linux防火墙firewalld
Firewalld概述
Firewalld支持网络区域所定义的网络链接以及接口安全等级的动态,防火墙管理工具,支持IPv4、IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
- 运行时配置 ;
- 永久配置;
区域介绍
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,可以使用一个或多个区域,但是任何一个活跃 区域至少需要关联源地址或接口,默认情况下,public区域是默认区域,包含所有接口(网卡)
Firewalld数据处理流程
1、检查数据来源的源地址
2、若源地址关联到特定的区域,则执行该区域所指定的规则
3、若源地址未关联到特定的区域,则使用传入网络接的区域并执行该区域所指定的规则
4、 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
Firewalld工具
■Firewall-config图形工具
■Firewall-cmd命令行工具
配置文件/etc/firewalld
Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/ib/firewalld/中的配置
◆/etc/firewalld/ :用户自定义配置文件,需要时可通过 /usr/ib/firewalld/中拷贝
◆/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/ 中的配置
实验验证
实验设计
下面用一个实验了解下防火墙firewalld实验环境:客户机IP地址为20.0.0.140 服务器主机IP地址为20.0.0.69实验需求:
●禁止主机服务器IP20.0.0.69ping通
●只允许20.0.0.140主机访问SSH服务
●允许所有主机访问Apache服务
实验步骤
1、在服务器上装Apache yum -y install httpd systemctl start httpd //开启Apache systemctl enable httpd //开机自启Apache
2、在客户机上连接服务器的Apache lynx 20.0.0.69 出现下图说明成功联上主机Apache
3、进入服务器进行防火墙设置
systemctl start firewalld == ## 开启防火墙 ==
systemctl enable firewalld == ## 设置开机自启 ==
firewall-config ##进入图形设置界面
4、对work进行设置
5、对public设置
6、实验测试:[root@ ~]# ping 20.0.0.69 在客户机ping不能通
[root@ ~]# ssh 20.0.0.69 能够远程服务器
SSH服务器
[email protected]. 131’s password:
Last login: Fri Apr 13 16:02:45 2018 from 192. 168.8.150
[root@Server ~]# exit
更换IP地址后,
登出
禁止SSH
[root@ ~]# ifconfig ens33 20.0.0.128/24
[root@ ~]# ssh 20.0.0.69 不能远程了
ssh: connect to host 192.168.8.131 port 22: No route to host