ファイアウォールシステムは、異なる方法を使用して、ファイアウォールのiptableデフォルトCENTOS7から変更された、以下の詳細な説明であります
まず、ポート管理
上場DMZレベルポートを入力するように許可されています
#ファイアウォール-CMD --zone = DMZ --list-ポート
DMZのレベルを可能にするためにTCPポート8080
#ファイアウォール-CMD --zone = DMZ --add-ポート= 8080 / TCP
公共永久の範囲のレベルに許可UDPポート
#ファイアウォール-CMD --zone =公共--add-ポート= 5060-5059 / udpの--permanent
第二に、ネットワークインタフェースカード
すべての上場ゾーンカード
#ファイアウォール-CMD --zone =パブリック--list-インターフェイス
パブリックゾーンに追加eth0を、永久
#ファイアウォール-CMD --zone =公共--permanent --add-インターフェース= eth0の
eth0の存在とパブリックゾーンは、作業ゾーンにカードを追加し、それが公共ゾーン内から削除されます
#ファイアウォール-CMD --zone =仕事--permanent --change-インターフェース= eth0の
パーマネントは、eth0でパブリックゾーンを削除します。
#ファイアウォール-CMD --zone =公共--permanent --remove-インターフェース= eth0の
第三に、管理サービス
作業ゾーンにSMTPサービスを追加します
#ファイアウォール-cmdの仕事は--zone = --add-サービス= SMTP
SMTPサービスでの作業ゾーンを削除します
#ファイアウォール-CMD --zone =仕事--remove-サービス= SMTP
第四に、外部のゾーンをマスカレードIPアドレス
ビュー
#ファイアウォール-CMD --zone =外部--query-マスカレード
オープン変装
#ファイアウォール-CMD --zone =外部--add-マスカレード
閉じる変装
#ファイアウォール-CMD --zone =外部--remove-マスカレード
第五に、ポートフォワーディングの設定のパブリックゾーン
ポート転送をオンにするには、次のようにする必要があり
#ファイアウォール-CMD --zone =公共--add-マスカレード
そして22 3753 TCPポートに転送
#ファイアウォール-CMD --zone =公共--add-フォワードポート=ポート= 22:プロト= TCP:toport = 3753
同じポートIP上の別のポート22へデータを転送します
#ファイアウォール-CMD --zone =公共--add-フォワードポート=ポート= 22:プロト= TCP:toaddr = 192.168.1.100
別のIPのポート2055へのデータポート22を転送
#ファイアウォール-CMD --zone =公共--add-フォワードポート=ポート= 22:プロト= TCP:toport = 2055:toaddr = 192.168.1.100
第六に、パブリックゾーン設定ICMP
サポートされているすべてのICMPタイプを見ます
#ファイアウォール-CMD --get-icmptypes 先到達不能エコー応答エコー要求パラメータ問題のリダイレクトルータアドバタイズメントルータ勧誘ソース・クエンチ時間超過を
リスト
#ファイアウォール-CMD --zone =公共--list-ICMP-ブロック
追加しましたエコー要求シールド
#ファイアウォール-CMD --zone =公共--add-ICMP-ブロック=エコー要求[--timeout =秒]
エコー応答シールドを削除します
#ファイアウォール-CMD --zone =公共--remove-ICMP-ブロック=エコー応答
七、IP(これは我々が通常使用するほとんどの場合)禁止しました
#ファイアウォール-CMD --permanent --add-リッチルール= "ルールファミリー= 'IPv4の'送信元アドレス= '222.222.222.222'拒否"单个IP #ファイアウォール-CMD --permanent --add-リッチルール=」ルールファミリー= 'IPv4の'送信元アドレス= '222.222.222.0 / 24' "は、IP段拒否 80 =#ファイアウォール-CMD --permanent --add-リッチルール="ルールファミリー=のIPv4送信元アドレス= 192.168.1.2ポートポートをプロトコルは单个IP的某个端口「受け入れるTCP =
これが私たちの最も使用されています。IPをシーリングし、受け入れ拒否ポートが許可拒否
もちろん、我々はまだ、IP ipsetによって禁止することができます
IP禁止
#ファイアウォール-CMD --permanent --zone =公共--new-ipset =ブラックリスト--type =ハッシュ:IP #ファイアウォール-CMD --permanent --zone =公共--ipset =ブラックリスト--add-エントリー= 222.222 .222.222
バン・セグメント
#ファイアウォール-CMD --permanent --zone =公共--new-ipset =ブラックリスト--type =ハッシュ:ネット #ファイアウォール-CMD --permanent --zone =公共--ipset =ブラックリスト--add-エントリー= 222.222 .222.0 / 24
ipsetルールを注ぎます
#ファイアウォール-CMD --permanent --zone =公共--new-ipset-からファイル= /パス/ blacklist.xml
そして、禁止ブラックリスト
#ファイアウォール-CMD --permanent --zone = --add-リッチルール公共= 'ルールソースipset =ブラックリストドロップ'
七、IPおよびポートの禁止
#ファイアウォール-CMD --permanent --add-リッチルール= "ルールファミリー=のIPv4送信元アドレス= 192.168.1.2、ポートポート= 80プロトコル= TCP受け入れ"
唯一の192.168.1.2 IPが唯一のポート80にアクセスできるように(単に-removeリッチルールに-add-リッチルールにルールを、拒否置き換える受け入れ削除アクセス拒否をすることができます)
#ファイアウォール-CMD --permanent --add-リッチルール= "ルールファミリー=のIPv4送信元アドレス= 192.168.1.2 / 24ポートポート= 80プロトコル= TCP受け入れ"
唯一の192.168.1.2 IPセグメントのみポート80回のアクセス許可(-add-リッチルールをする-removeリッチルールにルールを削除し、単に拒否置き換える受け入れるアクセス拒否をすることができます)
ファイアウォールの制限なしの八デュアルNICネットワークカード
#ファイアウォール-CMD --permanent --zone =パブリック--add-インターフェース= eth1の
公共のネットワークカードがデフォルト-zone =公共エリア
#ファイアウォール-CMD --permanent --zone =信頼さ--add-インターフェース= eth2を
-zoneは、信頼できるネットワークカードがすべてのネットワーク接続の薬学的に地域に信頼されています=
九、リロードを有効にします
#ファイアウォール-CMD --reload
ビュー遮蔽結果
ファイアウォール-CMD --list-リッチルール