Linux отмечает брандмауэр 6-firewalld

другое 2021-03-29 02:18:04 Время чтения: null

Каталог статей


RHEL7 заменил службу iptables службой firewalld, но в RHEL7 команда iptables по-прежнему может использоваться для управления сетевым фильтром ядра. Фактически, iptalbes и firewalld не являются настоящими межсетевыми экранами, это просто инструменты для определения правил межсетевого экрана. После того, как правила определены, они передаются netfilter для чтения, чтобы реализовать функцию межсетевого экрана.
Брандмауэр - это инструмент управления брандмауэром по умолчанию в RHEL7. Он имеет конфигурацию времени выполнения и постоянный выбор конфигурации, а также может поддерживать динамические обновления и региональные концепции функций. Предоставляет новую команду управления брандмауэром firewall-cmd и графический инструмент firewall-config.

Региональная концепция и функции

Сетевая зона межсетевого экрана определяет уровень надежности сетевого перехвата. Мы можем вызывать разные области firewalld в соответствии с разными сценариями. Проще говоря, мы заранее подготовили несколько наборов комбинаций правил для пользователей. Мы можем выбирать различные комбинации правил в соответствии со сценарием. По умолчанию зона является общедоступной.
Список правил зоны выглядит следующим образом:
Вставьте описание изображения сюда
Вставьте описание изображения сюда

Инструмент управления персонажами

Команда firewall-cmd может эффективно настроить брандмауэр. Служба
firewalld имеет два правила и записи конфигурации политик. Действующее в настоящее время Permanent of RunTime действует постоянно. Когда измененная запись действует постоянно, необходимо выполнить команду firewall-cmd -reload вступить в силу. Параметры команды следующие:
Вставьте описание изображения сюда
Вставьте описание изображения сюда
Пример работы:

[root@bogon ~]# firewall-cmd --get-default-zone  --查看当前默认区域
public
[root@bogon ~]# firewall-cmd --get-zone-of-interface=eno16777728
no zone
[root@bogon ~]# firewall-cmd --get-zone-of-interface=ens33 --查看 网卡ens33区域
dmz
[root@bogon ~]# firewall-cmd --zone=public --query-service=ssh //查看public区域是否支持ssh协议
yes
[root@bogon ~]# firewall-cmd --zone=public --query-service=http//查看public区域是否支持http协议
no
[root@bogon ~]# firewall-cmd --set-default-zone=dmz //设置默认规则为 dmz
success
[root@bogon ~]# firewall-cmd --reload //让规则修改永远生效
success
[root@bogon ~]# firewall-cmd --panic-on
success
[root@bogon ~]# 
[root@bogon ~]# firewall-cmd --panic-on  启动应急情况模式,会阻断所有网络连接
success
[root@bogon ~]# firewall-cmd --panic-off  --关闭应急情况模式
success

方法1同时设置运行时和永久性允许https
Last login: Fri Nov 20 00:23:50 2020
[root@bogon ~]# firewall-cmd  --zone=public --add-service=https
success
[root@bogon ~]# firewall-cmd --permanent  --zone=public --add-service=https
success
方法2 同时设置运行时和永久性允许https 先设置永久性 然后 relaod即可
[root@bogon ~]# firewall-cmd --permanent  --zone=public --add-service=https
Warning: ALREADY_ENABLED: https
success
[root@bogon ~]# firewall-cmd --reload
success
--不允许http服务通过public区域
[root@bogon ~]# firewall-cmd --permanent  --zone=public --remove-service=http
Warning: NOT_ENABLED: http
success
[root@bogon ~]# firewall-cmd --reload
success
--允许8080 8081端口流量经过public区域
[root@bogon ~]# firewall-cmd --permanent  --zone=public --add-port=8080-8081/tcp
success
--查看是否生效
[root@bogon ~]# firewall-cmd --zone=public --list-ports
58625/tcp 10020/tcp 59173/tcp 80/tcp 48533/tcp 10020/udp 10030/udp
[root@bogon ~]# firewall-cmd --reload
success
--reload后再次查看是否生效
[root@bogon ~]# firewall-cmd --zone=public --list-ports
58625/tcp 10020/tcp 59173/tcp 80/tcp 48533/tcp 10020/udp 10030/udp 8080-8081/tcp
--将ens33区域修改为external
[root@bogon ~]# firewall-cmd --zone=external --change-interface=ens33
success
[root@bogon ~]# firewall-cmd --get-zone-of-interface=ens33
external
--设置富规则,拒绝192.168.10.0-24网段的ssh服务
--firewalld服务富规则用来设置对服务、端口、协议进行详细的配置,优先级最高  
--(该设置目前报错 日后排查)
[root@bogon ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule  family="ipv4" sourceaddress="192.168.10.0/24" service name ="ssh"  reject "
Error: INVALID_RULE: internal error in _lexer(): =ssh

Инструмент графической настройки

Выполните команду firewall-config, чтобы увидеть графический инструмент межсетевого экрана firewalld.

Список управления доступом к сервису

TCP_wrappers - это программа мониторинга трафика списка управления доступом ACL на основе IP. Она формулирует правила на основе адреса посещающего хоста и целевой служебной программы машины. Если разрешенные правила совпадают, трафик освобождается, а если отклоненный трафик сопоставлен, он отклонен. Если нет совпадения со значением по умолчанию, оно будет выпущено.
Список разрешений: /etc/hosts.allow
Список запретов: /etc/hosts.deny
определяет правила клиента следующим образом: Вставьте описание изображения сюда
Вставьте описание изображения сюда
ограничить только узлы в сегменте сети 192.168.10 для доступа к локальной службе httpd:

[root@bogon ~]# vi /etc/hosts.allow
httpd:192.168.10.
[root@bogon ~]# vi /etc/hosts.deny
httpd:*
~

рекомендация

отblog.csdn.net/zhangxm_qz/article/details/109843366
рекомендация
ранжирование
Колба-ответ
Spring Framework 6.1 が最初のマイルストーン バージョンをリリース
Накладная
Компания Huaqiu приняла участие в Симпозиуме по автомобильной электронике, представив интеллектуальные решения для кабины и высоконадежные печатные платы.
pm2 Изменение конфигурации экземпляров не работает
嵌入式开发——uboot中命令执行函数(main_loop函数)
Использование MACRO (макроса) в HIVE
Доступ запрещен для пользователя «» @ «локальный» в базе данных «MySQL» 问题
Под .Net Framework установлена апи чванства
Впереди Huawei Mate X5 был выбран в качестве национального подарка для саммита «Пояс и путь» с полным модельным рядом.
файл
более
2024-08-31(0)
2024-08-30(0)
2024-08-29(0)
2024-08-28(0)
2024-08-27(0)
2024-08-26(0)
2024-08-25(0)
2024-08-24(0)
2024-08-23(0)
2024-08-22(0)

Код мира

© 2018 codetd.com