admin管理员组文章数量:1642336
firewalld基础服务
(一)系统服务
firewalld
(二)管理工具
firewalld-cmd
:终端命令firewalld-config
:图形化界面
(三)预设保护规则集
public
:仅允许访问本机的sshd、dhcp、ping
等少数几个服务trusted
:允许任何访问block
:阻塞任何来访请求(明确拒绝)drop
:丢弃任何来访的数据包(直接丢弃,不给客户端回应。节省服务端资源)
(四)防火墙匹配原则:匹配即停止
- 查看数据包中源IP地址,然后查询所有区域中的规则,哪一个区域中有该源IP地址的规则,则进入哪一个区域。
- 进入默认区域(public,可以修改)
- 查看默认区域:
firewall-cmd --get-default-zone
- 修改默认区域:
firewall-cmd --set-default-zone=block
- 查看默认区域:
(五)区域中添加策略
(1)互联网常见协议
http:80
:超文本传输协议https:443
:安全的超文本传输协议FTP:21
:文件传输协议TFTP:69
:简单的文件传输协议telnet:23
:远程管理协议DNS:53
:域名解析协议snmp:161
:简单的网络管理协议smtp:25
:邮件协议(发邮件)pop3:110
:邮件协议(收邮件)
(2)查看区域下的规则
firewall-cmd --zone=public --list-all
(3)给默认区域下添加
一个策略,允许http
协议
firewall-cmd --zone=public --add-service=http
--remove
:删除
(4)永久配置(permanent)
firewall-cmd --permanent --zone=public --add-service=http
- 永久配置是将配置信息写入到配置文件中,不会直接生效
- 刷新防火墙策略:
firewall-cmd --reload
(5)添加ip
限制
firewall-cmd --zone=block --add-source=10.10.173.110
(6)简单常用策略模式
- 宽松:默认区域为
trusted
,单独拒绝的源ip
地址写入block
- 严格:默认区域为
block
,单独允许的源ip
地址写入trusted
(六)端口映射
- 从客户机访问
端口1:5423
的请求,自动映射到本机端口2:80
firewall-cmd --permanent --zone=piblic --add-forward-port=port=5423:proto=tcp:toport:80
版权声明:本文标题:Linux防火墙策略管理 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1729336561a1197061.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论