Linux中的防火墙
- linux内核包含一个强大的网络过滤子系统:netfilter
- Netfilter允许linux对每个数据包进行检查,无论是进入,离开还是转发的数据包,在到达用户的组件之间,都会进行检查,修改,丢弃或者拒绝,它是redhat7中构建防火墙的主要模块
- 在redhat7之前iptables就是用来和netfilter沟通的程序,该工具比较低级,管理防火墙可能具有挑战性
- redhat7以上使用了 firewalld,之前只用的都是iptables,firewalld中引入了域的概念
- firewalld.service和iptables.service以及ip6tables.service,ebtables.service服务彼此冲突
- Systemctrl mask服务d.service,用来屏蔽不需要的服务
- firewalld是redhat7默认的防火墙工具 ,可以支持临时和永久的配置,支持区域功能,可以使用图形化界面firewalld-config 和命令工具,firewalld-cmd共同管理
- firewalld把网络流量分成多个区域,从而简化防火墙管理
- firewalld根据数据包的源ip地址,将流量转入相应区域,没有匹配到的流量转入默认区域
-
大多数区域都会允许某些特定端口和协议(631/udp,ssh),如果流量在某一个区域没有被允许,则会拒绝
image.png
image.png
image.png
图形化配置防火墙
firewall-config
命令行配置防火墙
firewall-cmd
命令行设置防火墙命令
--get-default-zone
:查询默认的区域名称
--set-default-zone=<区域名称>
:设置默认的区域,永久生效
--get-zones
:显示可用的区域
--get-services
:显示预定义的服务
--get-active-zones
:显示正在使用的区域
--add-sourse=将来源于此ip或子网的流量导向指定的区域
--remove-source=不再将来源于此ip或子网的流量导向某个指定的区域
--list-all
:显示当前区域的网卡配置参数,资源, 以及服务等信息
--add-service=<服务名>
:设置默认区域允许该服务的流量
--add-port=<端口号/协议>
:允许默认区域允许该端口的数量
--remove-services=<服务名>
: 设置默认区域不再允许该端口的数量
--remove-port=<端口号/协议>
:允许默认区域不再允许该端口
--reload:让“永久生效”的配置规则立即生效,覆盖当前的
--query-service=<服务名>
:查询服务是否被允许
--permanent
:配置永久生效
例:
image.png
image.png
image.png
-
允许https服务流量通过public区域,要求立即生效且永久
image.png
-
不允许https服务流量通过public区域,要求立即生效且永久有效
image.png
-
不允许TCP的8080 与8081端口流量通过public区域,立即生效且永久有效,并且查看是否生效
image.png
富规则
-
拒绝来自dmz区域中ip地址为192.168.0.11的所有流量
image.png
-
允许来自172.168.0.0/22网段访问
image.png
-
拒绝主机访问本地的samba服务
image.png
网友评论