Linux中的火墙 - firewalld
- 1 firewalld的开启
- 2.关于firewalld的域
- 3.关于firewalld的设定原理及数据存储
- 4.firewalld的管理命令
- 5.firewalld的高级规则
- 6.firewalld中的NAT
1 firewalld的开启
2.关于firewalld的域
| trusted | 接受所有的网络连接 |
|---|---|
| home | 用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client |
| work | 工作网络 ssh ipp-client dhcp-client |
| public | 公共网络 ssh dhcp-client |
| dmz | 军级网络 ssh |
| block | 拒绝所有 |
| drop | 丢弃 所有数据全部丢弃无任何回复 |
| internal | 内部网络 ssh mdns ipp-client samba-client dhcp-client |
| external | ipv4网络地址伪装转发 sshd |
3.关于firewalld的设定原理及数据存储
- 1. 火墙配置目录
/etc/firewalld
注:使用命令更改默认域实际更改的是/etc/firewalld/firewalld.conf配置文件
- 2. 火墙模块目录
/lib/firewalld
4. firewalld的管理命令
| firewall-cmd --state | 查看火墙状态 |
|---|---|
| firewall-cmd --get-active-zones | 查看当前火墙中生效的域 |
| firewall-cmd --get-default-zone | 查看默认域 |
| firewall-cmd --list-all | 查看默认域中的火墙策略 |
| firewall-cmd --list-all --zone=work | 查看指定域的火墙策略 |
| firewall-cmd --set-default-zone=trusted | 设定默认域 |
| firewall-cmd --get-services | 查看所有可以设定的服务 |
|---|---|
| firewall-cmd --permanent --remove-service=cockpit | 移除服务 |
| firewall-cmd --reload | 保存设置 |
| firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block | 指定数据来源访问指定域 |
|---|---|
| firewall-cmd --reload | 保存 |
| firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block | 删除自定域中的数据来源 |
| firewall-cmd --permanent --remove-interface=ens224 --zone=public | 删除指定域的网络接口 |
|---|---|
| firewall-cmd --permanent --add-interface=ens224 --zone=block | 添加指定域的网络接口 |
| firewall-cmd --permanent --change-interface=ens224 --zone=public | 更改网络接口到指定域 |
5. firewalld的高级规则
- firewall-cmd --direct --get-all-rules
- firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp –
dport 22 -j ACCEPT
6.firewalld中的NAT
SNAT
- firewall-cmd --permanent --add-masquerade
firewall-cmd --reload
DNAT
- firewall-cmd --permanent --add-forwardport=port=22:proto=tcp:toaddr=172.25.254.30
firewall-cmd --reload
实验环境:
rhel8_1 : 192.168.43.100 / 172.25.254.10
test : 192.168.43.101
rhel8_2 : 172.25.254.11
测试:
1.
2.
