首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Linux基础教程学习笔记32——防火墙的使用与配置

作者:年少不轻易谈情 | 来源:互联网 | 2023-10-11 11:53
nsitionalENhttp:www.w3.orgTRxhtml1DTDxhtml1-transitional.dtd

Linux基础教程学习笔记32——防火墙的使用与配置

一、RHEL7中的防火墙类型

以下防火墙只能同时使用一张,firewall底层调用的还是Iptables的服务:

firewalld:默认

iptables:RHEL6使用

ip6tables

ebtables

二、防火墙的配置方式

1、图形化配置

使用firewall-config

#RHCE7认证学习笔记32——防火墙的使用与配置

允许某项服务只需打上勾即可

2、命令行

三、防火墙的区域与配置

查看区域:

[root@test ~]# firewall-cmd --get-zones 

block dmz drop external home internal public trusted work

查看默认区域

[root@test ~]# firewall-cmd --get-default-zone

public

每个区域配置多个服务,对应多个接口

[root@test ~]# firewall-cmd --get-services

amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

查看允许的服务

[root@test ~]# firewall-cmd --list-services --zOne=public

dhcpv6-client ssh

某些服务,对应多个端口,在防火墙允许某项服务则可能意味着允许该服务对应的多个端口:

给区域添加服务:

[root@test ~]# firewall-cmd --add-service=ftp --zOne=public  --permanent

删除区域服务:

[root@test ~]# firewall-cmd --remove-service=ftp --zOne=public

查看某项服务是否被允许:

[root@test ~]# firewall-cmd --query-service=http --zOne=public

no

区域添加端口:

[root@test ~]# firewall-cmd --add-port=8000/tcp --zOne=public --permanent

删除端口:

1  firewall-cmd --remove-port=8000/tcp --zOne=public

查看端口是否被允许:

[root@test ~]# firewall-cmd --query-port=8000/tcp --zOne=public

一个区域可以绑定多个网卡,一个网卡只能绑定一个区域:

查看网卡和区域绑定:

[root@test ~]# firewall-cmd --get-zone-of-interface=ens33

区域添加端口:

[root@test ~]# firewall-cmd --add-interface=ens34 --zOne=public --permanent

区域删除网卡:

[root@test ~]# firewall-cmd --remove-interface=ens34 --zOne=public --permanent

修改网卡的区域:

[root@test html]# firewall-cmd --change-interface=ens33 --zOne=public --permanent

trusted区域的所有服务都被允许:

网卡如果不属于任何区域,那么来自该接口的所有数据包将使用默认的区域规则:

区域添加来源地址,如果接口不属于某个区域,那么来自于该接口的流量如果匹配来源地址,那么流量将从来源的区域通过:

查看某个区域的所有配置信息:

[root@test html]# firewall-cmd --list-all

public (default, active)

  interfaces: br1 ens34 ens37 virbr0

  sources: 

  services: dhcpv6-client ssh

  ports: 443/tcp 464/tcp 88/udp 88/tcp 123/udp 389/tcp 53/tcp 53/udp 636/tcp

  masquerade: no

  forward-ports: 

  icmp-blocks: 

  rich rules:

所有的配置操作如果想永久生效,则需要加--permanent选项,否则配置只会在当前运行环境生效

三、firewall对ICMP的过滤

firewall可以对以下类型的ICMP进行过滤:

#RHCE7认证学习笔记32——防火墙的使用与配置

firewall对ICMP的过滤存在BUG,对RHEL6及windows的机器均不能很好的支持,只能对RHEL7有效

四、富规则rich rule

富规则可以对服务端口协议进行更详细的配置:

#RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置富规则:

查看富规则:

[root@test ~]# firewall-cmd --list-rich-rules

rule family="ipv4" source address="10.35.89.0/24" service name="http" accept

[root@test ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent

[root@test ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp  log prefix="80" level=info accept' --permanent

删除富规则

[root@test ~]# firewall-cmd --remove-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp accept'

五、端口转发

图形化配置:

本地转发

#RHCE7认证学习笔记32——防火墙的使用与配置

转发到其他主机:

#RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置:

[root@test log]# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=

forward-ports: port=8000:proto=tcp:toport=80:toaddr=

port=8080:proto=tcp:toport=80:toaddr=

六、伪装masque

图形化配置很简单,勾上伪装区域即可

#RHCE7认证学习笔记32——防火墙的使用与配置

命令行配置也很简单:

[root@test log]# firewall-cmd --add-masquerade

启用伪装功能的主机同时也需要开启转发服务:

[root@test log]# echo 1 > /proc/sys/net/ipv4/ip_forward

富规则中使用伪装功能可以更精确详细的限制:

[root@test log]# firewall-cmd --add-rich-rule '

rule family=ipv4 source address=10.10.10.2/24 masquerade'

rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"


推荐阅读
  • string

    如何查询zone下的表的信息

    如何查询zone下的表的信息
    本文介绍了如何通过TcaplusDB知识库查询zone下的表的信息。包括请求地址、GET请求参数说明、返回参数说明等内容。通过curl方法发起请求,并提供了请求示例。 ... [详细]
  • select

    数据库的存储结构及其重要性

    本文介绍了数据库的存储结构及其重要性,强调了关系数据库范例中将逻辑存储与物理存储分开的必要性。通过逻辑结构和物理结构的分离,可以实现对物理存储的重新组织和数据库的迁移,而应用程序不会察觉到任何更改。文章还展示了Oracle数据库的逻辑结构和物理结构,并介绍了表空间的概念和作用。 ... [详细]
  • bit

    微软头条实习生分享深度学习自学指南

    微软头条实习生分享深度学习自学指南
    本文介绍了一位微软头条实习生自学深度学习的经验分享,包括学习资源推荐、重要基础知识的学习要点等。作者强调了学好Python和数学基础的重要性,并提供了一些建议。 ... [详细]
  • function

    GetWindowLong函数

    GetWindowLong函数
    今天在看一个代码里头写了GetWindowLong(hwnd,0),我当时就有点费解,靠,上网搜索函数原型说明,死活找不到第 ... [详细]
  • java

    VScode格式化文档换行或不换行的设置方法

    VScode格式化文档换行或不换行的设置方法
    本文介绍了在VScode中设置格式化文档换行或不换行的方法,包括使用插件和修改settings.json文件的内容。详细步骤为:找到settings.json文件,将其中的代码替换为指定的代码。 ... [详细]
  • text

    Android 新闻App的本地服务器搭建教程

    本文介绍了在开发Android新闻App时,搭建本地服务器的步骤。通过使用XAMPP软件,可以一键式搭建起开发环境,包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表,并设置相应的属性。最后,给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]
  • text

    android listview OnItemClickListener失效原因

    android listview OnItemClickListener失效原因
    最近在做listview时发现OnItemClickListener失效的问题,经过查找发现是因为button的原因。不仅listitem中存在button会影响OnItemClickListener事件的失效,还会导致单击后listview每个item的背景改变,使得item中的所有有关焦点的事件都失效。本文给出了一个范例来说明这种情况,并提供了解决方法。 ... [详细]
  • text

    Centos7.6安装Gitlab教程及注意事项

    Centos7.6安装Gitlab教程及注意事项
    本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]
  • java

    解决Mac上无法使用localhost连接mysql的问题

    本文介绍了在Mac上搭建php环境后无法使用localhost连接mysql的问题,并通过将localhost替换为127.0.0.1或本机IP解决了该问题。文章解释了localhost和127.0.0.1的区别,指出了使用socket方式连接导致连接失败的原因。此外,还提供了相关链接供读者深入了解。 ... [详细]
  • java

    HDFS2.x新特性

    HDFS2.x新特性
    一、集群间数据拷贝scp实现两个远程主机之间的文件复制scp-rhello.txtroothadoop103:useratguiguhello.txt推pushscp-rr ... [详细]
  • select

    高质量SQL书写的30条建议

    高质量SQL书写的30条建议
    本文提供了30条关于优化SQL的建议,包括避免使用select *,使用具体字段,以及使用limit 1等。这些建议是基于实际开发经验总结出来的,旨在帮助读者优化SQL查询。 ... [详细]
  • select

    CentOS 7部署KVM虚拟化环境之一架构介绍

    CentOS 7部署KVM虚拟化环境之一架构介绍
    本文介绍了CentOS 7部署KVM虚拟化环境的架构,详细解释了虚拟化技术的概念和原理,包括全虚拟化和半虚拟化。同时介绍了虚拟机的概念和虚拟化软件的作用。 ... [详细]
  • import

    Go Cobra命令行工具入门教程

    Go Cobra命令行工具入门教程
    本文介绍了Go语言实现的命令行工具Cobra的基本概念、安装方法和入门实践。Cobra被广泛应用于各种项目中,如Kubernetes、Hugo和Github CLI等。通过使用Cobra,我们可以快速创建命令行工具,适用于写测试脚本和各种服务的Admin CLI。文章还通过一个简单的demo演示了Cobra的使用方法。 ... [详细]
  • version

    CentOS 6.5安装VMware Tools及共享文件夹显示问题解决方法

    CentOS 6.5安装VMware Tools及共享文件夹显示问题解决方法
    本文介绍了在CentOS 6.5上安装VMware Tools及解决共享文件夹显示问题的方法。包括清空CD/DVD使用的ISO镜像文件、创建挂载目录、改变光驱设备的读写权限等步骤。最后给出了拷贝解压VMware Tools的操作。 ... [详细]
  • bit

    CentOS安装Python2.7.2的步骤和注意事项

    本文介绍了在CentOS上安装Python2.7.2的详细步骤,包括下载、解压、编译和安装等操作。同时提供了一些注意事项,以及测试安装是否成功的方法。 ... [详细]
author-avatar
年少不轻易谈情
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有