2. 技术
    3. firewalld管理方式

    firewalld管理方式

    技术2022-07-11  71

    与iptables管理方式相比,firewalld管理方式更加简单

    1 firewalld的开启

    systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewalld

    2.关于firewalld的域

    trusted接受所有的网络连接home用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-clientwork工作网络 ssh ipp-client dhcp-clientpublic公共网络 ssh dhcp-clientdmz军级网络 sshblock拒绝所有drop丢弃 ,所有数据全部丢弃无任何回复internal内部网络 ssh mdns ipp-client samba-client dhcp-clientexternalipv4网络地址伪装转发 sshd

    3.关于firewalld的设定原理及数据存储

    【1】火墙配置目录: /etc/firewalld

    【2】火墙模块目录: /lib/firewalld

    4.firewalld的管理命令

    firewall-cmd --state # 查看火墙状态 firewall-cmd --get-active-zones # 查看当前火墙中生效的域 firewall-cmd --get-default-zone # 查看默认域 firewall-cmd --list-all # 查看默认域中的火墙策略 firewall-cmd --list-all --zone=trusted # 查看指定域的火墙策略 firewall-cmd --set-default-zone=public # 设定默认域 firewall-cmd --get-services # 查看所有可以设定的服务 firewall-cmd --permanent --remove-service=http # 移除服务 firewall-cmd --permanent --add-service=http # 添加服务 firewall-cmd --reload firewall-cmd --permanent --add-source=172.25.254.17 --zone=block # 指定数据来源访问指定域 firewall-cmd --reload firewall-cmd --permanent --remove-source=172.25.254.17 --zone=block # 删除自指定域中的数据来源 firewall-cmd --permanent --remove-interface=enp1s0 --zone=public # 删除指定域的网络接口 firewall-cmd --permanent --add-interface=enp1s0 --zone=block # 添加指定域的网络接口 firewall-cmd --permanent --change-interface=enp1s0 --zone=public # 更改网络接口到指定域 查看filrewalld状态: 查看当前火墙中生效的域 查看默认域 设定 默认域 查看指定域中的火墙策略 查看所有可以设定的服务 移除服务 移除的http又出现了: 永久移除: 添加http: ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200713191204338.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjI2ODI0NA==,size_16,color_FFFFFF,t_70) - 删除指定域的网络接口 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200713193344273.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjI2ODI0NA==,size_16,color_FFFFFF,t_70) - 添加指定域的网络接口 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200713193434274.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjI2ODI0NA==,size_16,color_FFFFFF,t_70) 即访问ens160均会别被拒绝。访问ens192会被允许:![在这里插入图片描述](https://img-blog.csdnimg.cn/20200713193641528.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjI2ODI0NA==,size_16,color_FFFFFF,t_70) ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200713193722971.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjI2ODI0NA==,size_16,color_FFFFFF,t_70) - 更改网络接口到指定与域:![在这里插入图片描述](https://img-blog.csdnimg.cn/20200713194031778.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NjI2ODI0NA==,size_16,color_FFFFFF,t_70)

    5.firewall中的高级规则

    firewall-cmd --direct --get-all-rules #查看高级规则 firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.17 -p tcp --dport 22 -j ACCEPT #添加 firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.33 -j REJECT #删除

    6.firewall中的NAT

    SNAT firewall-cmd --permanent --add-masquerade #在双网卡主机中打开,workstation就可访问外网。操作结果与iptables中练习的一致 firewall-cmd --reload DNAT firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.10 #在workstation(29)中进行设置,使用rhel8(30)连接,最终连接位置是10主机(10) firewall-cmd --reload

    Processed: 0.011, SQL: 9