美文网首页
RHCE认证学习-防火墙篇

RHCE认证学习-防火墙篇

作者: 早_wsm | 来源:发表于2019-11-19 22:19 被阅读0次

tcpwraps

  • tcpwraps存在两个配置文件,使用简单,在指定ip登录SSH时比较好用。
1. /etc/hosts.allow

白名单:允许访问的用户名单

2./etc/hosts.deny

黑名单:禁止访问的用户名单

示例:

在不同的配置文件中写入,可达到允许与禁止的作用

sshd : 192.168.26.0/255.255.255.0
匹配规则:

如果俩个文件同时写入相同的访问用户,则优先匹配/etc/hosts.allow

firewalld

1.简述:
  • Centos7默认的防火墙是 firewall,替代了以前的 iptables
  • firewall使用更加方便、功能也更加强大一些
  • firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。
2.安装

firewall使用前需要安装,当然也有些系统自带firewall,所以先判断是否已安装过。

[root@vms001 ~]# rpm -qa |grep firewall
firewall-config-0.3.9-11.el7.noarch
firewalld-0.3.9-11.el7.noarch

或者执行查看版本命令:

[root@vms001 ~]# firewall-cmd --version 
 0.3.9

若未安装,执行yum install -y firewalld

3.使用

3.1 使用图形化界面配置防火墙命令:

[root@vms001 桌面]# firewall-config &
image

3.2 使用命令行的命令
firewall-cmd

systemctl status firewalld              # 查看状态
systemctl start firewalld               # 启动
systemctl stop firewalld                #关闭
systemctl enable firewalld              # 开机启动
systemctl disable firewalld             # 取消开机启动

3.3 常用操作命令:

常用的操作命令:
firewall-cmd --add-service=mysql # 开放mysql端口
firewall-cmd --remove-service=http # 阻止http端口
firewall-cmd --list-services  # 查看开放的服务
firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp  # 开放通过udp访问233
firewall-cmd --list-ports  # 查看开放的端口
4.防火墙的富规则

4.1 伪装IP=端口转发

firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

**将80端口的流量转发至8080**
```python

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

    **将80端口的流量转发至192.168.0.1的8080端口**
    ```python
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080

可以使用man命令查看富规则中的模板

man firewalld.richlanguage

查找example
其中3和5为我们常用的修改协议与端口的书写模板

协议模板示例:

 Example 3
      Allow new IPv4 connections from address 192.168.0.0/24 for service tftp
      and log 1 per minutes using syslog 
          rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept

端口模板示例:

Example 5
       Forward IPv6 port/packets receiving from 1:2:3:4:6:: on port 4011 with
       protocol tcp to 1::2:3:4:7 on port 4012

           rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"

设置为永久生效:

firewall-cmd --add-rich-rule rule family=" " --permanent永久生效

相关文章

网友评论

      本文标题:RHCE认证学习-防火墙篇

      本文链接:https://www.haomeiwen.com/subject/bytnictx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|RHCE认证学习-防火墙篇|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!