防火墙(centos7)的配置及应用
1:防火墙有基本的三类 iptables、firewalld、ip6tables
Systemctl status {firewalld,iptables,ip6tables} 查看三类的状态,这里主要介绍firewalld防火墙的配置以及基本应用功能
2:firewalld提供支持区域定义网络连接的防火墙
3:拥有运行时配置和永久性配置(临时和永久性配置)
4:之前是静态,现在是动态,不用重新启动防火墙,不用卸载防火墙的模块
5:有两种工具:(1)图形:firewall-config (2)字符:firewall-cmd
6:区域:定义网络连接的可信等级
数据包进入内核必须要通过zone中的一个,而且每个区域的过滤强度不一样
一张网卡只能对应一个zone;一个zone可以对应多个网卡
7:服务:提供资源;或者是端口与协议的组合
ICMP的阻塞
地址伪装
端口转发
8;firewalld的9个区域:
丢弃区域drop zone 丢弃,不用建立规则
阻塞区域blockzone 只有服务器已建立初始化连接会通过,但不许进入
公共区域 public zone 接受选中的连接,默认ssh和dhcpub-client是缺省区域
外部区域 external zone 指外部网络区域,是允许接受
工作区域 work zone 内部网络区域
隔离区域 dmz zone
家庭区域 home zone
信任区域 trusted zone 任何条件都可以通过
内部区域 internal zone 类似 home
重点1
1:在区域里创建规则
(1):客户端的数据包ip和zone的source相配,每个zone只能有唯一的ip地址,
(2)客户端数据包进入某一个接口,匹配的zone应用该区域的配置
(3)以上都不满足,就是缺省区域
区域的配置文件/usr/lib/firewalld/zones
基本应用:
1:重新加载防火墙: firewall-cmd --reload
2:查看区域: firewall-cmd --get-zones
3;列出防火墙的规则: firewall-cmd --list'-all-zones
4:查看单个区域: firewall-cmd --zone=xx --list-all
5:查看默认区域: firewall-cmd --list-all
6:查看活动区域: firewall-cmd --get-active-zones 当一个区域绑定网卡,或拥有source地址,则为活动区域
7:查看网卡绑定的某个区域: firewall-cmd --get-zone-of-interface=enoxxx
8:解除绑定: firewall-cmd --zone=public --remove-interface=enoxxx添加则将remove换成add即可;修改则换成change
9:查看区域是否包含接口: firewall-cmd --query-interface=enoxxx
10:启动服务:firewall-cmd --list-service --zone=区域
11:启动应急模式: firewall-cmd --panic-on
12:查看应急模式: firewall-cmd --query-panic
重点2
1:规则要在活动区域和默认区域里创建
添加规则:firewall-cmd --zone=work --add-service=httpd
删除: firewall-cmd --zone=work --remove-service=httpd
查询: firewall-cmd --zone=work --query-service=httpd
2:添加协议和端口
添加: firewall-cmd --add-port=3306-3309/tcp --zone=work
删除: firewall-cmd --remove-port=3306-3309/tcp --zone=work
查询: firewall-cmd --query-port=3306-3309/tcp --zone=work
3:地址伪装: firewall-cmd --add-masquerade --zone=home
删除:firewall-cmd --remove-masquerade --zone=home
查询: fierwall-cmd --query-port=3306-3309/tcp --zone=home
4:开启路由功能:
echo1 > /porc/sys/net/ipv4/ip-forward
Vim /etc/sysctl.conf
Net.ipv4.ip_forward = 1
保存sysctl -p
5:在区域中启用端口转发或映射
firewall-cmd --zone=区域 --add-forward -port=port=8080:proto=tcp:toproto=80
6:自定义策略:
创建、转发、
查看防火墙的命令:
Iptables -vnL
检查语句规则: 1 log 2 deny 3 allow
重点3
查看man手册
使用man -k 查看具体的分类,之后再根据分类的选择,分别查看语句的类型
试验案例:结合以上命令短语实现
192.168.31.83 192.168.31.254;172.31.1.1 172.31.1.2
web/ssh (内网) (网关) firewalld (外网) internet web
一、lan:web/ssh
1、192.168.31.83主机提供web服务和ssh远程管理。两个服务已经启动
2、192.168.31.83主机通过8000提供web服务,ssh通过10211提供ssh服务。
3、192.168.31.83禁止ping。
4、192.168.31.83除了web和ssh之外,禁止任何访问
5:开始验证:是否可以通过web8000;和ssh10211访问192.168.31.83主机
说明以上的防火墙策略已经生效;验证成功,以上的策略是永久性生效的加 --permanent 不加则是临时生效
二、firewalld主机
1、firewalld主机实现lan和internet之间的数据包转发,要写两条策略,(1)开启网管防火墙的路由转发(2)开启防火墙的maquerade策略是内网访问外网,地址伪装策略
(1)开启陆游策略修改vim /etc/sysctl.conf配置文件
sysctl -p 重启配置文件
(2)开启防火墙的maquerade地址伪装类似nat协议
2、firewalld主机通过地址伪装实现内网连接internet
3、internet用户通过80端口访问内网web服务
需要在网关防火墙上添加一条规则,使internet可以访问内网的web 服务器,当然使用的是网关服务器的外网接口,实现端口映射
4、允许管理员在172.31.1.2主机通过ssh远程管理内网的192.168.31.83主机(所用口为23456)。。
5:如果要想实现内网的web服务器和internet的服务器可以互相访问,在网关防火墙上面必须设置两个活跃区域,当前是在一个活动区域做的规则,内往现在访问外网的web 出不去,通过路由重定向访问的是自己本身通过内网和外网的访问进行对比
如果要实现相互访问,在网关的防火墙策略上要设置两个活跃区域与
比如:
再次访问网页的内容,验证察看是否访问的一样