今天需要加強(qiáng)一下云服務(wù)器防火墻策略,發(fā)現(xiàn)有許多命令不會(huì)了��,就學(xué)習(xí)了一下���。
firewalld是一個(gè)Linux上防火墻服務(wù)守護(hù)進(jìn)程�,準(zhǔn)確的是紅帽系的Linux上的一個(gè)防火墻管理器�,可以使用firewalld來(lái)配置大多數(shù)典型情況所需的數(shù)據(jù)包過(guò)濾,firewalld使用區(qū)����、策略和服務(wù)的概念來(lái)簡(jiǎn)化流量管理�。區(qū)域以邏輯方式分隔網(wǎng)絡(luò)��。網(wǎng)絡(luò)接口和源可以分配給區(qū)�。策略用于拒絕或允許區(qū)域間的流量流。防火墻服務(wù)是預(yù)定義的規(guī)則���,覆蓋了允許特定服務(wù)的傳入流量的所有必要設(shè)置���,并在區(qū)域內(nèi)應(yīng)用。
剛才也說(shuō)了�����,firewalld是有區(qū)域的概念����,現(xiàn)在許多的硬件防火墻也有劃分區(qū)域,例如華為防火墻�,可以手動(dòng)的某一個(gè)接口或者多個(gè)接口劃入到指定的區(qū)域下,添加策略時(shí)需要選擇區(qū)域��,例如從UNtrust到trust區(qū)域����。
firewalld默認(rèn)區(qū)域劃分如下:
—block
適合于:任何傳入的網(wǎng)絡(luò)連接都會(huì)被拒絕,并對(duì) IPv4 顯示 icmp-host-prohibited 消息���,對(duì) IPv6 顯示 icmp6-adm-prohibited 消息���。
接受:只有從系統(tǒng)內(nèi)啟動(dòng)的網(wǎng)絡(luò)連接。
—dmz
適用于:DMZ 中可使用訪問(wèn)您的內(nèi)部網(wǎng)的有限權(quán)限公開訪問(wèn)的計(jì)算機(jī)��。
接受: 只有所選的傳入連接����。
—drop
適合于:任何被丟失,但沒有任何通知的傳入網(wǎng)絡(luò)數(shù)據(jù)包�����。
接受:只有傳出的網(wǎng)絡(luò)連接��。
—external
適用于:?jiǎn)⒂昧藗窝b的外部網(wǎng)絡(luò)���,特別是路由器���。不信任網(wǎng)絡(luò)上其他計(jì)算機(jī)的情況���。
接受: 只有所選的傳入連接。
—home
適用于:家庭環(huán)境��,基本上信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)����。
接受: 只有所選的傳入連接。
—internal
適用于:內(nèi)部網(wǎng)絡(luò)���,基本上信任網(wǎng)絡(luò)上其他計(jì)算機(jī)的��。
接受: 只有所選的傳入連接����。
—public
適用于:公共區(qū)域�����,不信任網(wǎng)絡(luò)上的其他計(jì)算機(jī)��。
接受: 只有所選的傳入連接�。
—trusted
接受:所有網(wǎng)絡(luò)連接。
—work
適用于:工作環(huán)境,信任大多數(shù)網(wǎng)絡(luò)上的其他計(jì)算機(jī)��。
接受: 只有所選的傳入連接�����。
當(dāng)接口連接被添加到 NetworkManager 中時(shí)��,它們會(huì)被分配到默認(rèn)區(qū)��。初次安裝時(shí)firewalld 中的默認(rèn)區(qū)域是 public 區(qū)域���。同時(shí)可以更改默認(rèn)區(qū)域。
同時(shí)firewalld有如下原則
1���、流量只流入一個(gè)區(qū)域����。
2����、流量只流出一個(gè)區(qū)域。
3�、一個(gè)區(qū)域定義一個(gè)信任級(jí)別。
4、默認(rèn)允許區(qū)域內(nèi)流量(在同一區(qū)域內(nèi))�����。
5��、默認(rèn)拒絕區(qū)域內(nèi)流量(從區(qū)域到區(qū)域)���。
firewall-cmd --get-default-zone
firewall-cmd --set-default-zone 區(qū)域名
firewall-cmd --zone=public --change-interface=ens4f0 --permanent
我們?cè)偬砑臃阑饓Σ呗詴r(shí)網(wǎng)絡(luò)需要某些參數(shù)���,例如源IP地址、目的IP地址�、目的端口、協(xié)議�、動(dòng)作等等這些參數(shù),一般就只需要者四種參數(shù)�����,源端口一般是不需要的����,因?yàn)槠胀ǖ恼?qǐng)求發(fā)起方往往源端口是隨機(jī)的,無(wú)法指定�����,只有一些特殊的服務(wù)源端口才是固定。
例如要放開訪問(wèn)本機(jī)的22號(hào)端口�����,那么策略可以這樣使用:
這樣就放開訪問(wèn)本機(jī)的ssh服務(wù)�����,如果你的ssh服務(wù)改了默認(rèn)的端口��,那么就不能用這個(gè)了��,就需要改成下邊這樣的:
firewall-cmd --zone=public --add-port=22/tcp
如果你想要你的這條策略永久保存����,那么還應(yīng)該加上一個(gè)永久保存的參數(shù)�,不然你下次重啟服務(wù)器這條策略就沒了,應(yīng)該如下:
firewall-cmd --zone=public --add-service=ssh --permanent
在后邊加一條--permanent參數(shù)即可
現(xiàn)在防火墻都有地址對(duì)象���、地址組這個(gè)功能���,就是可以把許多地址加到一個(gè)組里,然后策略里面去引用這個(gè)地址組,firewalld也有這個(gè)����。
首先我們創(chuàng)建一個(gè)地址組,地址組名稱為test123
firewall-cmd --permanent --new-ipset=test123 --type=hash:ip
然后我們加入我們要增加10.10.10.0/24�����、20.20.20.0/24這兩個(gè)個(gè)地址段�����,又不想單獨(dú)加一條策略���,那么就需要將兩個(gè)地址段加入到這個(gè)組內(nèi)��,然后引用�。
firewall-cmd firewall-cmd
創(chuàng)建一條引用的策略
firewall-cmd --permanent --zone=public --add-source=ipset:test123
重新載入防火墻配置啟用這條策略
然后使用firewalld --get-ipsets就可以看到
看下這個(gè)地址組里面有那些地址
看看public這個(gè)區(qū)域的策略情況
大家可能也注意到了����,我們上述添加策略時(shí)只用了一部分參數(shù),例如區(qū)域����、源地址或者目的端口�,那么為啥源地址和源端口不一起用呢�����,那是因?yàn)閒irewalld默認(rèn)上同時(shí)只支持一個(gè)參數(shù)的變化����,兩個(gè)參數(shù)會(huì)造成互斥,不像iptables可以加一條參數(shù)�,有許多參數(shù),當(dāng)然firewalld也有辦法添加多個(gè)參數(shù)的策略�,那就是“富規(guī)則”。
該文章在 2025/9/16 12:04:59 編輯過(guò)
400 186 1886
