[Firewalld 的相關配置]
阿新 • • 發佈:2021-12-12
Firewalld防火牆規則
允許哪些服務埠被放行 以及哪些服務埠被阻攔
如何進行阻攔的一組網路安全規則
支援ipv4和ipv6,分為直接規則和富規則兩種
一、配置(防火牆)firewall
1、新增防火牆的直接規則
檢視防火牆放行的服務 root@localhost ~]# firewall-cmd --list-all 在防火牆中放行某服務,並設為永久生效 root@localhost ~]# firewall-cmd --permanent --add-service=&協議名 例: root@localhost ~]# firewall-cmd --permanent --add-service=ftp 重新整理防火牆配置 root@localhost ~]# firewall-cmd --reload 刪除防火牆規則 root@localhost ~]# firewall-cmd --permanent --remove-service=ftp 重新整理防火牆配置 root@localhost ~]# firewall-cmd --reload
2、新增防火牆 通行(accept) 的富規則
新增富規則 這個IP裡的ftp服務永久通行 root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept’ 重新整理防火牆配置 root@localhost ~]# firewall-cmd --reload 刪除富規則 root@localhost ~]# firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept’ 重新整理防火牆配置 不管是新增還是刪除都要重新整理防火牆配置 root@localhost ~]# firewall-cmd --reload
3、新增埠到防火牆中
這個IP裡的80埠 永久通行
root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.2.0/24 port port=80 protocol=tcp accept’
二、配置防火牆的 攻擊域(拒絕訪問) reject
1、籠統的設定攻擊域
這個網段的所有服務都訪問不了 root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.2.0/24 reject’ root@localhost ~]# firewall-cmd --reload
2、為具體的服務 設定一個攻擊域
把這個IP的ssh服務拒絕訪問
root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ssh reject'
root@localhost ~]# firewall-cmd --reload
三、防火牆的埠轉發
把80埠轉變成5423
這裡要刪掉埠80的通行
root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 forward-port port=5423 protocol=tcp to-port=80'
root@localhost ~]# firewall-cmd --reload