防火墙
1.firewall
/etc/firewalld/zones/
重新加载会生效的域的配置文件
/usr/lib/firewalld/zones
所有的域,包括生效的和没有生效的
/usr/lib/firewalld/services
可以直接加上去的服务
permanent:永久生效,需要重启/重新加载
runtime:改了就生效,重启会失效
block(限制):拒绝所有的网络连接
dmz(非军事区):仅接受ssh服务连接
drop(丢弃):任何接受的网络数据包都被丢弃,没有任何回复
external (外部):出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务
home (家庭):用于家庭网络,仅接受ssh,mdns.ipp-client.samba-client或dhcpv6-client服务连接
internal (内部):用于内部网络,仅接受ssh,mdns.ipp-client.samba-client,dhcpv6-client服务连接
public (公共):在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
trusted (信任):可接受所有连接
work(工作):用于工作区。仅接受ssh,ipp-client或dhcpv6-client服务连接
firewall-config 图形界面管理
由于选择了Runtime,所以改了就生效
atch -n 1 firewall-cmd –list-all
监控命令
不加–permenent的都是临时的,重启会失效
加了的要重启才会生效
firewall-cmd –state
查看防火墙状态
firewall-cmd –get-active-zones
查看防火墙管理的设备
firewall-cmd –get-default-zone
查看生效的域
firewall-cmd –get-active-zones
查看网络设备所在的域
firewall-cmd –get-zones
查看所有的域
firewall-cmd –zone=public –list-all
查看public域中生效的策略
firewall-cmd –get-services
防火墙可以直接配置的服务
firewall-cmd –list-all-zones
查看所有的域的所有生效策略
firewall-cmd –set-default-zone=dmz
将域改为dmz
将eth0和eht1放到不同的域上,两个域的策略不同,会使浏览器访问不同ip的时候,有不同的结果
!注意 eht0和eth1必须在不同的网段
测试:
firewall-cmd –add-service=ftp
firewall-cmd –remove-service=ftp
添加删除服务(默认的域)
firewall-cmd –add-port=8080/tcp
firewall-cmd –remove-port=8080/tcp
添加/删除接口
firewall-cmd –add-interface=eth0
firewall-cmd –remove-interface=eth0
添加/删除设备
firewall-cmd –add-source=172.25.254.11
添加信任主机,允许11主机上的所有数据包通过
若后面加–zone=zmd
就是给zmd 这个域添加以上设备/接口/服务
firewall-cmd –permanent –add-source=172.25.254.11 –zone=block
拉黑11主机
firewall-cmd –reload
已经连的不会断开
firewall-cmd –complete-reload
已经连的也会断开
firewall-cmd –permanent –remove–source=172.25.254.11 –zone=block
从黑名单里把11号主机搞出来
只允许250连接ftp时,先开放所有的所有人
firewall-cmd –direct –add-rule ipv4 filter INPUT 2 ! -s 172.25.254.7 -p tcp –dport 21 -j REJECT
删除的时候,把add改为remove
当11网段的主机连接254网段的使用ssh时;只需要将11网段的主机的网关改为双网卡主机上的11网段的主机,就可以连接254网段的所有主机,此时双网卡机器类似于一个路由器
masquerade必须是yes
iptables
iptables -F
刷空iptables策略
service iptables save
保存状态
iptables -nL 查看默认链表的策略
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
ESTABLISHED,RELATED 都直接通过
iptables -A INPUT -m state –state NEW -i lo -j ACCEPT
回环地址进来的都通过
iptables -A INPUT -m state –state NEW -p tcp –dport 22 -j ACCEPT
22号端口的tcp协议的通过
iptables -A INPUT -m state –state NEW -p tcp –dport 80 -j ACCEPT
80端口进来的通过
iptables -A INPUT -j REJECT
其他的都不通过
iptables -I INPUT 2 -S 172.25.254.49 -p tcp –dport 23 -j ACCEPT
172.25.254.49的23号端口进来的,同意,而且这条写在第二个
从本机出去地址会被伪装成路由器的172.25.49.111
D表示删除
iptables -t nat -A PREROUTING -i eth0 -d 172.25.254.111 -j DNAT –to-dest 172.25.49.111
真机172.25.254.7的信息从172.25.254.107进来 会自动跳转到172.25.7.107
