Firewall （redhat7）

2024-06-28 16:02:05

字體：大中小

供稿：網(wǎng)友

1.Firewalld防火墻（CentOS7默認(rèn)） Firewalled：防火墻管理工具，擁有運(yùn)行時(shí)配置與永久配置選項(xiàng)，支持動(dòng)態(tài)更新及"zone"的區(qū)域功能概念。可使用圖形化工具firewall-config和文本管理工具firewall-cmd。 firewall服務(wù)取代了iptables服務(wù)，但iptables命令任然可用。2.Firewall區(qū)域規(guī)則區(qū)域：定義網(wǎng)絡(luò)連接可信度。這是一個(gè)一對多的關(guān)系：一次連接可以僅僅是一個(gè)區(qū)域的一部分，而一個(gè)區(qū)域可以用于很多連接。區(qū)域設(shè)置以 ZONE= 選項(xiàng) 存儲(chǔ)在網(wǎng)絡(luò)連接的ifcfg文件中。如果這個(gè)選項(xiàng)缺失或者為空，firewalld 將使用配置的默認(rèn)區(qū)域。在/etc/firewalld/zones下面新增或修改區(qū)域。網(wǎng)絡(luò)接口可以指定到某個(gè)區(qū)域，未指定區(qū)域的網(wǎng)絡(luò)接口一律配置到默認(rèn)區(qū)域。

3.firewall命令 1.firewall常用命令開機(jī)自啟動(dòng)： systemctl start firewalld.service systemctl enable firewalld.service 重啟服務(wù)： #重載firewalld配置文件，不改變當(dāng)前連接狀態(tài) systemctl reload firewalld.service #重啟firewalld服務(wù) systemctl restart firewalld.service 查看服務(wù)狀態(tài)： #查看firewalld服務(wù)狀態(tài) systemctl status firewalld.service 2.firewall-cmd字符管理工具 firewall-cmd （命令默認(rèn)同時(shí)對IPv4和IPv6生效） --zone=XXX 指定命令操作區(qū)域(不加默認(rèn)對默認(rèn)去操作) --permanent 命令在firewalld重載后永久生效，（不加此參數(shù)命令立刻生效但firewalld重載后失效） --state 查詢防火墻運(yùn)行狀態(tài) --version 查詢防火墻版本 --painc-on/off 啟動(dòng)或關(guān)閉應(yīng)急模式，阻斷所有連接 --list-all 查詢防火墻默認(rèn)區(qū)域配置信息 --list-all-zones | more 查詢防火墻所有區(qū)域配置信息，且分屏顯示 --set-default-zone=public 設(shè)置默認(rèn)區(qū)域?yàn)閜ublic，立刻生效（修改/etc/firewalld/firewalld.conf配置文件重載后生效） --add-port=8080/tcp 開啟TCP 8080端口 --remove-port=8080/tcp 關(guān)閉TCP 8080端口 --add-service=http 開啟HTP服務(wù) --remove-service=http 關(guān)閉HTTP服務(wù) --query-service=http 查詢HTTP允許服務(wù)狀態(tài) --add-icmp-block=echo-reply 禁止ping --add-icmp-block=echo-request --reload 重載防火墻配置，保持當(dāng)前連接 --complete-reload 重載防火墻配置，重置連接 --add-rich-rule='rule family="ipv4/ipv6" source address="IP" service name="service" reject/accept' 新增富規(guī)則偽裝(snat) firewall-cmd --permanent --zone=<區(qū)域> --add-masquerade (區(qū)域里的私有IP將被映射到本機(jī)公有IP) firewall-cmd --permanent --zone=<區(qū)域> --add-rich-rule='rule family=ipv4 source address=192.168.0.0/24 masquerade' 端口轉(zhuǎn)發(fā)（dnat） firewall-cmd --permanent --zone=<區(qū)域> --add-forward-port=port=<源端口>:PRoto=<協(xié)議>:toport=<目標(biāo)端口>:toaddr=<目標(biāo)IP> (將原本到本主機(jī)端口的數(shù)據(jù)包轉(zhuǎn)換給其他主機(jī)的某個(gè)端口) firewall-cmd --perment --zone=<區(qū)域> --add-rich='rule family=ipv4 source address=192.168.0.0/24 foreward-port=80 protocol=tcp to-port=8080'（將來自192.168.0網(wǎng)段數(shù)據(jù)80端口轉(zhuǎn)發(fā)給8080端口）