RHCE的学习(11)

news2024/11/26 2:33:26

第八章 防火墙

什么是防火墙

  • 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。

分类:

  • 硬件防火墙:由厂商设计好的主机硬件,其操作系统主要以提供数据包数据的过滤机制为主,并去掉不必要的功能

  • 软件防火墙:保护系统网络安全的一套软件(或称为机制),如Netfilter(数据包过滤机制)

Netfilter(数据包过滤)

定义
  • netfilter 是一个工作在 Linux 内核的网络数据包处理框架,用于分析进入主机的网络数据包,将数据包的头部数据(硬件地址,软件地址,TCP、UDP、ICMP等)提取出来进行分析,以决定该连接为放行或拒绝的机制,主要用于分析OSI七层协议的2、3、4层。

Netfilter分析内容:
  • 拒绝让Internet的数据包进入主机的某些端口

  • 拒绝某些来源IP的数据包进入

  • 拒绝让带有某些特殊标志(flag)的数据包进入,如:带有SYN的主动连接标志

  • 分析MAC地址决定是否连接

防火墙无法完成的任务

  • 防火墙并不能杀毒或清除木马程序(假设主机开放了www服务,防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙是阻止不了的)

  • 防火墙无法阻止来自内部LAN的攻击(防火墙对于内部的规则设置通常比较少,所以就很容易造成内部员工对于网络无用或滥用的情况)

iptables 与 firewalld 区别

  • netfilter数据包过滤机制是由linux内核内建的,不同的内核版本使用的设置防火墙策略的软件不一样,从红帽7系统开始firewalld服务取代了iptables服务

  • iptables 与 firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,即只是一种服务,而真正使用规则干活的是内核的netfilter

  • 总之,当前Linux 系统中存在多个防火墙管理工具,旨在方便运维人员管理 Linux 系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。虽然这些工具各有优劣,但它们在防火墙策略的配置思路上是保持一致的

iptables

  • 早期的 Linux 系统中,默认使用 iptables 防火墙来管理服务和配置防火墙,虽然新型的 firewalld 防火墙管理服务已经被投入使用多年,但iptables 在当前生产环境中还继续使用 ,具有顽强的生命力

iptables执行原则

原则
  • 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。

  • 如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略

防火墙规则
  • 通(放行、允许)

  • 堵(阻止、拒绝)

  • 当默认策略为拒绝时,就要设置允许规则,否则数据包都进不来;若默认策略为允时,就要设置拒绝规则,否则数据包都能进来,防火墙也就失去了作用

规则链

概念
  • iptables 服务把用于过滤流量的策略条目称之为规则,多条规则组成一个规则链

分析
  • 数据包经过iptables处理必须闯过5个控制关卡,每个关卡放置5个规则链用于检查规则和处理,每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫规则链

  • 流程图

规则链分类:
  • ==INPUT链:数据包流入时,即数据包从内核流入用户空间==

  • OUTPUT链:向外发送数据包(流出)时,即数据包从用户空间流出到内核空间,一般不配置

  • FORWARD链:处理数据包转发时,即在内核空间中,从一个网络接口进入,到另一个网络接口去(转发过滤)

  • PREROUTING链:在对数据包作路由选择之前,即互联网进入局域网

  • POSTROUTING链:在对数据包作路由选择之后,即局域网出互联网

  • 注意:从内网向外网发送的流量一般都是可控且良性的,因此使用最多的是INPUT 规则链,该规则链可以增大黑客人员从外网入侵内网的难度

  • 例:物业管理公司有两条规定:

    • 禁止小商小贩进入社区;

    • 各种车辆在进入社区时都要登记。

    • 这两条规定是用于社区正门的(流量必须经过的地方),而不是每家的防盗门。根据防火墙策略的匹配顺序,可能会存在多种情况。

    • 如:来访人员是小商小贩,则会被保安拒之门外,也就无需再对车辆进行登记。若来访人员乘坐一辆汽车进入社区正门,则“禁止小商小贩进入社区”的第一条规则就没有被匹配到,因此按照顺序匹配第二条策略,即需要对车辆进行登记。如果是社区居民要进入正门,则这两条规定都不会匹配到,因此会执行默认的放行策略

规则链之间的匹配顺序
  • 主机型防火墙:

    • ==入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUTING--> INPUT --> 本机的应用程序==

    • 出站数据(从防火墙本机向外部地址发送的数据包) :本机的应用程序–> OUTPUT --> POSTROUTING

  • 网络型防火墙:转发数据(需要经过防火墙转发的数据包) : PREROUTING --> FORWARD --> POSTROUTING

  • 规则链内的匹配顺序

    • 自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)

    • 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

iptables 流量处理动作
  • 当规则链匹配后应采用以下几种动作来处理匹配流量

  • ACCEPT:允许流量通过

  • REJECT:拒绝流量通过,拒绝后回复拒绝信息

  • LOG:记录日志信息

  • DROP:拒绝流量通过,流量丢弃不响应

  • 例:若某天您正在家里看电视,突然听到有人敲门,透过防盗门的猫眼一看是推销商品的,便会在不需要的情况下开门并拒绝他们(REJECT)。但如果您看到的是债主带了十几个小弟来讨债,此时不仅要拒绝开门,还要默不作声,伪装成自己不在家的样子(DROP)

iptables表

  • 规则链容纳了各种流量匹配规则,规则表则存储了不同功能对应的规则链,总之表里有链,链里有规则

四种规则表
  • ==filter表==:用于对数据包过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG),包含三个规则链,INPUT、 FORWARD、 OUTPUT,所谓的防火墙其实基本上是指这张表上的过滤规则,常用

  • nat表:network address translation,网络地址转换功能,主要用于修改数据包的源、目标IP地址、端口,包含三个规则链,OUTPUT、 PREROUTING、 POSTROUTING

  • mangle表:拆解报文,做出修改,并重新封装,主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,由于需要相应的路由设备支持,因此应用并不广泛,包含全部五个规则链

  • raw表:是自1.2.9以后版本的iptables新增的表,用于是否对该数据包进行状态跟踪,在匹配数据包时,raw表的规则要优先于其他表,包含两个规则链,OUTPUT、PREROUTING

  • 注意:最终定义的防火墙规则链,都会添加到这四张表中的其中一张表中,如图:

安装iptables

预处理
  • Euler中默认使用的是firewalld,且与iptables之间有冲突,如果需要使用 iptables 需要先停止firewalld再进行安装:

[root@server ~]# systemctl stop  firewalld
[root@server ~]# systemctl disable  firewalld

#默认没有安装
[root@server ~]# dnf install iptables-services 


[root@server ~]# which  iptables
/usr/sbin/iptables

[root@server ~]# systemctl status  iptables
○ iptables.service - IPv4 firewall with iptables
     Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
     Active: inactive (dead)
管理命令
[root@server ~]# systemctl start  iptables   # 启动

[root@server ~]# systemctl enable  iptables  # 开机启动

[root@server ~]# systemctl status  iptables  # 查看状态

[root@server ~]# service  iptables save  # 保存设置,否则重启系统后恢复默认设置
# 注意:不能使用systemctl  save  iptables 命令
规则链存储文件
[root@server ~]# vim   /etc/sysconfig/iptables

# Generated by iptables-save v1.8.7 on Wed Nov 15 13:01:36 2023
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [15:2100]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Nov 15 13:01:36 2023
  • 前1行为注释:

  • filter表的规则链

iptables 命令

原则
  • iptables 命令根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,若匹配成,则iptables 会根据策略规则所预设的动作来处理这些流量,由于策略规则的匹配顺序是从上至下,则要把较为严格、优先级较高的策略规则放到前面,以免发生错误

格式:
  • 简化:

iptables [-t 表名] 选项 [链名] [条件] [-j 控制动作]
  • 详细:

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 控制动作
参数
参数作用
-n地址用IP标识,不用域名标识
-t 对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个,默认是filter
-p指定要匹配的数据包协议类型
-s匹配源地址IP/MASK,若有!表示取反
-d匹配目的地址IP/MASK
-i 网卡名匹配从这块网卡流入的数据
-o 网卡名匹配从这块网卡流出的数据
-L列出规则链上的所有规则,如果没有指定链,列出表上所有链的所有规则
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除指定规则,要指定链,在-D 与num中间
-R num替换/修改第几条规则
-P设置默认策略
-F清空所有规则(F:flush是“冲洗、冲掉”的意思)
-N创建新规则链
-X删除指定规则链,这个链必须没有被其它任何规则引用,而且这条链上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链
-E用指定的新名字去重命名指定的链
-Z把指定链,或者表中的所有链上的所有计数器清零
-j满足某条件时该执行什么样的动作
-h显示帮助信息
示例
  • 查看已有的防火墙规则链

[root@server ~]# iptables  -nvxL  --line
# -n 显示源  -v 详细信息  -x 自动转换为KB\MB等单位 -L写在最后列出所有规则 --line 增加行号
​
# num:规则的编号(行号)
# pkts:数据包的数量
# bytes:数据包的字节数
# target:动作(放行、拒绝)
# port:端口
# in:入站的网卡
# out:出站网卡
  • 清空规则

[root@server ~]# iptables  -F  # 清空规则
[root@server ~]# iptables  -nL # 查看规则链
[root@server ~]# systemctl restart  iptables
[root@server ~]# iptables  -nL  # 由于未保存,则恢复原状
​
[root@server ~]# iptables -F              # 再次尝试清空规则链
[root@server ~]# service iptables save    # 保存服务状态
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@server ~]# systemctl restart  iptables  # 重启服务
[root@server ~]# iptables  -nL            # 查看
[root@localhost ~]# iptables --line-numbers -nL   #前面加序号

实验
  • 例1:搭建web服务器,设置任何人都能通过80端口访问http

[root@server ~]# mkdir  -p  /www/web
[root@server ~]# echo "hello  world" > /www/web/index.html
[root@server ~]# dnf install  nginx  -y
[root@server ~]# vim  /etc/nginx/nginx.conf 
        root         /www/web;
[root@server ~]# systemctl start nginx
​
[root@server ~]# iptables  -A INPUT  -p  tcp  --dport 80  -j ACCEPT 
[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@server ~]# systemctl restart  iptables
[root@server ~]# iptables  -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  • 例2:禁止所有人使用ssh进行远程登录

[root@server ~]# iptables  -F   # 清空
[root@server ~]# iptables -A INPUT  -p tcp  --dport  22  -j  REJECT
# 此时ssh已断开连接,可以尝试新来你姐
​
# 恢复ssh连接
[root@server ~]# iptables  -D INPUT 1  # 删除INPUT链中第1条规则,恢复ssh
[root@server ~]# iptables  -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
​
[root@server ~]# service iptables save  # 保存服务
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@server ~]# systemctl  restart  iptables  # 重启服务
  • 例3:禁止某主机(192.168.48.131) ssh远程登录,允许访问web服务

[root@server ~]# iptables  -F
[root@server ~]# iptables  -I INPUT -p  tcp  -s  192.168.48.131 --dport 22  -j REJECT  
# -I 表示在已存在的记录之前插入一条新纪录
​
[root@server ~]# iptables  -I INPUT -p  tcp  -s  192.168.48.131 --dport 80  -j ACCEPT
​
[root@server ~]# iptables  -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.48.131       0.0.0.0/0            tcp dpt:80
REJECT     tcp  --  192.168.48.131       0.0.0.0/0            tcp dpt:22 reject-with icmp-port-unreachable
       
[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@server ~]# systemctl restart iptables

  • 例4:iptable的规则备份
[root@localhost ~]# iptables -I INPUT -p tcp --dport 22  -s 192.168.24.0/24  -j DROP 

[root@localhost ~]# iptables-save > /etc/sysconfig/iptables.bak
[root@localhost ~]# iptables-restore < /etc/sysconfig/iptables.bak
[root@localhost ~]# iptables -L

  • 例5:对当前linux主机不允许某个用户进行远程连接
vim /etc/sshd/sshd_config

denyUsers 用户名

密码锁定

用户shell改为/sbin/nologin

案例分析:

  1. 封堵网段(10.20.30.0/24),两小时后解封。
    1. # iptables -I INPUT -s 10.20.30.0/24 -j DROP
      
      # iptables -I FORWARD -s 10.20.30.0/24 -j DROP
      
      # at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

  2. 丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包
    1. 私网地址是:

    2. A类地址:10.0.0.0~10.255.255.255

    3. B类地址:172.16.0.0 ~172.31.255.255

    4. C类地址:192.168.0.0~192.168.255.255

    5. iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
      
      iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
      
      iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

  3. 允许本机开放从TCP端口20-1024提供的应用服务
    1. iptables -A INPUT -p tcp --dport 20:1024 -j ACCEPT
      
      iptables -A OUTPUT -p tcp --sport 20:1024 -j ACCEP

  4. 禁止转发来自MAC地址为00:0C:29:27:55:3F的和主机的数据包
    1. iptables -A FORWARD -m mac --mac-source 00:0c:29:27:55:3F -j DROP

  5. 允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280
    1. ***iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

  6. 禁止转发源IP地址为192.168.1.20-192.168.1.99的TCP数据包。
    1. iptables -A FORWARD -p tcp -m iprange --src-range 192.168.1.20-192.168.1.99 -j DROP
  7. 禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机
    1. iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP
      
      iptables -I OUTPUT -p icmp --icmp-type Echo-Reply -j ACCEPT
      
      iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT
    1. RELATED,ESTABLISHED
      
      iptables -t nat -A POSTROUTING -s 172.24.8.0/24 -o eno16777736 -j MASQUERADE

  8. 也可以使用--to-source(公网地址)
    1. #iptables -t nat -A POSTROUTING -s 172.24.8.0/24 -o eno16777736 -j SNAT --to-source 192.168.150.148
      
      #firewall-cmd --permanent --add-masquerade --zone=public

  9. 使用iptables配置
    1. ​
      #iptables -t nat -A PREROUTING -d 192.168.150.148 -p tcp --dport 80 -i eno16777736 -j DNAT --to-destination 172.24.8.100:8080
      
      [root@A ~]# firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=172.24.8.100 --permanent
      
      success
      
      [root@kongd ~]# firewall-cmd --reload
      
      外网客户端测试
      
      http://192.168.150.148 --> http://172.24.8.100:8080
      
      ​

firewalld

概述

概念
  • firewalld(Dynamic Firewall Manager of Linux systems,Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,从RHEL 7开始,用firewalld服务替代了iptables服务

  • RHEL 9采用firewalld管理netfilter子系统,默认情况,firewalld则是交由内核层面的nftables包过滤框架来处理

firewalld特点
  • firewalld可以动态修改单条规则,不需要像iptables那样,修改规则后必须全部刷新才可生效

  • firewalld默认动作是拒绝,则每个服务都需要去设置才能放行,而iptables里默认是每个服务是允许,需要拒绝的才去限制

  • iptables防火墙类型为静态防火墙firewalld 防火墙类型为动态防火墙

  • firewalld和iptables一样自身并不具备防火墙功能,它们的作用都是用于维护规则,而真正使用规则干活的是内核防火墙模块

  • firewalld 加入了区域(zone)概念

区域 zone

作用
  • firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone),然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域,每个区域都定义了自己打开或者关闭的端口和服务列表

  • 区域:zone本质为firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换

例:有一台笔记本电脑,每天都要在公司、咖啡厅和家里使用。

这三者的安全性按照由高到低的顺序是:家庭、公司办公室、咖啡厅。

若希望指定如下防火墙策略规则:在家中允许访问所有服务;在公司办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。

以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后只需轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率。

分析
  • firewalld的一个zone就是一个可信等级,一个等级对应一套过滤规则(规则集合)

  • 数据包必须要经过某个zone才能入站或出站

  • 每个zone都有一个处理行为(default、ACCEPT、REJECT、DROP)

  • firewalld的zone根据信任级别分成9个默认zone:

区域默认规则策略
阻塞区域 (block)拒绝流入的流量,除非与流出的流量相关
工作区域 (work)拒绝流入的流量,除非与流出的流量相关
家庭区域 (home)拒绝流入的流量,除非与流出的流量相关
公共区域 (public)不相信网络上的任何计算机,只有选择接受传入的网络连接。 ssh
隔离区域 (DMZ)隔离区域也称为军事区域,内外网络之间增加的一层网络,起到缓冲作用。对 于隔离区域,只有选择接受传入的网络连接。
信任区域 (trusted)允许所有的数据包。
丢弃区域 (drop)拒绝流入的流量,除非与流出的流量相关
内部区域 (internal)等同于home区域
外部区域 (external)拒绝流入的流量,除非与流出的流量有关;而如果流量与ssh服务相关,则允许 流量
  • firewalld的配置文件有两个主要的目录/usr/lib/firewalld/zones(系统配置文件,尽量不要修改)和/etc/firewalld/zones(用户配置文件,可以自行修改),每个zone单独对应一个xml配置文件,文件名为<zone名称>.xml

[root@server ~]# cd  /usr/lib/firewalld/zones
[root@server zones]# ls
block.xml  dmz.xml  drop.xml  external.xml  home.xml  internal.xml  public.xml  trusted.xml  work.xml
​
[root@server zones]# cd /etc/firewalld/zones
[root@server zones]# ls
public.xml  public.xml.old
[root@server zones]# cd  ~
  • 用法是:把可信任的IP地址添加到trusted区域,把不可信任的IP地址添加到block区域,把要公开的网络服务添加到public区域,所以常用区域为:trusted、block、public

zone文件中的过滤规则
  • 过滤规则优先级:

    • source(最高)

    • interface(次之)

    • 默认zone(最低)

  • 规则:

规则作用
scource源IP地址过滤(常用)
interface网卡过滤
service服务名(实际是关联端口)过滤
port端口过滤
icmp-blockICMP报文过滤
masqueradeIP地址伪装
forward-port端口转发过滤
rule自定义规则

firewall-cmd可视化界面工具

安装
# 注意:需要再可视化界面下使用

[root@server ~]# systemctl  start firewalld     # 启用

[root@server ~]# systemctl  enable  firewalld   # 开机启动

		# 安装DDE图形化桌面

[root@server ~]# dnf  install  firewall-config  -y  # 安装图形化界面
使用
# 虚拟机中执行,不要在xshell执行
[root@server ~]# firewall-config

firewall-cmd命令行工具

firewalld命令生效模式
  • runtime模式:运行时模式,立即生效,重启失效

  • permanent模式:永久模式,重启生效

管理命令
[root@server ~]# systemctl stop firewalld
[root@server ~]# systemctl disable firewalld
[root@server ~]# systemctl start firewalld
[root@server ~]# systemctl enable firewalld
[root@server ~]# systemctl status firewalld
设置命令:firewall-cmd 参数
参数作用
--get-default-zone查询默认的区域名称
--set-default-zone=<区域名称>设置默认的区域,使其永久生效
--get-zones显示可用的区域
--get-services显示预先定义的服务
--get-active-zones显示当前正在使用的区域与网卡名称
--add-source=将源自此 IP 或子网的流量导向指定的区域
--remove-source=不再将源自此 IP 或子网的流量导向某个指定区域
--add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>将某个网卡与区域进行关联
--list-all显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>设置默认区域允许该服务的流量
--add-port=<端口号/协议>设置默认区域允许该端口的流量
--remove-service=<服务名>设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>设置默认区域不再允许该端口的流量
  • 例1:基本命令

[root@server ~]# firewall-cmd --version  # 查看版本
​
[root@server ~]# firewall-cmd --help     # 查看帮助信息
​
[root@server ~]# firewall-cmd  --state   # 显示状态
​
[root@server ~]# firewall-cmd  --get-services  # 查看防火墙管理的服务
​
[root@server ~]# firewall-cmd  --list-all  # 查看区域中的规则
​
[root@server ~]# firewall-cmd  --panic-on   # 启用紧急模式
​
[root@server ~]# firewall-cmd  --panic-off  # 关闭紧急模式

使用firewalld配置的防火墙策略默认为当前生效,会随着系统的重启而失效。如果想让策略一直存在,就需要使用永久模式了,即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就可以永久生效了,最后想要使用这种方式设置的策略生效,只能重启或者输入命令:firewall-cmd --reload。
图形化工具 firewall-config 
firewall-config

  • 例2:设置当前zone

[root@server ~]# firewall-cmd --get-zones   # 查看所有支持的区域
​
[root@server ~]# firewall-cmd --get-default-zone  # 查看当前默认的区域
​
[root@server ~]# firewall-cmd --set-default-zone=trusted  # 设置当前默认区域为信任区域
[root@server ~]# firewall-cmd --get-default-zone   # 查看你当前默认区域
[root@server ~]# firewall-cmd --set-default-zone=public   # 设置当前默认区域为public区域
success
[root@server ~]# firewall-cmd --get-default-zone   # 查看你当前默认区域
  • 例3:firewalld区域中添加http服务,使其为放行状态

[root@server ~]# yum install nginx -y
[root@server ~]# systemctl start nginx
# 浏览器测试网页,被拒绝
[root@server ~]# firewall-cmd --get-default-zone 
[root@server ~]# firewall-cmd --list all  # 查看当前区域中开方的服务
​
[root@server ~]# firewall-cmd --permanent  --zone=public  --add-service=http 
success
[root@server ~]# firewall-cmd --permanent  --zone=public  --add-port=80/tcp
success
[root@server ~]# firewall-cmd --reload 
success
[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens32
  sources: 
  services: cockpit dhcpv6-client http ssh
  ports: 80/tcp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
# 浏览器测试通过
​
# 放行服务格式:
firewall-cmd --permanent  --zone=public  --add-service=服务名
​
# 放行端口格式:
firewall-cmd --permanent  --zone=public  --add-port=端口号/传输协议
  • 例4:某些服务需要编辑zone文件才能添加服务,添加nginx服务

[root@server ~]# firewall-cmd   --get-services   # 查看所有区域支持的服务
​
[root@server ~]# dnf  install  nginx  -y  # 安装nginx
​
[root@server ~]# firewall-cmd   --add-service=nginx  --permanent  # 报错,需要编辑区域文件
[root@server ~]# vim  /etc/firewalld/services/nginx.xml  # 编辑服务配置文件,添加:
<service>
        <short>Nginx</short>
        <description>nginx</description>
        <port protocol="tcp"  port="80"/>
        <port protocol="tcp"  port="443"/>
</service>
​
# 再次添加服务
[root@server services]# firewall-cmd   --add-service=nginx  --permanent 
​
# 重置
[root@server services]# firewall-cmd   --reload 
​
# 查看当前区域支持的服务
[root@server services]# firewall-cmd  --zone=public  --list-service
  • 例5:禁止192.168.48.131 网段的地址进行ping

    • firewalld 富规则:用于更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有正对性的策略配置

    • 富规则优先级最高

    • 格式:

# 如:
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="源IP" service name="http"   reject'
  • 你不得不吐嘈:"==这是地球上最丑陋的命令形式,没有之一==",书写时很容易出错,所以建议你在文件编辑器修改到没有毛病再粘贴到shell终端窗口中

  • 可以通过输入 \ 换行书写

  • 示例:

[root@server ~]# firewall-cmd  --permanent  --add-rich-rule='rule  family="ipv4"  source address="192.168.48.131" protocol  value="icmp"  reject'
success
[root@server ~]# firewall-cmd  --reload    # 重置
success
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens32
  sources: 
  services: dhcpv6-client mdns nginx ssh 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="192.168.48.131" protocol value="icmp" reject

# 客户端输入ping   192.168.48.130  进行测试,发现无法ping,成功

# 注意:恢复客户端ping,不能在服务端添加一条放行富规则,应为禁止的富规则还在,ping还是无法通信,如:
[root@server ~]# firewall-cmd  --permanent  --add-rich-rule='rule  family="ipv4"  source address="192.168.48.131" protocol  value="icmp"  accept'
[root@server ~]# firewall-cmd  --reload

# 客户端测试ping  192.168.48.130  失败

# 注意:只需删除对应规则即可

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2236435.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Java开发配置文件的详情教程配置文件类型

学习总结 1、掌握 JAVA入门到进阶知识(持续写作中……&#xff09; 2、学会Oracle数据库入门到入土用法(创作中……&#xff09; 3、手把手教你开发炫酷的vbs脚本制作(完善中……&#xff09; 4、牛逼哄哄的 IDEA编程利器技巧(编写中……&#xff09; 5、面经吐血整理的 面试技…

ffmpeg:视频字幕嵌入(GPU加速)

实现方案 参考指令 ffmpeg -i input_video.mp4 -vf "subtitlessubtitles.srt" output_video.mp4 解决因文件名称复杂导致的指令执行失败问题&#xff08;引号给文件框起来&#xff09; ffmpeg -i "A.mp4" -vf "subtitlesB.srt" "c.mp4&qu…

改进系列(3):基于ResNet网络与CBAM模块融合实现的生活垃圾分类

目录 1. ResNet介绍 2. CBAM 模块 3. resnet cbam 3.1 添加在每个layer层后 3.2 关于训练的建议 4. 垃圾分类实战 4.1 数据集 4.2 训练 4.3 最好的权重 4.4 推理 5. 其它 1. ResNet介绍 ResNet&#xff08;残差网络&#xff09;是一种深度卷积神经网络模型&#xf…

【HarmonyOS Next】数据本地存储:@ohos.data.preferences

【HarmonyOS Next】数据本地存储&#xff1a;ohos.data.preferences 在开发现代应用程序时&#xff0c;数据存储是一个至关重要的过程。应用程序为了保持某些用户设置、应用状态以及其他小量数据信息通常需要一个可靠的本地存储解决方案。在 HarmonyOS Next 环境下&#xff0c…

【从零开始的LeetCode-算法】3255. 长度为 K 的子数组的能量值 II

给你一个长度为 n 的整数数组 nums 和一个正整数 k 。 一个数组的 能量值 定义为&#xff1a; 如果 所有 元素都是依次 连续 且 上升 的&#xff0c;那么能量值为 最大 的元素。否则为 -1 。 你需要求出 nums 中所有长度为 k 的 子数组 的能量值。 请你返回一个长度为 n - …

C++ 参数传递 笔记

目录 1、输入参数的传递方式-选择传值还是传引用&#xff1f; 处理用户信息 处理坐标 处理配置 处理ID 2、对于需要修改的参数,使用非const引用传递 有趣的例外&#xff1a;警惕表象的迷惑 需要警惕的陷阱 “糟糕”的update方法&#xff1a; “完美”的set_name与set…

爬虫策略规避:Python爬虫的浏览器自动化

网络爬虫作为一种自动化获取网页数据的技术&#xff0c;被广泛应用于数据挖掘、市场分析、竞争情报等领域。然而&#xff0c;随着反爬虫技术的不断进步&#xff0c;简单的爬虫程序往往难以突破网站的反爬虫策略。因此&#xff0c;采用更高级的爬虫策略&#xff0c;如浏览器自动…

信号-3-信号处理、可重入函数与`volatile`关键字总结

信号处理是操作系统中的一个重要机制&#xff0c;它允许进程在运行期间响应外部事件&#xff0c;并作出相应的处理。为了处理信号&#xff0c;程序员需要理解如何设置信号处理器&#xff0c;如何管理信号的屏蔽与阻塞&#xff0c;以及信号的递送机制。本文将结合操作系统中的信…

深度学习-图像评分实验(TensorFlow框架运用、读取处理图片、模型建构)

目录 0、实验准备 ①实验环境 ②需要下载的安装包 ③注意事项&#xff08;很关键&#xff0c;否则后面内容看不懂&#xff09; ④容易出现的问题 1、查看数据并读取数据。 2、PIL库里的Image包进行读取&#xff08;.resize更改图片尺寸&#xff0c;并将原始数据归一化处…

【Linux系统】—— 基本指令(二)

【Linux系统】—— 基本指令&#xff08;二&#xff09; 1 「alias」命令1.1 「ll」命令1.2 「alias」命令 2 「rmdir」指令与「rm」指令2.1 「rmdir」2.2 「rm」2.2.1 「rm」 删除普通文件2.2.2 「rm」 删除目录2.2.3 『 * 』 通配符 3 「man」 指令4 「cp」 指令4.1 拷贝普通…

面向对象技术简述(含设计模式)

6.9.2 面向对象技术 面向对象 对象 分类 继承 通过消息的通信 面向对象 对象 分类 继承 通过消息的通信 面向对象对象分类继承通过消息的通信其中包括&#xff1a; 对象 运行的实体&#xff1b;既包含属性/数据&#xff0c;又包含方法/行为/操作数据的函数&#xff1b;…

【信号处理】基于联合图像表示的深度学习卷积神经网络

Combined Signal Representations for Modulation Classification Using Deep Learning: Ambiguity Function, Constellation Diagram, and Eye Diagram 信号表示 Ambiguity Function(AF) 模糊函数描述了信号的两个维度(dimensions):延迟(delay)和多普勒(Doppler)。 …

【C++练习】两个实型数的加法运算

题目&#xff1a; 编写一个C程序&#xff0c;实现两个实型数的加法运算并输出结果。 要求&#xff1a; 定义一个函数 dadd&#xff0c;该函数接收两个 double 类型的参数&#xff0c;并返回它们的和。在 main 函数中&#xff0c;提示用户输入两个实型数&#xff08;double 类…

【开源免费】基于SpringBoot+Vue.JS周边产品销售网站(JAVA毕业设计)

博主说明&#xff1a;本文项目编号 T 061 &#xff0c;文末自助获取源码 \color{red}{T061&#xff0c;文末自助获取源码} T061&#xff0c;文末自助获取源码 目录 一、系统介绍二、演示录屏三、启动教程四、功能截图五、文案资料5.1 选题背景5.2 国内外研究现状5.3 可行性分析…

Sql面试题二:请查询出用户连续三天登录的所有数据记录

问题&#xff1a; 现有用户登录记录表&#xff0c;请查询出用户连续三天登录的所有数据记录 id dt 1 2024-04-25 1 2024-04-26 1 2024-04-27 1 2024-04-28 1 2024-04-30 1 2024-05-01 1 2024-05-02 1 2024-05-04 1 2024-05-05 2 2…

科研绘图系列:R语言分组堆积图(grouped stacked barplot)

禁止商业或二改转载,仅供自学使用,侵权必究,如需截取部分内容请后台联系作者! 文章目录 介绍加载R包准备画图主题数据链接导入数据画图数据准备图例图1图2合并图系统信息介绍 分组堆积图(Grouped Stacked Bar Chart)是一种数据可视化图表,它结合了分组柱状图和堆积柱状图…

世界技能竞赛大数据应用开发环境1:1还原

集群情况 模块A搭建环境&#xff0c;在容器中搭建大数据平台 Pc机&#xff0c;安装安装比赛需要软件 模块B中使用idea快速开发完成数据处理 模块E包含了接口数据&#xff0c;使用vs code快速搭建vue数据可视化

【网络协议大花园】应用层 http协议的使用小技巧,用好了都不用加班,效率翻两倍(下篇)

本篇会加入个人的所谓鱼式疯言 ❤️❤️❤️鱼式疯言:❤️❤️❤️此疯言非彼疯言 而是理解过并总结出来通俗易懂的大白话, 小编会尽可能的在每个概念后插入鱼式疯言,帮助大家理解的. &#x1f92d;&#x1f92d;&#x1f92d;可能说的不是那么严谨.但小编初心是能让更多人…

SpringBoot源码解析(一)

SpringBoot自动装配原理 SpringBootApplication注解 我们在使用SpringBoot时&#xff0c;通常使用的是SpringBootApplication这个注解&#xff0c;比如&#xff1a; 而这个注解的定义为下图&#xff0c;可以发现这个注解上有另外三个注解&#xff1a;SpringBootConfiguration…

流类库与输入输出

来源&#xff1a;《C语言程序设计》 像C语言一样&#xff0c;C语言也没有输入输出语句。 但C标准库中有一个面向对象的输入输出软件包&#xff0c;即I/O流类库。 流是I/O流类的中心概念。 ------ I/O流类库是C语言中I/O函数在面向对象的程序设计方法中的一个替换产品。 -…