标签:网络安全
RHEL7的防火墙体系预设安全区域
根据所在的网络场所划分,预设保护规则集
public 仅允许访问本地的sshd 等少数几个服务
trusted:允许任何访问
block:拒绝任何来访请求
drop:丢弃任何来访的数据包
防火墙判定的规则 #匹配即停止
1 客户端数据中的源IP地址,查看所有区域中 哪个区域有该地址的规则 如果有 则进入该区域
2进入默认区域 #管理员可以自行设置默认区域
虚拟机server0
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看区域规则
虚拟机desktop0
[root@desktop0 ~]# ping 192.168.1.1 #可以通信
虚拟机server0
[root@server0 ~]# firewall-cmd --set-default-zone=block #修改默认区域
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop0
[root@desktop0 ~]# ping 192.168.1.1 #不能通信,可以收到回应
虚拟机server0
[root@server0 ~]# firewall-cmd --set-default-zone=drop #修改默认区域
[root@server0 ~]# firewall-cmd --get-default-zone #查看默认区域
虚拟机desktop0
[root@desktop0 ~]# ping 192.168.1.1 #不能通信,没有回应
################################################################
虚拟机server0:
[root@server0 ~]# firewall-cmd --set-default-zone=public
[root@server0 ~]# firewall-cmd --get-default-zone
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看区域策略
[root@server0 ~]# firewall-cmd --zone=public --add-service=http #添加服务
虚拟机desktop0:
[root@desktop0 ~]# firefox http://172.25.0.11 #可以访问
[root@desktop0 ~]# firefox ftp://172.25.0.11 #不可以访问
虚拟机server0:
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看区域策略
[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp #添加服务
虚拟机desktop0:
[root@desktop0 ~]# firefox http://172.25.0.11 #可以访问
[root@desktop0 ~]# firefox ftp://172.25.0.11 #可以访问
#####################################################
– 永久配置(permanent)
虚拟机server0:
[root@server0 ~]# firewall-cmd --reload #重新加载防火墙配置
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看防火墙规则
[root@server0 ~]# firewall-cmd --permanent --zone=public --add-service=http
[root@server0 ~]# firewall-cmd --permanent --zone=public --add-service=ftp
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看防火墙规则
[root@server0 ~]# firewall-cmd --reload #重新加载防火墙配置
[root@server0 ~]# firewall-cmd --zone=public --list-all
#######################################################
实现本机的端口映射
本地应用的端口重定向(端口1 --> 端口2)
从客户机访问 端口1 的请求,自动映射到本机 端口2
比如,访问以下两个地址可以看到相同的页面:
http://172.25.0.11:5423/
http://172.25.0.11/
从客户机访问172.25.0.11:5423时映射到172.25.0.11:80
虚拟机Server0:
[root@server0 ~]# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80 #配置端口映射
[root@server0 ~]# firewall-cmd --reload #重新加载防火墙配置
[root@server0 ~]# firewall-cmd --zone=public --list-all #查看防火墙规则
虚拟机Desktop0:
[root@desktop0 ~]# firefox http://172.25.0.11:5423
标签:网络安全
原文地址:http://blog.51cto.com/2168836/2102980
