Firewalldファイアウォールの戦略(2)

その他 2020-04-17 14:15:20 訪問数: null

1. firewalldの紹介

firewalldは、CentOS 7.0で導入されたnetfilterを管理するための新しいツールです。firewalldは、ファイアウォールルールを構成および監視するためのシステムデーモンです。iptables、ip6tables、ebtablesの機能を実現できます。

2. firewalldの開始

systemctl stop iptables
systemctl disable iptables
systemctl mask iptables

systemctl enable --now firewalld
systemctl status firewalld ##查看火墙的状态

3. firewalldのドメインについて

信頼できる すべてのネットワーク接続を受け入れる
ホームネットワークに使用され、ssh、mdns、ipp-client、samba-client、dhcp-clientを受け入れることができます
作業 稼働中のネットワーク、ssh、ipp-client、dhcp-client
公衆 パブリックネットワーク、ssh、dhcp-client
dmz 軍事ネットワークSSH
ブロック すべて拒否
落とす 破棄、すべてのデータは応答なしで破棄されます
内部 内部ネットワーク、ssh、mdns、ipp-client、samba-client、dhcp-client
外部 ipv4ネットワークアドレス迷彩転送、sshd

4.Firewalldの設定原理とデータストレージ

ファイアウォール構成ディレクトリ:/etc/firewalld
デフォルトのドメイン設定は次のとおりです。ドメインの/etc/firewalld/firewalld.conf
ここに画像の説明を挿入
サービス設定:/ect/firewalld/zones/public.xml

すべてがサービスとして使用できるわけではなく、レコードファイルが必要です。ここに画像の説明を挿入
サービスを記録するファイルは次のとおりです。/lib/firewall/services
ここに画像の説明を挿入

5.firewalld管理コマンド

firewall-cmd --state ##ファイアウォールのステータスを表示します
ここに画像の説明を挿入

firewall-cmd --get-active-zones ##查看当前火墙中生效的域
ここに画像の説明を挿入

firewall-cmd --get-default-zone ##查看火墙的默认域
ここに画像の説明を挿入

firewall-cmd --list-all ##查看默认域的火墙策略
ここに画像の説明を挿入

firewall-cmd --list-all --zone=work ##查看指定域的火墙策略
ここに画像の説明を挿入

firewall-cmd --set-default-zone=trusted ##设定默认域
ここに画像の説明を挿入

firewall-cmd --get-services ##查看所有可以设定的服务
ここに画像の説明を挿入

firewall-cmd --permanent --add-service=ssh ##添加服务
firewall-cmd --reload ##刷新火墙
ここに画像の説明を挿入

firewall-cmd --permanent --remove-service=ssh #删除服务
firewall-cmd --reload #刷新火墙
ここに画像の説明を挿入

firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域
firewall-cmd --reload ##刷新火墙
ここに画像の説明を挿入
ここに画像の説明を挿入
テスト:
ここに画像の説明を挿入

firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源
firewall-cmd --reload ##刷新火墙

ここに画像の説明を挿入

firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域中的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加接口到指定域
firewall-cmd --reload ##刷新火墙
ここに画像の説明を挿入

上記では、ens224インターフェースはブロックに設定され、ens160インターフェースはパブリックに設定されています。その結果、172.25.254.0 / 24ネットワークセグメント上の人々は、デュアルネットワークカードホスト上のすべてのホストに接続できず、192.168.43.0ネットワークセグメント上のホストは接続できません。デュアルネットワークカードホストの192.168.43.0および172.25.254ネットワークセグメントにiPを接続します。

firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定的域
firewall-cmd --reload ##刷新火墙
ここに画像の説明を挿入

6. firewalldの高度なルール

firewall-cmd --direct --get-all-rules    ##查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp --dport 22 -j ACCEPT   ##设定来源为172.25.254.0/24网段的22端口可以访问

7. firewalldのNAT

SNAT

firewall-cmd --permanent --add-masquerade
firewall-cmd --reload

DNAT

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.30
firewall-cmd --reload

ピックアップピックアップRex_
元の記事を35件公開しました 賞賛されました0 訪問1411
プライベートの手紙の 懸念

おすすめ

転載: blog.csdn.net/qq_44749796/article/details/105060065
おすすめ
ランキング
Python 描画 3D 動的ヒストグラム コード チュートリアル
[vue3 共通エラー 5] Uncaught (in Promise) TypeError: xxx は関数ではありません
シンプルアップロードExcelファイルやデータベースにデータを追加
springboot における import アノテーションの役割
numpy 多维矩阵的维度交换
WMS システム - ウェーブ管理
Redis(7)マスター/スレーブレプリケーション
三北斗七星星座コアグローバルシステムの導入は完了です!グローバルネットワークを推進するために、
sql server语法——排序查询
続行することはできません立ち往生
アーカイブ
もっと
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)

コードワールド

© 2018 codetd.com