linux高级篇基础理论六(firewalld,防火墙类型,,区域,服务端口,富语言)

news2024/11/15 8:48:04

♥️作者:小刘在C站

♥️个人主页: 小刘主页 

♥️不能因为人生的道路坎坷,就使自己的身躯变得弯曲;不能因为生活的历程漫长,就使求索的 脚步迟缓。

♥️学习两年总结出的运维经验,以及思科模拟器全套网络实验教程。专栏:云计算技术

♥️感谢CSDN让你我相遇!

运维人员辛苦和汗水总结的干货理论希望对你有所帮助

目录

防火墙基础概念与底层

1、防火墙的技术上分类

2、firewalld的两种配置模式:

3、常用的区域:

4、防火墙的配置方法:

5、firewalld-cmd命令工具相关选项:

6、开启路由转发

firewlld支持两种类型的网络地址转换

ip地址伪装工作原理

端口转发原理

常见服务端口:

防火墙补充命令

firewalld富语言

理解富规则命令


防火墙基础概念与底层

1、防火墙的技术上分类

包过滤:firewalld属于这种
应用代理:360,金山毒霸,鲁大师
状态检测:ASA

2、firewalld的两种配置模式:

运行时配置:    立即生效
永久配置:    重新加载服务生效

3、常用的区域:

trusted:    信任区域,用于连接内部网络
public:    公共区域,是默认区域
internal:内部区域,用于连接内部网络
external:外部区域,用于连接互联网,次区域有地址位置nat功能
dmz:    非军事化区域,用于连接内部服务器

4、防火墙的配置方法:

firewall-config图形工具
firewall-cmd命令行工具(常用)
/etc/firewalld/中的配置文件

5、firewalld-cmd命令工具相关选项:

--reload:重新加载防火墙规则
--permanent:用于设置永久性规则,需要重新加载防火墙才会生效
--runtime-to-permanent:将运行时的配置进行保存

6、开启路由转发

vim         /etc/sysctl.conf
net.ipv4.ip_forward = 1


firewlld支持两种类型的网络地址转换

(1)IP地址伪装(masquerade)解决了内部访问互联网的问题
可以实现局域网多个地址共享单一公网地址上网
IP地址伪装仅支持IPV4,不支持IPV6
(2)端口转发(firewalld-port):解决了内部服务器发布到互联网的问题,端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机的端口

ip地址伪装工作原理

地址伪装(masquerade):通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。P地址伪装仅支持Pv4,不支持Pv6。

端口转发原理

端口转发(Forward-port):也称为目的地址转换或端口映射。通过端口转发,将指定P地址及
端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。企业内网的服务器一般都采用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网,以便让互联网用户访问。例如,当接收互联网用户的HTTP请求时,网关服务器判断数据包的目标地址与目标端口,一旦匹配指定规则,则将其目标地址修改为内网真正的服务器地址,从而建立有效连接。


常见服务端口:

http (apache):    tcp    80

https:tcp    443

mysq:tcp    3306

squid:  tcp    3128

rsync:tcp    873

ssh:tcp        22

ftp:tcp        21和20

telnet:  tcp    23

DNS:    tcp/udp  53

DHCP:  udp   67

防火墙补充命令

1.重新加载防火墙配置:
firewall-cmd  --reload

2.防火墙操作例子:
移除tcp12345端口:
firewall-cmd --zone=external --add-port=12345/tcp --permanent

3.配置external区域移除ssh服务:
firewall-cmd --zone=external --remove-service=ssh --permanent

4.设置默认区域为external:
firewall-cmd --set-default-zone=external

5.因为预定义的SSH服务已经更改默认端口,所以将预定义SSH服务移除:
firewall-cmd --zone=dmz --remove-service=ssh --permanent

6.禁止ping:
firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent                


firewalld富语言

富语言是与直接语言对比的差距就是可以更加丰富的来表示条件,更详细来描述规则,富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向syslog和auditd),以及端口转发、伪装和速率限制。下面是表达富规则的基本语法:

规则的每个单一元素都能够以option=value的形式来采用附加参数。

理解富规则命令

firewal-cmd有四个选项可以用于处理富规则,所有这些选项都可以同常规的--permanent或
--zone=<ZONE>选项组合使用:

--add-rich-rule='RULE'
向指定区域中添加RULE,如果没有指定区域,则为默认区域
--remove-rich-rule='RULE'
从指定区域中删除RULE,如果没有指定区域,则为默认区域
--query-rich-rule='RULE'
查询RULE是否已添加到指定区域,如果未指定区域,则为默认区域。规则
存在,则返回0,否则返回1
--list-rich-rules
输出指定区域的所有富规则,如果未指定区域,则为默认区域

人生要尽全力度过每一关,不管遇到什么困难不可轻言放弃!!!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1248585.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

『亚马逊云科技产品测评』活动征文|低成本搭建物联网服务器thingsboard

授权声明&#xff1a;本篇文章授权活动官方亚马逊云科技文章转发、改写权&#xff0c;包括不限于在 Developer Centre, 知乎&#xff0c;自媒体平台&#xff0c;第三方开发者媒体等亚马逊云科技官方渠道。 0. 环境 - ubuntu22&#xff08;注意4G内存勉强够&#xff0c;部署完…

【Linux】进程间通信——进程间通信的介绍和分类、管道、匿名管道、命名管道、匿名管道与命名管道的区别

文章目录 进程间通信1.进程间通信的介绍1.1目的和发展 2.进程间通信分类3.管道3.1匿名管道3.1.1匿名管道的原理&#xff08;文件角度&#xff09;3.1.2匿名管道的原理&#xff08;内核角度&#xff09;3.1.3管道读写规则3.1.4管道特点 3.2命名管道3.2.1创建命名管道3.2.2命名管…

Twincat使用:EtherCAT通信扫描硬件设备链接PLC变量

EtherCAT通信采用主从架构&#xff0c;其中一个主站设备负责整个EtherCAT网络的管理和控制&#xff0c;而从站设备则负责在数据环网上传递数据。 主站设备可以是计算机、工控机、PLC等&#xff0c; 而从站设备可以是传感器、执行器、驱动器等。 EL3102:MDP5001_300_CF8D1684;…

【文末送书】机器学习高级实践

2023年初是人工智能爆发的里程碑式的重要阶段&#xff0c;以OpenAI研发的GPT为代表的大模型大行其道&#xff0c;NLP领域的ChatGPT模型火爆一时&#xff0c;引发了全民热议。而最新更新的GPT-4更是实现了大型多模态模型的飞跃式提升&#xff0c;它能够同时接受图像和文本的输入…

OpenStack云计算平台-镜像服务

目录 一、镜像服务概览 二、安装和配置 1、先决条件 2、安全并配置组件 3、完成安装 三、验证操作 一、镜像服务概览 OpenStack镜像服务是IaaS的核心服务&#xff0c;如同 :ref:get_started_conceptual_architecture所示。它接受磁盘镜像或服务器镜像API请求&#xff0c;…

浏览器缓存控制讲解

缓存的作用 在你访问互联网中的任何资源其所产生的任何链路中的每一个节点几乎都会进行缓存&#xff0c;整个缓存体系和细节十分复杂。比如浏览器缓存&#xff0c;服务器缓存&#xff0c;代理服务器缓存&#xff0c;CDN缓存等。 但是缓存又十分重要&#xff0c;不可缺少&…

matlab三维地形图

matlab三维地形图 %%%%—————Code to draw 3D bathymetry—————————— %-------Created by bobo,10/10/2021-------------------- clear;clc;close all; ncdisp E:\data\etopo\scs_etopo.nc filenmE:\data\etopo\scs_etopo.nc; londouble(ncread(filenm,lon)); lat…

P8 C++引用

前言 本期我们要讲的是 C 中的引用。 上期我们讨论了指针&#xff0c;如果你没有看过那期内容&#xff0c;你一定要回去看看&#xff0c;因为引用实际上只是指针的扩展&#xff0c;你至少需要在基本层面上理解指针是如何工作的&#xff0c;然后才能继续学习本期的内容&#xf…

第一百七十八回 介绍一个三方包组件:SlideSwitch

文章目录 1. 概念介绍2. 使用方法3. 代码与效果3.1 示例代码3.2 运行效果 4. 内容总结 我们在上一章回中介绍了"如何创建垂直方向的Switch"相关的内容&#xff0c;本章回中将 介绍SlideSwitch组件.闲话休提&#xff0c;让我们一起Talk Flutter吧。 1. 概念介绍 我们…

哈希表的认识与实现

哈希的概念 可以不经过任何比较&#xff0c;一次直接从表中得到要搜索的元素。如果构造一种存储结构&#xff0c;通过某种函数(hashFunc)使元素的存储位置与它的关键码之间能够建立一一映射的关系&#xff0c;那么在查找时通过该函数可以很快找到该元素。 所以当我们设置这种…

【数据结构】—搜索二叉树(C++实现,超详细!)

&#x1f3ac;慕斯主页&#xff1a;修仙—别有洞天 ♈️今日夜电波&#xff1a;消えてしまいそうです—真夜中 1:15━━━━━━️&#x1f49f;──────── 4:18 &#x1f504; ◀️ ⏸ ▶️…

《微信小程序从入门到精通》---笔记1

小程序&#xff0c;我又来学习啦&#xff01;请多关照~ 项目驱动 小程序开发建议使用flex布局在小程序中&#xff0c;页面渲染和业务逻辑是分开的&#xff0c;分别运行在不同的线程中。Mini Program于2017年1月7号正式上线小程序的有点&#xff1a;跨平台、开发门槛低、开发周…

基于战争策略算法优化概率神经网络PNN的分类预测 - 附代码

基于战争策略算法优化概率神经网络PNN的分类预测 - 附代码 文章目录 基于战争策略算法优化概率神经网络PNN的分类预测 - 附代码1.PNN网络概述2.变压器故障诊街系统相关背景2.1 模型建立 3.基于战争策略优化的PNN网络5.测试结果6.参考文献7.Matlab代码 摘要&#xff1a;针对PNN神…

SSL握手失败的解决方案

一、SSL握手失败的原因&#xff1a; 1&#xff0c;证书过期&#xff1a;SSL证书有一个有效期限&#xff0c;如果证书过期&#xff0c;就会导致SSL握手失败。 2&#xff0c;证书不被信任&#xff1a;如果网站的SSL证书不被浏览器或操作系统信任&#xff0c;也会导致SSL握手失败…

(Matalb时序预测)GA-BP遗传算法优化BP神经网络的多维时序回归预测

目录 一、程序及算法内容介绍&#xff1a; 基本内容&#xff1a; 亮点与优势&#xff1a; 二、实际运行效果&#xff1a; 三、部分代码 四、本文代码数据说明手册分享&#xff1a; 一、程序及算法内容介绍&#xff1a; 基本内容&#xff1a; 本代码基于Matalb平台编译&am…

C#,《小白学程序》第四课:数学计算,总和与平均值

程序是 数据 计算 显示。 1 文本格式 /// <summary> /// 《小白学程序》第四课&#xff1a;数学计算 /// 这节课超级简单&#xff0c;就是计算成绩的平均值&#xff08;平均分&#xff09; /// 这个是老师们经常做的一件事。 /// </summary> /// <param name&…

C#,《小白学程序》第六课:队列(Queue)其二,队列的应用,编写《实时叫号系统》

医院里面常见的《叫号系统》怎么实现的&#xff1f; 1 文本格式 /// <summary> /// 下面定义一个新的队列&#xff0c;用于演示《实时叫号系统》 /// </summary> Queue<Classmate> q2 new Queue<Classmate>(); /// <summary> /// 《小白学程序…

超赞 | 7组优秀的金融APP界面设计案例分享!

随着各大银行陆续推出手机银行APP&#xff0c;金融APP在众多领域也开始崭露头角。然而&#xff0c;从用户体验的角度来看&#xff0c;金融APP设计与其他类型的APP设计有其独特之处。由于金融APP与人们的钱包息息相关&#xff0c;因此&#xff0c;其安全性、界面体验和操作反馈等…

DataFunSummit:2023年现代数据栈技术峰会-核心PPT资料下载

一、峰会简介 现代数据栈&#xff08;Modern Data Stack&#xff09;是一种集合了多种技术和工具的软件基础设施&#xff0c;旨在更好地管理和处理数据&#xff0c;并为企业提供数据驱动的洞察和决策。包含以下几个组件&#xff1a;数据采集、数据处理、数据存储、数据查询和分…

OpenCV快速入门:特征点检测与匹配

文章目录 前言一、角点检测1.1 角点特征1.1.1 角点特征概念1.1.2 角点的特点1.1.3 关键点绘制代码实现1.1.4 函数解析 1.2 Harris角点检测1.2.1 Harris角点检测原理1.2.2 Harris角点检测公式1.2.3 代码实现1.2.4 函数解析 1.3 Shi-Tomasi角点检测1.3.1 Shi-Tomasi角点检测原理1…