怎么看一个网站有没有做301,网页模板网站推荐,网站建设怎么申请空间,明光网站目录
一、Firewalld概述
二、Firewalld和iptables的关系
三、Firewalld网络区域
1、firewalld防火墙预定义了9个区域:
2、firewalld 数据包处理原则
3、firewalld数据处理流程
4、firewalld检查数据包的源地址的规则
四、Firewalld防火墙的配置方法
1、firewalld 命令…目录
一、Firewalld概述
二、Firewalld和iptables的关系
三、Firewalld网络区域
1、firewalld防火墙预定义了9个区域:
2、firewalld 数据包处理原则
3、firewalld数据处理流程
4、firewalld检查数据包的源地址的规则
四、Firewalld防火墙的配置方法
1、firewalld 命令行操作管理
1查
2增
3删
4改
五、Firewalld防火墙案例 一、Firewalld概述
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具支持IPv4、IPv6防火墙设置以及以太网桥支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式 运行时配置永久配置
二、Firewalld和iptables的关系 netfilter
位于Linux内核中的包过滤功能 体系
称为Linux防火墙的“内核态
Firewalld/iptables
CentOS7默认的管理防火墙规则的工具(Firewalld)称为Linux防火墙的“用户态 Firewalld和iptables的区别 Firewalldiptables配置文件 /usr/lib/firewalld/ /etc/firewalld/ /etc/sysconfig/iptables对规则的修改不需要全部刷新策略不丢失现行连接需要全部刷新策略丢失连接防火墙类型动态防火墙静态防火墙
三、Firewalld网络区域
1、firewalld防火墙预定义了9个区域:
trusted信任区域允许所有的传入流量。public公共区域允许与ssh或dhcpv6-client预定义服务匹配的传入流量其余均拒绝。是新添加网络接口的默认区域。external外部区域允许与 ssh 预定义服务匹配的传入流量其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装可用于为路由器启用了伪装功能的外部网络。home家庭区域允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量其余均拒绝。internal内部区域默认值时与home区域相同。work工作区域允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量其余均拒绝。dmz隔离区域也称为非军事区域允许与 ssh 预定义服务匹配的传入流量其余均拒绝。block限制区域拒绝所有传入流量。drop丢弃区域丢弃所有传入流量并且不产生包含 ICMP的错误响应。
2、firewalld 数据包处理原则
要激活某个区域需要先将区域与 源地址或网卡接口 关联绑定一个区域可以关联绑定多个源地址或网卡接口一个源地址或网卡接口只能关联绑定一个区域 3、firewalld数据处理流程
firewalld对于进入系统的数据包会根据数据包的源IP地址或传入的网络接口等条件将数据流量转入相应区域的防火墙规则。对于进入系统的数据包首先检查的就是其源地址。
4、firewalld检查数据包的源地址的规则
若源地址关联到特定的区域即源地址或接口绑定的区域有冲突则执行该区域所制定的规则。若源地址未关联到特定的区域即源地址或接口绑定的区域没有冲突则使用传入网络接口的区域并执行该区域所制定的规则。若网络接口也未关联到特定的区域即源地址或接口都没有绑定特定的某个区域则使用默认区域并执行该区域所制定的规则。
四、Firewalld防火墙的配置方法
1、firewalld 命令行操作管理
1查
firewall-cmd --get-default-zone 查看当前默认区域--get-active-zones 查看当前已激活的区域--get-zones 查看所有可用的区域--list-all-zones 查看所有区域的规则--list-all --zone区域名 查看指定区域的规则--list-services --zone区域名 查看指定区域允许访问的服务列表--list-ports --zone区域名 查看指定区域允许访问的端口列表--get-zone-of-interface网卡名 查看与网卡绑定的区域--get-icmptypes 查看所有icmp类型
2增
firewall-cmd --add-interface网卡名 --zone区域名 给指定区域添加绑定的网卡--add-source源地址 --zone区域名 给指定区域添加源地址--add-service服务名 --zone区域名 给指定区域添加允许访问的服务--add-service{服务名1,服务名2,...} --zone区域名 给指定区域添加允许访问的服务列表--add-port端口/协议 --zone区域名 给指定区域添加允许访问的端口--add-port端口1-端口2/协议 --zone区域名 给指定区域添加允许访问的连续的端口列表--add-port{端口1,端口2,...}/协议 --zone区域名 给指定区域添加允许访问的不连续的端口--add-icmp-blockicmp类型 --zone区域名 给指定区域添加拒绝访问的icmp类型
3删
firewall-cmd --remove-service服务名 --zone区域名 --remove-port端口/协议 --zone区域名--remove-icmp-blockicmp类型 --zone区域名--remove-interface网卡名 --zone区域名 从指定区域里删除绑定的网卡--remove-source源地址 --zone区域名 从指定区域里删除绑定的源地址
4改
firewall-cmd --set-default-zone 修改当前默认区域--change-interface网卡名 --zone区域名 修改/添加网卡 绑定给指定区域--change-source源地址 --zone区域名 修改/添加源地址 绑定给指定区域
运行时配置 实时生效并持续至Firewalld重新启动或重新加载配置不中断现有连接不能修改服务配置 firewall-cmd ....
firewall-cmd --runtime-to-permanent 将之前的运行时配置都转换成永久配置 永久配置 不立即生效除非Firewalld重新启动或重新加载配置中断现有连接可以修改服务配置 firewall-cmd .... --permanent
firewall-cmd --reload 或 systemctl restart firewalld
/etc/firewalld/中的配置文件
Firewalld会优先使用/etc/firewalld/中的配置如果不存在配置文件则使用/usr/lib/firewalld/中的配置 /etc/firewalld/:用户自定义配置文件需要时可通过从/usr/lib/firewalld/中拷贝/usr/lib/firewalld/:默认配置文件不建议修改若恢复至默认配置可直接删除/etc/firewalld/ 中的配置 五、Firewalld防火墙案例 永久生效 富规则https://blog.51cto.com/u_3823536/2552274
