防火墙策略

Posted 2020-10-06

firewall

防火墙策略(默认开启)

firewall-config 打开图形化界面

活动的绑定：指的是哪个默认的区域在工作

区域的理解：类似于公共网络的概念

建议：再修改防火墙的时候，一定要看清基于哪个网卡的配置

drop:接入到该区域的流量全被拒绝

block:接入到该区域的流量全是拒绝的，但是针对于icmp协议会返回，destination host prohibited dorp流量全部被允许

trusted:接入到该区域的流量全被信任

home:只信任home网络

work:信任工作网络

public:不信任任何网络

防火墙运行时：可影响当前的防火墙规则

永久：影响下一次开机

建议：再修改防火墙的时候，在永久的模式下进行配置，随后重载防火墙，可以保证防火墙运行时和永久模式下防火墙的同步

fire-cmd --list-all 查看当前默认区域下的防火墙规则

fire-cmd --table查看所有命令

命令添加某个服务：

fire-cmd --add-service= 服务 --permanent

重新载入防火墙：

fire-cmd --reload

fire-cmd --zone=区域 --add-service= 服务 --permanent

fire-cmd --zone=区域 --remove-service= 服务 --permanent

协议

protocol

添加源端口：--add-source-port-

添加端口转发

eg:把9527端口转发到80

fire-cmd --zone=区域 --add-forward-port=9527:proto:tcp:toport=80 --permanent

添加富规则

firewall-cmd --zone=区域 --add-rich-rule=规则 --permanent

fire-cmd --reload

具体的富规则

第一项：关键字：rule

第二项：选择地址簇：family=ipv4 或者 family=ipv6

第三项：内容包括

源地址：source address=

目标地址：destination address=

服务：service name=

端口转发：forward-port=

转发目的端口：to-port=

转发目的地址：to-addr=

协议：protocal

具体的处理行为

drop 拒绝

reject 拒绝，但是会返回信息

accept 接受

eg:用富规则设置9527转发至80

firewall-cmd --zone=区域 --add-rich-rule=‘rule family=ipv4 forward-port port=9527 protocal=tcp to-port=80‘ --permanent

用富规则设置来源是192.168.1.1的ip,不能用ssh连接

fire-cmd --zone=public --add-rich-rule=‘rule family=ipv4 source address=192.168.1.1/24 service name=ssh drop‘ --permanent

用命令修改网卡所处的区域

firewall-cmd --zone=区域 --change-interface=ens33 

//选中ens33网卡，点击编辑，改变ens33所处的区域

firewall-cmd --zone=区域 --add-interface=ens33

//选中区域，点击添加ens33网卡

firewall-cmd --get-services

//查看firewall所管理的服务名称

firewall-cmd --get-zones 查看当前已有的区域

firewall-cmd --get-active-zones 查看当前活跃的区域

firewall-cmd --get-defaults-zone 查看当前防火墙的默认区域

firewall-cmd --list-service --zone=home 查看home下可用的服务

firewall-cmd --set-default --zone=home 设置默认区域为home

本文出自 “大李子” 博客，谢绝转载！