标签:火墙firewalld配置、规则与策略的修改、伪装、端口转发
为保证实验环境,重置虚拟机!!!!
Firewalld概述
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。
系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。
firewalld和iptables service 之间最本质的不同是:
iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.
使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。
iptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制端口
使用命令进行接口配置防火墙
查看firewalld的状态:
# firewall-cmd --state
查看当前活动的区域,并附带一个目前分配给它们的接口列表:
[root@localhost ~]# firewall-cmd --state
running
# firewall-cmd --get-active-zones
查看默认区域:
[root@localhost ~]# firewall-cmd --get-active-zones
ROL
sources: 172.25.0.252/32
public
interfaces: eth0
# firewall-cmd --get-default-zone
查看所有可用区域:
[root@localhost ~]# firewall-cmd --get-default-zone
public
# firewall-cmd --get-zones
列出指定域的所有设置:
[root@localhost ~]# firewall-cmd --get-zones
ROL block dmz drop external home internal public trusted work
# firewall-cmd --zone=public --list-all
列出所有预设服务:
[root@localhost ~]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
# firewall-cmd --get-services
(这样将列出 /usr/lib/firewalld/services/ 中的服务器名称。注意:配置文件是以服务本身命名的service-name. xml)
[root@localhost ~]# firewall-cmd --get-services
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
列出所有区域的设置:
# firewall-cmd --list-all-zones
设置默认区域:
# firewall-cmd --set-default-zone=dmz
设置网络地址到指定的区域:
# firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24
(--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)
删除指定区域中的网路地址:
# firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24
添加、改变、删除网络接口:
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、删除服务:
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、删除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
重载防火墙:
# firewall-cmd --reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 --complete-reload选项)
firewalld的规则被保存在/etc/firewalld目录下的文件中,你也可以直接编辑这些文件达到配防火墙的目的。/usr/lib/firewalld目录下的内容是不可以被编辑的,但可以用做默认模板。
所有工作做完之后一定要重启服务!!!!!
systemctl restart firewalld.service
添加规则:
# firewall-cmd --add-rich-rule=‘rule family="ipv4" source address="172.25.0.10" accept‘
允许172.25.0.10主机所有连接。
# firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept‘
每分钟允许2个新连接访问ftp服务。
# firewall-cmd --add-rich-rule=‘rule service name=ftp log limit value="1/m" audit accept‘
同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。
# firewall-cmd --add-rich-rule=‘rule family="ipv4" source address="172.25.0.0/24"
service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept‘
允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。
# firewall-cmd --permanent --add-rich-rule=‘rule protocol value=icmp drop‘
丢弃所有icmp包
# firewall-cmd --add-rich-rule=‘rule family=ipv4 source address=172.25.0.0/24 reject‘ --
timeout=10
当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,
规则将在指定的秒数内被激活,并在之后被自动移除。
# firewall-cmd --add-rich-rule=‘rule family=ipv6 source address="2001:db8::/64" service
name="dns" audit limit value="1/h" reject‘ --timeout=300
拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志。
# firewall-cmd --permanent --add-rich-rule=‘rule family=ipv4 source
address=172.25.0.0/24 service name=ftp accept‘
允许172.25.0.0/24网段中的主机访问ftp服务
# firewall-cmd --add-rich-rule=‘rule family="ipv6" source address="1:2:3:4:6::" forward-port
to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"‘
转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012
伪装:
# firewall-cmd --permanent --zone=< ZONE > --add-masquerade##打开端口
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule=‘rule family=ipv4 source
addres=172.25.0.0/24 masquerade‘
[root@localhost ~]# firewall-cmd --add-rich-rule=‘rule family="ipv4" source address="172.25.13.11" masquerade‘
success
端口转发:
# firewall-cmd --permanent --zone=< ZONE > --add-forward-port=
port=80:proto=tcp:toport=8080:toaddr=172.25.0.10
[root@localhost ~]# firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.13.11
success
# firewall-cmd --permanent --zone=< ZONE > --add-rich-rule=‘rule family=ipv4 source
address=172.25.0.0/24 forward-port port=80 protocol=tcp to-port=8080‘
[root@localhost ~]# firewall-cmd --list-all
public (default, active)
interfaces: eth0 eth1
sources:
services: dhcpv6-client ssh
ports:
masquerade: yes
forward-ports: port=22:proto=tcp:toport=22:toaddr=172.25.13.11
icmp-blocks:
rich rules:
rule family="ipv4" source address="172.25.13.11" masquerade
[root@localhost ~]#
检测:
[kiosk@foundation13 Desktop]$ ssh root@172.25.254.113 ##连接22端口时,连接113主机,但其实连接的是13.11主机
The authenticity of host ‘172.25.254.113 (172.25.254.113)‘ can‘t be established.
ECDSA key fingerprint is eb:24:0e:07:96:26:b1:04:c2:37:0c:78:2d:bc:b0:08.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘172.25.254.113‘ (ECDSA) to the list of known hosts.
root@172.25.254.113‘s password:
Last login: Sat Jun 3 01:10:53 2017 from 172.25.13.10
[root@server ~]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.25.13.11 netmask 255.255.255.0 broadcast 172.25.13.255
inet6 fe80::5054:ff:fe40:cd1 prefixlen 64 scopeid 0x20<link>
ether 52:54:00:40:0c:d1 txqueuelen 1000 (Ethernet)
RX packets 9325 bytes 608510 (594.2 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 140 bytes 21901 (21.3 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 0 (Local Loopback)
RX packets 928 bytes 76836 (75.0 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 928 bytes 76836 (75.0 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
本文出自 “AELY木” 博客,请务必保留此出处http://12768057.blog.51cto.com/12758057/1932943
标签:火墙firewalld配置、规则与策略的修改、伪装、端口转发
原文地址:http://12768057.blog.51cto.com/12758057/1932943