firewalld
一、圖形化管理火牆
系統提供了圖像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客戶端 firewall-cmd, 用於配置 firewalld 永久性或非永久性運行時間的改變。在圖形工具裏可以根據需求簡單直接的設置火牆策略。
二、firewalld的配置存儲
/etc/firewalld
進行的所有永久設定,均是改變此中文件/etc/firewalld/zones中的文件的內容,也可在文件中直接改動,改完後需要進行重啓服務。
三、用命令管理firewalld
firewall-cmd --state ##狀態
firewall-cmd --get-zones ##查看系統火牆域有哪些
firewall-cmd --get-default-zone ##查看默認域是哪一個
firewall-cmd --get-active-zones ##當前正在生效的設定
firewall-cmd --zone=public --list-all ##列出指定域的策略
firewall-cmd --get-services ##查看所有可以開啓的服務
對於企業來說,一些服務器要同時向內部和外界提供服務。出於安全性考慮,對內外所開放的服務權限是不同的。這一點就可以用配置火牆來實現。(在此以public和trusted以及httpd服務來作一個簡單的示例。)
首先給該服務器配置雙網卡,假設eth0爲內網,eth1爲外網。其各自ip如下。
將eth0從public域上取下,放到trusted域上。
查看正在工作的域有public和trusted
查看public域的火牆策略,不支持http訪問。
通過eth0的http訪問成功。
通過eth1的http訪問被拒。
這樣就可以實現不同網段的訪問控制。
firewall-cmd --add-service=ftp
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.60 -p tcp --dport 21 -j REJECT ##只允許60使用21端口否則拒絕,第一條非172.25.254.60不能連接21端口firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 ! -s 172.25.254.60 -p tcp --dport 21 -j REJECT ##移除
60主機本可以連接21端口。
寫入策略後60主機不能連接。
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.60 -p tcp --dport 22 -j DROP ##只允許60連接否則等待
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 ! -s 172.25.254.60 -p tcp --dport 22 -j DROP ##移除
目的地地址轉發,路由之前 ##別人連我,轉換出去
firewall-cmd --add-masquerade --zone=public
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.60
測試:
foundation60.ilt.example.com主機的ip爲172.25.254.60
firewall-cmd --remove-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.60
源地址轉換,路由之後
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.160 masquerade'
firewall-cmd --list-all
客戶機的網關要設置成路由器上能和它通信的ip。