概述
保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公 与内 之间的保护屏障,起着至关重要的作用。
本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全运行。
一、 防火墙管理工具
3.1 终端管理工具
firewall-cmd命令是Firewalld动态防火墙管理器服务的命令行终端。
它的参数一般都是以“长格式”来执行的
| 参数 | 作用 |
|---|---|
| –get-default-zone | 查询默认的区域名称 |
| –set-default-zone=<区域名称> | 设置默认的区域,永久生效 |
| –get-zones | 显示可用的区域 |
| –get-services | 显示预先定义的服务 |
| –get-active-zones | 显示当前正在使用的区域与 卡名称 |
| –add-source= | |
| –remove-source= | 不再将此IP或子 的流量导向某个指定区域 |
| –add-interface=< 卡名称> | 将来自于该 卡的所有流量都导向某个指定区域 |
| –change-interface=< 卡名称> | 将某个 卡与区域做关联 |
| –list-all | 显示当前区域的 卡配置参数,资源,端口以及服务等信息 |
| –list-all-zones | 显示所有区域的 卡配置参数,资源,端口以及服务等信息 |
| –add-service=<服务名> | 设置默认区域允许该服务的流量 |
| –add-port=<端口 /协议> | 允许默认区域允许该端口的流量 |
| –remove-service=<服务名> | 设置默认区域不再允许该服务的流量 |
| –remove-port=<端口 /协议> | 允许默认区域不再允许该端口的流量 |
| –reload | 让“永久生效”的配置规则立即生效,覆盖当前的 |
Firewalld服务对防火墙策略的配置默认是当前生效模式(RunTime),配置信息会随着计算机重启而失效,如果想要让配置的策略一直存在,那就要使用永久生效模式(Permanent),命令中加入–permanent参数。
但这个永久生效模式对它设置的策略需要重启后才能自动生效,如果想让配置的策略立即生效,手动执行一下–reload参数。
显示默认区域设置为dmz,来自192.168.0.0/24 络的所有流量都被分配给internal区域,而internal区域上打开了用于mysql的 络端口
查看Firewalld服务当前所使用的zone区域:
public
查询eno16777728 卡在Firewalld服务中的zone区域:
将Firewalld防火墙服务中eno16777728 卡的默认区域修改为external,重启后再生效:
将Firewalld防火墙服务的当前默认zone区域设置为public:
启动/关闭Firewalld防火墙服务的应急状况模式,阻断一切 络连接(当远程控制服务器时请慎用。):
查询在public区域中的ssh与https服务请求流量是否被允许:
将Firewalld防火墙服务中https服务的请求流量设置为永久允许,并当前立即生效:
将Firewalld防火墙服务中http服务的请求流量设置为永久拒绝,并当前立即生效:
将Firewalld防火墙服务中8080和8081的请求流量允许放行,但仅限当前生效:
将原本访问本机888端口 的请求流量转发到22端口 ,要求当前和长期均有效:
流量转发命令格式:
在客户机使用ssh命令尝试访问192.168.10.10主机的888端口:
在Firewalld防火墙服务中配置一条富规则,拒绝所有来自于192.168.10.0/24 段的用户访问本机ssh服务(22端口):
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!