Firewalld:
启用firewalld
| yum install -y firewalld firewall-config -y | 下载firewalld 和firewalld-config(此文件是firewalld的图形接口)软件 |
| systemctl start firewalld | 开启firewalld软件 |
| systemctl enable firewalld | 将firewalld设置成开机自启 |
| systemctl disable firewalld | 关闭firewalld的开机自启 |
| systemctl stop firewalld | 关闭火墙服务 |
本文只针对于firewalld的命令来进行firewalld的配置:iptables在下一篇博客中会详细描述。
firewalld的伪装:
实验:
客户端设置:
设置客户端ip是:1.1.1.206将本机的网关设置成1.1.1.106(服务器端的ip地址)
服务器端设置:
1.设置服务端ip是:1.1.1.106和172.25.254.106:
2.将服务端的火墙的伪装功能打开:
1>firewall-cmd --permanent --add-masquerade(注:前面的permanent指的是永久更改,需要重新加载firewall的配置文件才能生效)
2>firewall-cmd --reload(注:这个reload是重新读取firewalld的配置文件,也就是说临时设定的不会其作用)
3.将服务器端的内核路由功能打开:
vim /etc/sysctl.conf
sysctl -p ###重新加载内核路由策略
sysctl -a |grep ip_forward ###查看内核路由功能
测试:
在客户端上ping 172.25.254.106:
端口添加删除服务命令:(selinux附加的内容)
semanage port -a -t http_port_t -p tcp 777 ##将777端口给http_port_t
semanage port -d -t http_port_t -p tcp 777 ##删除http_port_t的使用权
semanage port -l | grep http ##查看http的端口信息
netstat -antlupe | grep httpd ##查看软件正在用的端口
semanage port -l |grep http ###显示http的端口信息
实验:将777给httpd用,修改阿帕奇的配置文件把,阿帕奇的端口设置成刚刚开启的端口,重启apache重启成功表示成功
1>
2>
3>
4>
5>
6>
注:上面的截图可以看见此时777端口已经加在了http服务下
火墙的运行原理:
动态火墙后台程序firewalld提供一个动态管理的防火墙,用以支持网络“zeons”,以分配一个对网络及其相关链接和界面一定程度的信任。它具备对IPv4和ipv6防火墙设置的支持。它支持一个通向服务或者应用程序以直接增加防火墙规则的接口
系统提供了图像化的配置工具firewall-config,system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld用户性或者非永久性运行时间的改变:它依次用iptables工具与执行数据筛选的内核中的Netfilter通信
| 网络区名称 | 默认配置 |
| work(工作) | 用于工作区,仅接受ssh,mdns,ipp-client或dhcpv6-client 服务连接 |
| drop(丢弃) | 任何接受的网络数据包都被丢弃,没有任何回复 |
| internal(内部) | 用于内部网络,仅接受ssh,mdns,ipp-client,samba-client或dhcpv6-client 服务连接 |
| external(外部) | 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接 |
| trusted (信任) | 可以接受所有的网络连接 |
| home(家庭) | 用于家庭网络,仅接受ssh,mdns,ipp-client samba-client或dhcpv6-client 服务连接 |
| dmz(非军事区) | 仅接受ssh服务连接 |
| public(公共) | 在公共区域使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域 |
| block(限制) | 拒绝所有网络连接 |
使用命令行接口配置防火墙:
| 命令 | 解释 |
| firewall-cmd --state | 显示火墙的运行状态 |
| firewall-cmd --get-active-zones | 显示当前活动的区域 |
| firewall-cmd --get-default-zone | 显示当前的默认域 |
| firewall-cmd --get-zones | 查看firewalld的所有的域 |
| firewall-cmd --zone=public --list-all | 显示public域的所有信息 |
| firewall-cmd --get-services | 显示firewalld的所有服务 |
| firewall-cmd --list-all-zones | 列出所有的域及其详细信息 |
| firewall-cmd --set-default-zone=work | 将默认域设置成work域 |
1>firewall-cmd --state
2>firewall-cmd --get-active-zones
3>firewall-cmd --get-default-zone
4>firewall-cmd --get-zones
5>firewall-cmd --zone=public --list-all
6>firewall-cmd --get-services
7>firewall-cmd --list-all-zones
8>firewall-cmd --set-default-zone=dmz
命令:
firewall-cmd --zone=trusted --add-source=172.25.254.6 ###将172.25.254.6加入到信任域里
firewall-cmd --zone=work --remove-interface=eth1 ###将网卡eth1从work域中删除
firewall-cmd --zone=trusted --add-interface=eth1 将网卡设备eth1加入到trusted域里面
firewall-cmd --add-service=dns ###将dns服务加入到默认域中
通过上面的介绍我们已经能够知道火墙的运行机制了,但是在实际的生产环境中会遇到更加精确的产品要求,这就需要了解下面的知识:
Direct Rules :
通过firewall-cmd 工具,可以使用 --direct选项在运行时间里增加或者移除链。如果不熟悉iptables,使用直接接口非常危险,因为您可能在无意间导致防火墙被入侵。直接端口模式适用于服务或程序,一边在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用
实验1:
firewall-cmd --zone=trusted --add-source=172.25.254.6 ###将172.25.254.6加入到信任域里
此时当前服务端的主机的默认域是work域,并且work域里面没有允许httpd服务:
测试:在两套不同ip的主机上访问服务端的httpd:
主机1:ip:172.25.254.6:
主机2 ip :172.25.254.206访问结果:
2.firewall-cmd --get-active-zones
dmz
interfaces: eth0 eth1
ROL
sources: 172.25.0.252/32
3.firewall-cmd --get-default-zones
dmz
4.firewall-cmd --get-zones
[[email protected]_server /]# firewall-cmd --zone=public --list-all
public
interfaces:
sources:
services: dhcpv6-client mountd nfs rpc-bind ssh
ports: 3260/tcp 8080/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
自定义表
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT
###direct表示指定 表是filter中的INPUT第一行 -p 端口类型 --dport 端口22
-s 指定 -j 表示的动作
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22! -s 172.25.254.6 -j ACCEPT
实验:
在服务端设置:将默认域的ssh服务去掉
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22!
-s 172.25.254.6 -j ACCEPT ###这句的命令是除了172.25.254.6连不上,剩下的都连的上。
动作有三种:
1.ACCEPT 2.DROP 3.REJECT
不同的动作对于ssh有不同的回应
火墙端口转发:
实验准备工作:双网卡主机:ip1:172.25.254.106 ip2:1.1.1.106
单网卡主机ip:1.1.1.206
在双卡主机上设置:firewall-cmd --add-masquerade
[[email protected]_server ~]# firewall-cmd --permanent --list-all
public (default, active)
interfaces: eth0 eth1
sources:
services: dhcpv6-client mountd nfs rpc-bind ssh
ports: 3260/tcp 8080/tcp
masquerade: yes
forward-ports: port=22:proto=tcp:toport=22:toaddr=1.1.1.200
icmp-blocks:
rich rules:
加上内核的路由功能:
vim /etc/sysctl.conf ###编辑此文件,在此文件最后一行中写入:
net.ipv4.ip_forward=1
重新加载sysctl -p重新加载策略
firewall-cmd --permanent --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.206 ###将网卡的端口转发到1.1.1.206的22端口
firewal-cmd --reload
在单网卡主机上设置:不用设置
####在这里双网卡主机不用开启ssh的功能,因为会在端口之前转发,不涉及到服务器的ssh
在这时候主机连接172.25.254.106的时候会连接到1.1.1.206