防火墙策略

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了防火墙策略相关的知识,希望对你有一定的参考价值。

firewall

防火墙策略(默认开启)

firewall-config 打开图形化界面

活动的绑定:指的是哪个默认的区域在工作

区域的理解:类似于公共网络的概念

建议:再修改防火墙的时候,一定要看清基于哪个网卡的配置

drop:接入到该区域的流量全被拒绝

block:接入到该区域的流量全是拒绝的,但是针对于icmp协议会返回,destination host prohibited dorp流量全部被允许

trusted:接入到该区域的流量全被信任

home:只信任home网络

work:信任工作网络

public:不信任任何网络

防火墙运行时:可影响当前的防火墙规则

永久:影响下一次开机

建议:再修改防火墙的时候,在永久的模式下进行配置,随后重载防火墙,可以保证防火墙运行时和永久模式下防火墙的同步

fire-cmd --list-all 查看当前默认区域下的防火墙规则

fire-cmd --table查看所有命令

命令添加某个服务:

fire-cmd --add-service= 服务 --permanent

重新载入防火墙:

fire-cmd --reload

fire-cmd --zone=区域 --add-service= 服务 --permanent

fire-cmd --zone=区域 --remove-service= 服务 --permanent

协议

protocol

添加源端口:--add-source-port-


添加端口转发

eg:把9527端口转发到80

fire-cmd --zone=区域 --add-forward-port=9527:proto:tcp:toport=80 --permanent


添加富规则

firewall-cmd --zone=区域 --add-rich-rule=规则 --permanent

fire-cmd --reload

具体的富规则

第一项:关键字:rule

第二项:选择地址簇:family=ipv4 或者 family=ipv6

第三项:内容包括

源地址:source address=

目标地址:destination address=

服务:service name=

端口转发:forward-port=

转发目的端口:to-port=

转发目的地址:to-addr=

协议:protocal

具体的处理行为

drop 拒绝

reject 拒绝,但是会返回信息

accept 接受

eg:用富规则设置9527转发至80

firewall-cmd --zone=区域 --add-rich-rule=‘rule family=ipv4 forward-port port=9527 protocal=tcp to-port=80‘ --permanent


用富规则设置来源是192.168.1.1的ip,不能用ssh连接

fire-cmd --zone=public --add-rich-rule=‘rule family=ipv4 source address=192.168.1.1/24 service name=ssh drop‘ --permanent


用命令修改网卡所处的区域

firewall-cmd --zone=区域 --change-interface=ens33 

//选中ens33网卡,点击编辑,改变ens33所处的区域


firewall-cmd --zone=区域 --add-interface=ens33

//选中区域,点击添加ens33网卡


firewall-cmd --get-services

//查看firewall所管理的服务名称


firewall-cmd --get-zones 查看当前已有的区域

firewall-cmd --get-active-zones 查看当前活跃的区域

firewall-cmd --get-defaults-zone 查看当前防火墙的默认区域

firewall-cmd --list-service --zone=home 查看home下可用的服务

firewall-cmd --set-default --zone=home 设置默认区域为home


本文出自 “大李子” 博客,谢绝转载!

以上是关于防火墙策略的主要内容,如果未能解决你的问题,请参考以下文章

华为防火墙过滤策略

配置华为防火墙安全策略

配置华为防火墙安全策略

关闭Windows防火墙策略

华为防火墙查看和调整安全域策略优先级

linux 防火墙 默认策略是DROP 如何让我能随意连接其他人的22端口