RHCE7认证学习笔记32——防火墙的使用与配置
时间:2016-05-29 04:24 来源:linux.it.net.cn 作者:IT
RHCE7认证学习笔记32——防火墙的使用与配置
一、RHEL7中的防火墙类型
以下防火墙只能同时使用一张,firewall底层调用的还是Iptables的服务:
firewalld:默认
iptables:RHEL6使用
ip6tables
ebtables
二、防火墙的配置方式
1、图形化配置
使用firewall-config
允许某项服务只需打上勾即可
2、命令行
三、防火墙的区域与配置
查看区域:
[root@it.net.cn ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
查看默认区域
[root@it.net.cn ~]# firewall-cmd --get-default-zone
public
每个区域配置多个服务,对应多个接口
[root@it.net.cn ~]# firewall-cmd --get-services
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
查看允许的服务
[root@it.net.cn ~]# firewall-cmd --list-services --zone=public
dhcpv6-client ssh
某些服务,对应多个端口,在防火墙允许某项服务则可能意味着允许该服务对应的多个端口:
给区域添加服务:
[root@it.net.cn ~]# firewall-cmd --add-service=ftp --zone=public --permanent
删除区域服务:
[root@it.net.cn ~]# firewall-cmd --remove-service=ftp --zone=public
查看某项服务是否被允许:
[root@it.net.cn ~]# firewall-cmd --query-service=http --zone=public
no
区域添加端口:
[root@it.net.cn ~]# firewall-cmd --add-port=8000/tcp --zone=public --permanent
删除端口:
1 firewall-cmd --remove-port=8000/tcp --zone=public
查看端口是否被允许:
[root@it.net.cn ~]# firewall-cmd --query-port=8000/tcp --zone=public
一个区域可以绑定多个网卡,一个网卡只能绑定一个区域:
查看网卡和区域绑定:
[root@it.net.cn ~]# firewall-cmd --get-zone-of-interface=ens33
区域添加端口:
[root@it.net.cn ~]# firewall-cmd --add-interface=ens34 --zone=public --permanent
区域删除网卡:
[root@it.net.cn ~]# firewall-cmd --remove-interface=ens34 --zone=public --permanent
修改网卡的区域:
[root@it.net.cn html]# firewall-cmd --change-interface=ens33 --zone=public --permanent
trusted区域的所有服务都被允许:
网卡如果不属于任何区域,那么来自该接口的所有数据包将使用默认的区域规则:
区域添加来源地址,如果接口不属于某个区域,那么来自于该接口的流量如果匹配来源地址,那么流量将从来源的区域通过:
查看某个区域的所有配置信息:
[root@it.net.cn html]# firewall-cmd --list-all
public (default, active)
interfaces: br1 ens34 ens37 virbr0
sources:
services: dhcpv6-client ssh
ports: 443/tcp 464/tcp 88/udp 88/tcp 123/udp 389/tcp 53/tcp 53/udp 636/tcp
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
所有的配置操作如果想永久生效,则需要加--permanent选项,否则配置只会在当前运行环境生效
三、firewall对ICMP的过滤
firewall可以对以下类型的ICMP进行过滤:
firewall对ICMP的过滤存在BUG,对RHEL6及windows的机器均不能很好的支持,只能对RHEL7有效
四、富规则rich rule
富规则可以对服务端口协议进行更详细的配置:
命令行配置富规则:
查看富规则:
[root@it.net.cn ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="10.35.89.0/24" service name="http" accept
[root@it.net.cn ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent
[root@it.net.cn ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept' --permanent
删除富规则
[root@it.net.cn ~]# firewall-cmd --remove-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp accept'
五、端口转发
图形化配置:
本地转发
转发到其他主机:
命令行配置:
[root@it.net.cn log]# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr=
forward-ports: port=8000:proto=tcp:toport=80:toaddr=
port=8080:proto=tcp:toport=80:toaddr=
六、伪装masque
图形化配置很简单,勾上伪装区域即可
命令行配置也很简单:
[root@it.net.cn log]# firewall-cmd --add-masquerade
启用伪装功能的主机同时也需要开启转发服务:
[root@it.net.cn log]# echo 1 > /proc/sys/net/ipv4/ip_forward
富规则中使用伪装功能可以更精确详细的限制:
[root@it.net.cn log]# firewall-cmd --add-rich-rule '
rule family=ipv4 source address=10.10.10.2/24 masquerade'
rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"
(责任编辑:IT)
RHCE7认证学习笔记32——防火墙的使用与配置 一、RHEL7中的防火墙类型 以下防火墙只能同时使用一张,firewall底层调用的还是Iptables的服务: firewalld:默认 iptables:RHEL6使用 ip6tables ebtables 二、防火墙的配置方式 1、图形化配置 使用firewall-config
允许某项服务只需打上勾即可 2、命令行 三、防火墙的区域与配置 查看区域: [root@it.net.cn ~]# firewall-cmd --get-zones block dmz drop external home internal public trusted work 查看默认区域 [root@it.net.cn ~]# firewall-cmd --get-default-zone public 每个区域配置多个服务,对应多个接口 [root@it.net.cn ~]# firewall-cmd --get-services amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https 查看允许的服务 [root@it.net.cn ~]# firewall-cmd --list-services --zone=public dhcpv6-client ssh 某些服务,对应多个端口,在防火墙允许某项服务则可能意味着允许该服务对应的多个端口: 给区域添加服务: [root@it.net.cn ~]# firewall-cmd --add-service=ftp --zone=public --permanent 删除区域服务: [root@it.net.cn ~]# firewall-cmd --remove-service=ftp --zone=public 查看某项服务是否被允许: [root@it.net.cn ~]# firewall-cmd --query-service=http --zone=public no 区域添加端口: [root@it.net.cn ~]# firewall-cmd --add-port=8000/tcp --zone=public --permanent 删除端口: 1 firewall-cmd --remove-port=8000/tcp --zone=public 查看端口是否被允许: [root@it.net.cn ~]# firewall-cmd --query-port=8000/tcp --zone=public 一个区域可以绑定多个网卡,一个网卡只能绑定一个区域: 查看网卡和区域绑定: [root@it.net.cn ~]# firewall-cmd --get-zone-of-interface=ens33 区域添加端口: [root@it.net.cn ~]# firewall-cmd --add-interface=ens34 --zone=public --permanent 区域删除网卡: [root@it.net.cn ~]# firewall-cmd --remove-interface=ens34 --zone=public --permanent 修改网卡的区域: [root@it.net.cn html]# firewall-cmd --change-interface=ens33 --zone=public --permanent trusted区域的所有服务都被允许: 网卡如果不属于任何区域,那么来自该接口的所有数据包将使用默认的区域规则: 区域添加来源地址,如果接口不属于某个区域,那么来自于该接口的流量如果匹配来源地址,那么流量将从来源的区域通过: 查看某个区域的所有配置信息: [root@it.net.cn html]# firewall-cmd --list-all public (default, active) interfaces: br1 ens34 ens37 virbr0 sources: services: dhcpv6-client ssh ports: 443/tcp 464/tcp 88/udp 88/tcp 123/udp 389/tcp 53/tcp 53/udp 636/tcp masquerade: no forward-ports: icmp-blocks: rich rules: 所有的配置操作如果想永久生效,则需要加--permanent选项,否则配置只会在当前运行环境生效 三、firewall对ICMP的过滤 firewall可以对以下类型的ICMP进行过滤:
firewall对ICMP的过滤存在BUG,对RHEL6及windows的机器均不能很好的支持,只能对RHEL7有效 四、富规则rich rule 富规则可以对服务端口协议进行更详细的配置:
命令行配置富规则: 查看富规则: [root@it.net.cn ~]# firewall-cmd --list-rich-rules rule family="ipv4" source address="10.35.89.0/24" service name="http" accept [root@it.net.cn ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent [root@it.net.cn ~]# firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept' --permanent 删除富规则 [root@it.net.cn ~]# firewall-cmd --remove-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp accept' 五、端口转发 图形化配置: 本地转发
转发到其他主机:
命令行配置: [root@it.net.cn log]# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80:toaddr= forward-ports: port=8000:proto=tcp:toport=80:toaddr= port=8080:proto=tcp:toport=80:toaddr= 六、伪装masque 图形化配置很简单,勾上伪装区域即可
命令行配置也很简单: [root@it.net.cn log]# firewall-cmd --add-masquerade 启用伪装功能的主机同时也需要开启转发服务: [root@it.net.cn log]# echo 1 > /proc/sys/net/ipv4/ip_forward 富规则中使用伪装功能可以更精确详细的限制: [root@it.net.cn log]# firewall-cmd --add-rich-rule ' rule family=ipv4 source address=10.10.10.2/24 masquerade' rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2" (责任编辑:IT) |