記事のディレクトリ
I.はじめに
TCP / IPデータパケットをフィルタリングし、実施例を制限するためのネットワーク層でのLinuxのファイアウォールの主な仕事は、典型的なパケットがファイアウォールのフィルタリング。
二、Linuxのソフトウェアファイアウォールの役割
単独のファイアウォール/バッチ無効を使用することができる有効/ /データポートの複数によって、データが別のポート/ IPにポートに転送することができます。
三、Linuxのソフトウェアファイアウォールツール
主にCentOSに6で使用されます:
iptablesの(コマンド管理ツール)、より複雑な操作。
CentOSに7は、主に使用されます。
ファイアウォール設定(グラフィカル管理ツール)。
ファイアウォール-CMD(コマンド管理ツール)、生産環境でより多くのと。
本論文では、Centos7 Firewalldファイアウォールについて説明します。
四、Firewalldプロフィール
(1)定義されたエリアネットワークのネットワーク接続とセキュリティレベルインターフェイス動的ファイアウォール管理ツールをサポート
(2)IPv4のサポート、IPv6のファイアウォール設定
ファイアウォールルールを直接インターフェイスを追加する(3)サポートサービスまたはアプリケーション
(4)は、2つの設定モードを有します
コンフィギュレーションと実行時恒久的な構成。
4.1 firewalldファイアウォールゾーン導入
簡素化管理に、firewalldファイアウォールすべてのネットワークトラフィックを複数の領域に、各領域は、デフォルトでは、ルールの異なる程度を有する、公衆すべてのインターフェイスカードを含むデフォルトゾーン公共エリアです。
4.2 firewalldファイアウォールワークフロー
データの送信元アドレスのソースを確認します。
ソースアドレスが特定の領域に関連付けられている場合、領域指定されたルールが実行されます。
送信元アドレスは、着信ネットワークインタフェース領域を使用して、特定の領域に関連付けられたルール指定された領域を実行していない場合。
ネットワークインタフェースは、特定の領域にリンクされていない場合、デフォルトの地域と地域が指定されたルールを実行します。
五、Firewalldファイアウォールの設定
5.1実行時設定
即効性で、かつFirewalldの再起動またはリロードの設定に続きます。
既存の接続を中断することなく、
あなたは、サービスの構成を変更することはできません。
5.2恒久的な構成
Firewalldの再起動またはリロード設定しない限り、すぐには反映されません。
既存の接続を中断。
あなたは、サービスの構成を変更することができます。
六、ファイアウォール-config設定のグラフィックツール
Firewal-configですfirewalld firewallコマンドファイアウォール設定スタートアップから直接使用することができるグラフィカルな管理ツールが付属している、あなたは、単に複雑なファイアウォール設定の多くを行うことができます。
[root@localhost ~]# firewall-config
七、ファイアウォール-CMD文字ツール
ファイアウォール-cmdは、さまざまなファイアウォールルールを設定するために使用できる文字の管理ツールが付属していますfirewalldファイアウォールです。
特長:
(1)すべてのファイアウォールの機能をサポートしています。
(2)-permanentパラメータ:このパラメータは、搬送永久的構成を示し、またはランタイム構成を表します。
(3)[ - ゾーン= <ゾーン>]オプション:デフォルトゾーンの操作、またはのために指定された領域は、このオプション手段を運ぶことはありません。
7.1ファイアウォールのプロセス操作コマンド
[root@localhost ~]# systemctl 选项 firewalld
オプション:スタート、ストップ、リスタート状態(オープン、停止、再起動、ステータス)
共通コマンドは次のよう:
7.2ファイアウォールの操作コマンド領域
(1)すべてのルールとそのエリアを表示
[root@localhost ~]# firewall-cmd --list-all-zones
(2)内部の規則は、すべての領域を示します
[root@localhost ~]# firewall-cmd --zone=internal --list-all
(3)は、デフォルトのルールのすべての領域を表示します
[root@localhost ~]# firewall-cmd --list-all
(4)は、デフォルトのネットワーク接続又はインタフェース領域を表示します
[root@localhost ~]# firewall-cmd --get-default-zone
public
(5)デフォルトのネットワーク接続または界面領域が内部で設定
[root@localhost ~]# firewall-cmd --set-default-zone=internal
success
[root@localhost ~]# firewall-cmd --get-default-zone
internal '#默认区域已改为internal'
[root@localhost ~]#
活性化された(6)全ての表示領域
起動条件:少なくとも1つのインターフェース領域又はソースアドレス/セグメントに関連付けられました
[root@localhost ~]# firewall-cmd --get-active-zones
internal
interfaces: ens33
[root@localhost ~]#
(7)表示領域バウンドインターフェイスカードens33
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
internal '#绑定在默认区域'
[root@localhost ~]#
接合界面のens33にワークエリア変更など(8)
[root@localhost ~]# firewall-cmd --zone=work --change-interface=ens33 '#更改接口'
The interface is under control of NetworkManager, setting zone to work.
success
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 '#显示接口绑定区域'
work '#更改成功'
(9)作業領域として結合インターフェイスens33を削除
[root@localhost ~]# firewall-cmd --zone=work --remove-interface=ens33 '#删除接口'
The interface is under control of NetworkManager, setting zone to default.
success
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 '#显示接口绑定区域'
internal '#解绑成功'
[root@localhost ~]#
(10)クエリ領域はens33インタフェースが含まれています
[root@localhost ~]# firewall-cmd --zone=work --query-interface=ens33
no
[root@localhost ~]#
7.3ファイアウォールの地域の操作コマンドの概要
7.4ファイアウォールポート操作コマンド
(1)TCPポート領域22の内部構成を有効
[root@localhost ~]# firewall-cmd --zone=internal --add-port=22/tcp --timeout=5m
success
-timeout = 5メートル:ポート5分を削除するための手段。
(2)内部の領域に表示されるポート番号へのアクセスを可能にします
[root@localhost ~]# firewall-cmd --zone=internal --list-ports
22/tcp
(3)TCPプロトコルの組み合わせは、内部ポート領域22をディスエーブル
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=22/tcp
success
クエリ内部領域は、TCPポート22を有効にするかどうか(4)
[root@localhost ~]# firewall-cmd --zone=internal --query-port=22/tcp
no
7.5ファイアウォールポートの操作コマンドの概要
ICMPの運転指令を遮断するファイアウォール7.6
(1)作業領域のブロッキングICMPエコー要求タイプを設定
[root@localhost ~]# firewall-cmd --zone=work --add-icmp-block=echo-request
success
(2)作業区域内のすべてのICMPタイプの閉塞を表示
[root@localhost ~]# firewall-cmd --zone=work --list-icmp-blocks
echo-request
[root@localhost ~]#
(3)作業領域がブロックされたICMPエコー要求タイプを削除します
[root@localhost ~]# firewall-cmd --zone=work --remove-icmp-block=echo-request
success
ICMPエコー要求(4)クエリ作業領域タイプがブロックされています
[root@localhost ~]# firewall-cmd --zone=work --query-icmp-block=echo-request
no