firewalld 防火墙
软/硬件防火墙: 隔离作用
服务名:firewalld
命令:firewall-cmd
firewall-config & #打开防火墙图形设置页面
按所在网络场所分为,4个区域
public 仅允许访问本机ssh、ping、dhcp服务--->客户端ping,可通信
trusted 允许所有 (访问)
block 阻塞,明确拒绝 (所有来访请求)-------------->客户端ping,不可通信,有(回应)
drop 丢弃 (所有来访的数据包)---------------------->客户端ping,不可通信,无(回应)
规则:匹配及停止
数据包(数据,源ip地址,目标IP地址)
1.查看数据包(源ip地址),再查看所有区域中,是否有(该源IP地址)的规则,哪个区域有,则进入该区域。
2.进入默认区域为public
---------------------------------------------------------------------
虚拟机Server:添加服务
firewall-cmd --get-default-zone #查看(默认区域)
firewall-cmd --set-default-zone=区域 #修改(默认区域)
firewall-cmd --zone=区域 --list-all #列出(某个区域)中的所有规则
firewall-cmd --zone=区域 --add-service=http #给某个区域添加协议http,注意没有d!
firewall-cmd --permanent --zone=区域 --add-service=http #永久配置(permanent)
firewall-cmd --reload #永久配置,要重新加载防火墙
虚拟机Desktop: 验证
firefox 172.25.0.11 #访问成功
firefox ftp://172.25.0.11 #访问失败
虚拟机Server: 添加源IP规则,单独拒绝172.25.0.10访问
firewall-cmd --zone=block --add-source=172.25.0.10
-----------------------------------------------------------------------------
协议的端口可以由root改变,也可具备多个端口
数据包:数据 源ip地址 目标IP地址 目标端口号 80
端口号:编号 标识程序及应用、服务
-----------------------------------------------------------------------------
实现本机的端口映射:端口重定向(端口1 --> 端口2)
客户机访问 端口1 的请求,自动映射到本机 端口2
比如,访问以下两个地址可以看到相同的页面:
客户端访问172.25.0.11:5423 ----> 172.25.0.11:80
虚拟机Server:
firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80
#永久配置后要重新加载防火墙,forward转发,proto原型
虚拟机Desktop
firefox 172.25.0.11:5423