule='rule'

從指定區域中刪除rule,如果沒有指定區域,則為預設區域

--query-rich-rule='rule'

查詢rule是否已新增到指定區域,如果未指定區域,則為預設區域。規則存在,則返回0,否則返回1

--list-rich-rules

輸出指定區域的所有富規則,如果未指定區域,則為預設區域

1.準備一台閘道器伺服器


一台企業伺服器


一台企業內測試機


一台internet測試用機


一台**伺服器


2.在閘道器伺服器上配置主機名及網絡卡位址


hostname


cat /etc/hostname


ip addr


3.開啟閘道器伺服器的路由**功能。


vim /etc/sysctl.conf    新增net.ipv4.ip_forward = 1


sysctl -p       新增net.ipv4.ip_forward = 1


4.配置wed伺服器主機名及網絡卡位址


cat /etc/hostname     web


ip addr


route -n


5.配置**伺服器環境搭建


systemctl status firewalld


yum install -y httpd mod_ssl     安裝httpd和mod_ssl軟體包


啟用並啟動httpd.servi服務


建立網頁眉頁測試index.html


vim /var/www/html/index.html


更改ssh的偵聽埠,並啟用服務


在閘道器伺服器上配置firewalld防火牆


systemctl status firewalld


firewall-cmd --set-default-zone=external


firewall-cmd --list-all


firewalld-cm --change-inte***ce=ens37 --zone=trusted


firewall-cmd --change-inte***ce=ens38 --zone=dmz


firewall-cmd --get-active-zones


vim /etc/ssh/sshd_config


systemctl restart sshd


firewall-cmd --zone=external --add-port=12345/tcp --permanent


firewall-cmd --zone=external --add-icmp-block=echo-request --permsnent


firewall-cmd --reload


網際網路測試機上


ssh -p 12345 測試機ip


ssh -p 12345 webip


閘道器伺服器


在dmz的**上測試


檢視網絡卡伺服器的external區域是否開啟了位址偽裝


firewall-cmd --list-all --zone=external


firewall-cmd --remove-masquerade --zone=external


在dmz**測試。發現無法訪問外網**


curl ip位址


閘道器伺服器上做


firewall-cmd --zone=external --add-forward-port=port=443:poroto=tcp:toaddr=ip位址


vim /etc/sysconfig/network-scripts/ifcfg-ens33


systemctl restart network


ip add

配置firewalld防火牆

public 只容許訪問本機的sshd等少數幾個服務 trusted 容許任何訪問 block 阻塞任何來訪請求 drop 丟棄任何來訪的資料報 新增防火牆規則的位置包括 執行時 runtime 當前有效,過載防火牆後失效 永久 permanent 靜態配置,需要過載防火牆才能生效 本地埠 埠1 埠...

配置firewalld防火牆

題 請按下列要求在 system1 和 system2 上設定防火牆系統 允許 group8.example.com 域的客戶對 system1 和 system2 進行 ssh 訪問。禁止 my133t.org 域的客戶對 system1 和 system2 進行 ssh 訪問。備註 my133t...

firewalld防火牆設定

centos7 rhel7系統預設的iptables管理工具是firewalld,不再是以往的iptables services,命令用起來也是不一樣了,當然你也可以選擇解除安裝firewalld,安裝iptables services firewalld 服務管理 1.安裝firewalld yu...