找回密码
 注册
查看: 4449|回复: 4

添加firewalld防火墙策略

[复制链接]

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
发表于 2018-7-6 16:03:09 | 显示全部楼层 |阅读模式
购买主题 本主题需向作者支付 3 金钱 才能浏览

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2018-7-6 17:05:27 | 显示全部楼层
firewall-cmd --list-all, `7 X& |! l% E) H$ O- O+ G* X
public (active)  R% t7 F4 k/ b
  target: default9 t% G+ u! g& r. F: y: b6 p& k
  icmp-block-inversion: no* q" ]/ t* x5 \$ r: V7 B: ]
  interfaces: enp0s3 enp0s8; o3 ~6 a4 ]8 B+ \, j
  sources: ( n% l* M: f8 V5 {1 E
  services: ssh dhcpv6-client- }8 v( e! Q, X- n# X( a% j
  ports:
; k  w4 g; A- i  protocols: + \2 l  H/ |- @3 Z/ I9 ~
  masquerade: no. F" }+ k4 h5 z0 `+ ?: v( r
  forward-ports:
" |6 \/ R: p5 n9 b  source-ports:
# r6 q) x% d& K- [4 H% `, u; j) Z  icmp-blocks:
& `' ], r- q1 g7 n+ G  rich rules: , v# C7 y8 B& n8 {, `5 `: D
        rule family="ipv4" source address="192.168.56.3/24" service name="ssh" accept& m7 n" C- R4 _/ C1 n. a
        rule family="ipv4" source address="192.168.56.3" service name="ssh" drop
6 D& h! N' A- C7 q( Q

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2018-7-19 13:47:17 | 显示全部楼层
firewall有几个分区(zone):7 T- L; R* r9 n# ?' ?" M6 X

) G+ U5 |3 {9 _( Edrop:任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
! }$ O8 |! l& \, Q4 Jblock:任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。
( A) j3 i) O8 R7 [5 M" }public:用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
! u/ ^. _7 ~4 T6 Z- Eexternal:用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
- N7 M% F- p. x+ W$ O+ L* ]0 Xdmz:用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。/ s! }. f8 D: k) y1 r+ P0 N
work:用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
2 ?* k; T* f/ b& t/ |2 hhome:用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。/ i3 @2 T' t$ g% f, _& v. p7 v! V0 a
internal:用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。0 {- \  s1 c* O' C

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2018-7-19 13:56:10 | 显示全部楼层
1.1. 网络区域简介
通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化。该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。有如下几种不同的初始化区域:
  • 阻塞区域(block):任何传入的网络数据包都将被阻止。
  • 工作区域(work):相信网络上的其他计算机,不会损害你的计算机。
  • 家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。
  • 公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
  • 隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。
  • 信任区域(trusted):所有的网络连接都可以接受。
  • 丢弃区域(drop):任何传入的网络连接都被拒绝。
  • 内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
  • 外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

      E4 k# @7 _7 p7 b$ M5 w6 K
注:FirewallD的默认区域是public。
1.2. 显示支持的区域列表
9 g$ B+ ^0 H# Z1 J! `
firewall-cmd --get-zones

  |% x1 k! V( T2 k
1.3. 设置为家庭区域
[size=1em]?8 k0 a" Q$ H0 B5 O3 E( G
[size=1em]firewall-cmd --set-default-zone=home

7 Y9 F  t' r; N4 n! J! h' ?

, q+ B& j* {9 N7 y3 d: h. {
1.4. 查看当前区域
firewall-cmd --get-active-zones

! K9 T- y! E! T2 v: w
1.5. 设置当前区域的接口

; I9 }8 }, [6 P$ Q* k3 j8 [# s
firewall-cmd --get-zone-of-interface=enp03s
. B  m: a1 E' S  U$ b* O6 K
1.6. 显示所有公共区域(public)
firewall-cmd --zone=public --list-all

7 C+ k( Q" T/ j, l; W! n6 w7 ^

! O" Q6 N& X, H( `, t1 ^: A/ y
1.7. 临时修改网络接口(enp0s3)为内部区域(internal)
firewall-cmd --zone=internal --change-interface=enp03s
0 H3 V/ o( g* L$ Y0 P
1.8. 永久修改网络接口enp03s为内部区域(internal)
* w3 @& u. S3 a" c* m1 k7 [1 a
firewall-cmd --permanent --zone=internal --change-interface=enp03s
+ Y: ?' Z7 k$ o5 f  s4 h$ Z3 ^
2. 服务管理
2.1. 显示服务列表
Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:
firewall-cmd --get-services
8 ]. e4 F0 c" c% X2 l2 U
2.2. 允许SSH服务通过
firewall-cmd --enable service=ssh

* R) E) K! S" Z; c3 `4 e' T9 @
2.3. 禁止SSH服务通过
firewall-cmd --disable service=ssh

$ g5 [* ~3 r; y4 Q
2.4. 打开TCP的8080端口

8 G/ S; F5 q9 K
firewall-cmd --enable ports=8080/tcp

! `3 F0 o3 U6 C
2.5. 临时允许Samba服务通过600秒
firewall-cmd --enable service=samba --timeout=600
0 [# `) d/ H7 A+ x" b& i

# O/ }. s& N. Z1 R0 h+ G. q/ v
2.6. 显示当前服务
firewall-cmd --list-services

; |3 ~0 H" O2 m: g+ ^8 c4 I* C  s+ Y
2.7. 添加HTTP服务到内部区域(internal)

! y# }) Q* J3 I
firewall-cmd --permanent --zone=internal --add-service=http
firewall-cmd --reload     #在不改变状态的条件下重新加载防火墙( i  u9 F0 q; l, _( U8 F$ M) I

2 j' i) T5 m/ q

9 P) z! O$ y- }* p  v
" L  h- r0 x2 ~0 w7 C8 D! b2 \) U( i4 h9 D2 i1 Z
1 y# M2 D% c6 B9 ^  z% S9 z

3 _; \$ T, N5 S# d7 ^
3. 端口管理
3.1. 打开端口
#打开443/TCP端口
firewall-cmd --add-port=443/tcp
永久打开3690/TCP端口
firewall-cmd --permanent --add-port=3690/tcp
#永久打开端口好像需要reload一下,临时打开好像不用,如果用了reload临时打开的端口就失效了
其它服务也可能是这样的,这个没有测试
firewall-cmd --reload
查看防火墙,添加的端口也可以看到
firewall-cmd --list-all

- D! e" V; ?! w$ x! m6 W
4. 直接模式

/ o1 Y0 e7 c1 ]  g8 v3 u
FirewallD包括一种直接模式,使用它可以完成一些工作,例如打开TCP协议的9999端口
firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j ACCEPT
firewall-cmd --reload
/ r" d( o. ?# u2 v
/ k( O' e0 \/ ]% X. g

) `( l; Z- C# N- m. c
5. 关闭服务的方法
你也可以关闭目前还不熟悉的FirewallD防火墙,而使用iptables,命令如下:
systemctl stop firewalld
systemctl disable firewalld/ ^  A- M  d) G
yum install iptables-services; o, W" ]3 ]1 ~$ H
systemctl start iptables) c$ ^' N% o. p* N. g# Z* v
systemctl enable iptables

1

主题

0

回帖

12

积分

管理员

积分
12
QQ
 楼主| 发表于 2018-7-19 23:20:29 | 显示全部楼层
添加多个udp端口策略:
- V$ n5 g. `4 f' c# firewall-cmd --permanent --zone=internal --add-port=123/udp --add-port=4952/udp, Q+ G  j& \  G+ ~
success& N3 L. o" o* U( e1 Q$ `" u
查看interal下的开放端口0 |; P  w  @. E* [
# firewall-cmd --zone=internal --list-ports( G6 T' J! y4 G) z1 ]  t
123/udp 4952/udp
您需要登录后才可以回帖 登录 | 注册

本版积分规则

返回首页|Archiver|手机版|小黑屋|易陆发现技术论坛 ( 蜀ICP备2026014127号-1 )

GMT+8, 2026-6-11 23:20 , Processed in 0.017644 second(s), 25 queries .

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表