RedHat9 | 防火墙配置与管理

news2024/11/27 11:52:59

RedHat9中默认安装Firewalld,也可安装iptables。但是两者不可同时运行。

软件或程序主要作用
firewalld、iptables策略限制MAC、IP、PORT、ARP
SELinux上下文、布尔值、端口
软件权限读写执行权限
文件系统rwx、隐藏权限、ACL

1、Netfilter

包过滤防火墙工作在TCP/IP的网络层,Linux通过内核中的Netfilter来实现对网络数据包的过滤和管理

  • 查看
  • 记录
  • 修改
  • 丢弃
  • 拒绝

与Linux的交互方式

  1. 通过编写内核模块程序与netfilter交互
  2. 使用iptables(6版本之前)
  3. 使用firewalld(7版本之后)

基于基础安装的Linux系统会同时安装好firewalld,基于最小化安装的Linux系统不会安装firewalld

2、防火墙区域

  • Firewalld将所有传入流量划分成区域,每个区域都具有自己的一套规则
  • 任何新网络接口的默认区域会被设置为public区域

匹配规则

  • 每个包进入系统都会检查源地址,应用源地址所关联区域的规则
  • 不存在该关联区域,使用进站接口网络关联的区域规则
  • 没有关联任何区域,使用系统配置的默认区域
  • 如果没有匹配任何允许规则,默认为拒绝

3、预定义区域

区域默认配置预定义允许访问的服务备注
trusted允许所有进站所有
home默认拒绝进入,除流量与流出流量相关(请求由内部发起)SSH、mDNS、IPP-client、samba-client、dhcpv6-client与home类似,根据区域名含义,可作为内网与外网的区分
internal默认拒绝进入,除流量与流出流量相关(请求由内部发起)SSH、mDNS、IPP-client、samba-client、dhcpv6-client与home类似,根据区域名含义,可作为内网与外网的区分
work默认拒绝进入,除流量与流出流量相关(请求由内部发起)SSH、ipp-client、dhcpv6-client
public默认区域,默认拒绝进入SSH、dhcpv6-client
external默认拒绝进入,除流量与流出流量相关(请求由内部发起)ssh经过该区域的IPv4出站流量会将源伪装为出站网路接口地址
dmz默认拒绝进入,除流量与流出流量相关(请求由内部发起)ssh
block默认拒绝进入,除流量与流出流量相关(请求由内部发起)
drop默认丢弃,除流量与流出流量相关(请求由内部发起)包括ICMP错误信息

查看区域默认允许访问的服务

firewall-cmd --list-all

在这里插入图片描述

查看系统预先定义服务

# 方式1:通过查看文件查看
cat /etc/services

# 方式2:通过命令查看
firewalld-cmd --get-services

4、防火墙配置工具

  • 使用firewall-conf图形工具
  • 使用firewall-cmd命令行工具
  • Firewalld配置文件
  • 通过Cockpit方式配置防火墙

firewall-cmd常用命令

命令说明
–state查看当前防火墙状态
–reload重新加载防火墙策略,立即生效
–get-default-zone查看当前防火墙默认区域
–set-default-zone设置当前防火墙的默认区域
–add-interface设置网卡的归属区域,如果已经设置过,则报错
–change-interface修改网卡的归属区域
–add-port设置允许的端口
–remove-port移除端口
–add-service设置允许的服务
–remove-service移除服务
–add-source将指定IP地址的所有流量都引入某区域
–permanent永久生效

将网卡所属区域修改为home区域

firewall-cmd --get-zones		# 先查看当前存在当前区域
firewall-cmd --change-interface eth0 --zone=home		# 如果不指定区域,则添加到默认区域中
firewall-cmd --list-all --zone=home

在这里插入图片描述

5、放行对应服务

servera作web服务器

dnf -y install httpd		# 在servera上安装web服务
systemctl start httpd		# 启动web服务

在workstation上尝试访问servera的web服务

在这里插入图片描述

servera上调整防火墙规则,放行http服务

firewall-cmd --add-service=http --perament
firewall-cmd --reload

在这里插入图片描述

重新测试访问
在这里插入图片描述

6、放行对应端口

在servera上修改web服务的默认访问端口

vim /etc/http/conf/httpd.conf

# 修改Listen的值
Listen 8080

在这里插入图片描述

重新启动web服务

systemctl restart httpd

workstation尝试访问servera上的web服务

在这里插入图片描述

servera上调整防火墙策略,此时无法通过预先定义服务来放行,因为http服务对应端口号为80,而我们定义的端口号为8080

firewall-cmd --add-port=8080/tcp --permanent
firewall-cmd --reload

在这里插入图片描述

在workstation上重新访问
在这里插入图片描述

7、修改配置文件放行

配置文件路径

  • /etc/firewalld
  • /usr/lib/firewalld

/usr/lib/firewalld目录下配置文件优先级更高,如果/etc/firewalld与/usr/lib/firewalld下文件冲突,则以/etc/firewalld为主
在这里插入图片描述

查看预定义区域的配置文件

cat /usr/lib/firewalld/zones/public.xml

在这里插入图片描述

查看当前防火墙引用的策略

vim /etc/firewalld/zones/public.xml

在这里插入图片描述

修改servera上的web侦听端口为1616

vim /etc/httpd/conf/httpd.conf

# 修改Listen
Listen 1616

重新启动httpd服务

systemctl restart httpd

通过修改配置文件以允许1616端口

vim /etc/firewalld/zones/public.xml

# 添加下列内容
<port port="1616" protocol="tcp"/>

重新加载防火墙配置

firewall-cmd --reload

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

8、富规则

如果只是开放服务或端口,涵盖对象为所有的客户端,无法对单一客户端进行限制。如果需要对单一客户端进行限制,则需要使用富规则,富规则功能类似于网络设备中的ACL访问控制列表。

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

路由器配置

echo net.ipv4.ip_forward=1 > /etc/sysctl.conf			# 开启包转发
sysctl -p												# 立即生效

Web服务器配置

dnf install httpd
echo "Hello!" > /var/www/html/index.html
systemctl start httpd
firewall-cmd --add-server=http --perament
firewall-cmd --reload

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

分公司客户端尝试访问Web服务器

curl http://192.168.1.100

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

定义富规则,禁止分公司2客户端访问Web服务

  • 定义方式1:通过服务名方式拒绝访问
firewall-cmd --permanent --add-rich-rule='rule famliy=ipv4 source address=192.168.2.0/24 service name=http reject'

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

  • 定义方式2:通过端口号方式拒绝访问
firewall-cmd --add-rich-rule='rule family=ipv4 source address="192.168.2.0" port port="80" protocol="tcp" reject'

此时分公司2无法访问Web服务

curl http://192.168.1.100

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

分公司1仍可以访问

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1816342.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Java】JDBC+Servlet+JSP实现搜索数据和页面数据呈现

目录 1 .功能介绍 2. 实现流程 3. 项目环境 4. 相关代码 4.1 Maven配置 4.2 SQL语句 4.3 Java代码 4.4 HTML代码 4.5 JSP代码 5. 结果展示 &#xff08;原创文章&#xff0c;转载请注明出处&#xff09; 博主是计算机专业大学生&#xff0c;不定期更新原创优质文章&…

服务架构的设计原则

墨菲定律与康威定律 在系统设计的时候&#xff0c;可以依据于墨菲定律 任何事情都没有表面上看起来那么简单所有的事情都会比你预计的时间长可能出错的事总会出错担心的某一个事情的发送&#xff0c;那么它就更有可能发生 在系统划分的时候&#xff0c;可以依据康威定律 系…

0604 集成电路运算放大器

6.4.1 集成电路运算放大器CMOS MC14573 6.4.2 集成运算放大器741

搭建社区团购系统,广泛应用便捷高效新体验

前言 在数字化浪潮的推动下&#xff0c;社区团购系统如雨后春笋般崭露头角&#xff0c;为小区居民们带来了前所未有的便捷与实惠。如今&#xff0c;搭建社区团购系统已成为一种新趋势&#xff0c;其广泛应用正逐渐改变着人们的购物方式&#xff0c;让便捷高效的新体验深入人心…

ADS基础教程19 - 电磁仿真(EM)基本概念和实操

EM介绍 一、引言二、基本概念1.EM介绍2.Momentum介绍3.FEM介绍4.Substrate介绍 三、创建Layout并进行Momentum仿真1.创建Layout2.添加Microtrip&#xff08;微带线&#xff09;3.添加Substrate4.Momentum仿真 四、总结 一、引言 本章节开始介绍EM的基本概念、内容以及实现具体…

简单脉冲动画效果实现

简单脉冲动画效果实现 效果展示 CSS 知识点 CSS 变量的灵活使用CSS 动画使用 页面整体结构实现 <div class"pulse"><span style"--i: 1"></span><span style"--i: 2"></span><span style"--i: 3"…

IntelliJ IDEA 2024.1最新安装 亲测有效2099年

标题一&#xff1a;IDEA官方下载 ①如题&#xff0c;先到IDEA官方下载&#xff0c;简简单单 ②IDEA官方&#xff1a;IntelliJ IDEA – the Leading Java and Kotlin IDE 标题二&#xff1a;获取脚本 点这里获取 &#x1f31f;获取完后压缩&#xff0c;推荐与IDEA放在同一目…

Spring框架是如何查找方法上的异步任务注解@Async

结论先行 Spring框架层面&#xff0c;查找方法上的注解的原理与机制是一样的。 在方法层面&#xff0c;Spring框架已经找到子类的Async注解&#xff0c;原因是查找注解会搜索整棵类型继承树&#xff0c;包括超类和实现的接口。 异步任务代码示例 Async注解&#xff0c;在父类…

⌈ 传知代码 ⌋ ERA-CoT: 实体关系推理

&#x1f49b;前情提要&#x1f49b; 本文是传知代码平台中的相关前沿知识与技术的分享~ 接下来我们即将进入一个全新的空间&#xff0c;对技术有一个全新的视角~ 本文所涉及所有资源均在传知代码平台可获取 以下的内容一定会让你对AI 赋能时代有一个颠覆性的认识哦&#x…

48【Aseprite 作图】荷塘月色——拆解

1 荷叶&#xff0c;不要完全对称&#xff0c;下面是深色的&#xff0c;上面是浅色的&#xff0c;加一点高光 2 鱼的轮廓 上色彩&#xff0c;主要用三种颜色&#xff0c;修改透明度&#xff0c;叠加颜色

快捷键专栏 IDEA、Navicat、电脑、Excle、Word等

标题 电脑篇windowsR 配合以下常用命令连上公司网线WiFi速度变慢问题解决Windows10 设置鼠标右键在此处打开cmd和Powershell窗口、关机打开电脑诊断工具系统设置常用设置查看电脑出场日期 systeminfo删除文件显示已在另一个程序打开&#xff1f;找回回收站删除的文件WindowsR输…

RUOYI集成手机短信登录

背景&#xff1a; 工作过程中遇到需求&#xff0c;需要将短信验证码登录集成到RUOYI框架中。框架中使用的用户认证组件为Security&#xff0c;由于没有怎么研究过这个组件&#xff0c;这个功能不太会搞。所以这是一篇抄作业记录。参考文章如下 若依RuoYi整合短信验证码登录_若…

C++和C语言到底有什么区别?

引言&#xff1a;C和C语言是两种非常常见的编程语言&#xff0c;由于其广泛的应用和灵活性&#xff0c;它们在计算机科学领域内受到了广泛的关注。虽然C是从C语言发展而来的&#xff0c;但是这两种语言在许多方面都有所不同。本文将对C和C语言进行比较和分析&#xff0c;以便更…

汇聚荣科技有限公司实力强吗?

汇聚荣科技有限公司实力强吗?在当今快速发展的科技行业中&#xff0c;公司的实力往往决定了其市场竞争力和发展前景。对于汇聚荣科技有限公司而言&#xff0c;其是否具备强大的实力&#xff0c;不仅关系到自身的发展&#xff0c;也影响着投资者和合作伙伴的选择。因此&#xf…

CAD2022下载与安装

CAD2022下载与安装 安装包下载安装包解压缩软件安装安装完成 安装包下载 安装包下载链接&#xff1a; https://pan.xunlei.com/s/VNyyAVUev-7XHig_2VIGiTN1 提取码&#xff1a;mxt8 下载安装包&#xff0c;完成后&#xff0c;得到一个压缩文件 安装包解压缩 右键解压到当前…

深圳建网站

深圳是中国最具活力和创新力的城市之一&#xff0c;也是全球网站建设行业蓬勃发展的重要市场之一。随着信息科技的不断发展和互联网的普及&#xff0c;越来越多的企业和个人意识到了建立网站的重要性&#xff0c;通过网站可以为企业带来更多的业务机会和营销渠道。 建立一个优质…

23种设计模式之组合模式

组合模式 1、定义 组合模式&#xff1a;组合多个对象形成树状结构以表示具有部分-整体关系的层次结构。组合模式让客户端可以统一对待单个对象和组合对象 2、组合模式结构 Component&#xff08;抽象构件&#xff09;&#xff1a;可以是接口或抽象类&#xff0c;为叶子构件…

【Unity】RPG2D龙城纷争(二)关卡、地块

更新日期&#xff1a;2024年6月12日。 项目源码&#xff1a;在第四章发布 索引 简介地块&#xff08;Block&#xff09;一、定义地块类二、地块类型三、地块渲染四、地块索引 关卡&#xff08;Level&#xff09;一、定义关卡类二、关卡基础属性三、地块集合四、关卡初始化五、关…

CorelDRAW 2024开启设计新纪元,终身永久版与中文破解版的全面解析及安装攻略

当我们谈论图形设计软件时&#xff0c;CorelDRAW无疑是一个响亮的名字。作为一款强大的矢量图形编辑工具&#xff0c;它以其丰富的功能和用户友好的界面赢得了全球设计师的喜爱。随着CorelDRAW 2024的发布&#xff0c;这个备受瞩目的版本带来了前所未有的创新特性&#xff0c;进…

Linux基础IO【II】

今天&#xff0c;我们接着在上一篇文章的基础上&#xff0c;继续学习基础IO。观看本文章之前&#xff0c;建议先看&#xff1a;Linux基础IO【I】&#xff0c;那&#xff0c;我们就开始吧&#xff01; 一.文件描述符 1.重新理解文件 文件操作的本质&#xff1a;进程和被打开文件…