Blog26@linux网络端口安全 上_firewalld
来源:互联网 发布:xp关闭139端口 编辑:程序博客网 时间:2024/06/05 15:07
网络端口安全
PS:实验前首先在同一虚拟机上设定两块处于不同网段的网卡
一、Firewalld 概述
动态防火墙后台程序 firewalld 提供了一个动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。
系统提供了图像化的配置工具firewall-config、system-configfirewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。
firewalld和iptables service 之间最本质的不同是:
• iptables service 在 /etc/sysconfig/iptables 中储存配置,而firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.
• 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从
/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。
二、管理防火墙
安装防火墙软件:
# yum install -y firewalld firewall-config
启动和禁用防火墙:
# systemctl start firewalld ; systemctl enable firewalld
# systemctl disable firewalld ; systemctl stop firewalld
使用iptables服务:
# yum install -y iptables-services
# systemctl start iptables ; systemctl start ip6tables
# systemctl enable iptables ; systemctl enable ip6tables
注:推荐使用firewalld服务
三、使用命令行接口配置防火墙
查看firewalld的状态:# firewall-cmd --state
查看当前活动的区域,并附带一个目前分配给它们的接口列表:
# firewall-cmd --get-active-zones
查看默认区域:
# firewall-cmd --get-default-zone
查看所有可用区域:
# firewall-cmd --get-zones
列出指定域的所有设置:
# firewall-cmd --zone=public --list-all
列出所有预设服务:
# firewall-cmd --get-services
(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的service-name. xml)
列出所有区域的设置:
# firewall-cmd --list-all-zones
设置默认区域:
# firewall-cmd --set-default-zone=dmz
设置网络地址到指定的区域:
# firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24
(--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)
删除指定区域中的网路地址:
# firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24
添加、改变、删除网络接口:
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、删除服务:
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、删除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重载防火墙:
# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
注:firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到配置防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认模板。
四、管理防火墙规则
**Direct Rules**
通过 firewall-cmd 工具 , 可以使用 --direct 选项在运行
时间里增加或者移除链。如果不熟悉 iptables , 使用直接接口
非常危险 , 因为您可能无意间导致防火墙被入侵。直接端口模式
适用于服务或者程序 , 以便在运行时间内增加特定的防火墙规则。
直接端口模式添加的规则优先应用
添加规则:
# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.18 -p tcp --dport 80 -j REJECT
(表示不允许172.25.254.18连接http服务)
删除规则:
# firewall-cmd --direct --remove-rule ipv4 filter INPUT -s 172.25.254.18 -p tcp --dport 80 -j REJECT
列出规则:
# firewall-cmd --direct --get-all-rules
除了250之外其他的都不可以ssh连接本机:
#firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.250 -p tcp --dport 21 -j REJECT
五、端口伪装和转发
伪装:
# firewall-cmd --permanent --zone=< ZONE > --add-masquerade# firewall-cmd --permanent --zone=< ZONE > --add-rich rule='rule family=ipv4 source addres=172.25.0.0/24 masquerade'
注:在企业7.0系统中,第一步做好后只需要在测试主机中做好网关即可
端口转发:
# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.18
(相当于DNAT,在路由前进行)
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule='rule family=ipv4 source address=172.25.18.118 forward-port port=22 protocol=tcp to-port=22'
(相当于SNAT,在路由后进行)
六、管理 SELinux 端口标签
列出端口标签 :
# semanage port -l
添加端口标签 :
# semanage port -a -t http_port_t -p tcp 82
删除端口标签 :
# semanage port -d -t http_port_t -p tcp 82
阅读全文
0 0
- Blog26@linux网络端口安全 上_firewalld
- Blog26@linux网络端口安全下_iptables
- Linux 端口安全
- 网络端口安全防护技巧
- linux 网络端口状态
- linux 监听网络端口
- linux中的网络端口
- Linux网络端口
- Linux----网络端口
- 网络端口安全防护技巧放送(zz)
- 网络端口安全防护技巧放送
- 网络端口安全防护技巧大放送
- Linux 网络端口回收加速
- Linux基础-网络端口查看
- 在Linux上为指定IP端口模拟网络收发包延迟
- 在Linux上为指定IP端口模拟网络收发包延迟
- Linux 上开通1521 端口
- linux设备驱动的安全端口分配
- COMBOX的基本使用
- printf in CUDA kernel 函数
- KMP算法笔记
- Island Perimeter:扫描二维数组,计算边长
- 关于Ext.net结合ckeditor不通过隐藏域提交编辑器内容的问题!已解决
- Blog26@linux网络端口安全 上_firewalld
- netty编解码之使用protobuf
- 微信如何分享朋友圈,php开发公众号分享到朋友圈
- 批量删除+单个删除+全选反选
- 如何不浪费青春,让游戏快速上架 Steam
- Python入门(二)——IDE选择PyCharm,输入和输出,基础规范,数据类型和变量,常量,字符串和编码,格式化
- 玩
- 在windows下安装gulp-sass时提示“Cannot read property '0' of undefined”
- 公众号开发分享给微信朋友