随笔分类 - firewalld
防火墙,安全
摘要:一,firewalld对一个请求会适用哪个zone? 1, 当接收到一个请求时,firewalld具体使用哪个zone? firewalld是通过三个步骤来判断的: source,即:源地址 interface,即:接收请求的网卡 firewalld.conf中配置的默认zone 通常值为:Defa
阅读全文
摘要:一,问题现象: firewalld未重新加载规则前,可以看到fail2ban添加的防火墙规则: [root@web ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfa
阅读全文
摘要:一,什么是链? 1,一个防火墙中通常针对不同的来源设置很多规则,多个规则形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。 如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规
阅读全文
摘要:一,查看zone和interface的关系 1,查看活动区域: [root@blog ~]# firewall-cmd --get-active-zones drop sources: 11.20.12.18 public interfaces: eth0 trusted sources: 13.2
阅读全文
摘要:一,打开调试选项 1,官方文档地址: https://firewalld.org/documentation/howto/debug-firewalld.html 2, 编辑配置文件: [root@blog ~]# vi /etc/sysconfig/firewalld 把FIREWALLD_ARG
阅读全文
摘要:一,用firewalld添加ipset 创建新的ipset [root@blog ~]# firewall-cmd --permanent --new-ipset=nginxcc --type=hash:ip 重新加载到内存 [root@blog ~]# firewall-cmd --reload
阅读全文
摘要:一,firewalld的rich规则执行逻辑如下: 1,日志规则 2,drop/reject规则 3,accept规则 二,例子:验证是否先匹配reject规则 1,添加两条规则:第一条允许指定ip访问22端口第二条禁止同一个ip访问 [root@blog ~]# firewall-cmd --ad
阅读全文
摘要:一,查询firewalld默认支持的服务有哪些? [root@blog conf.d]# firewall-cmd --get-services RH-Satellite-6 RH-Satellite-6-capsule afp amanda-client amanda-k5-client amqp
阅读全文
摘要:一,第一种方法:添加到drop这个zone 1,可以访问:这里假设服务器地址:5.6.7.8客户端地址:1.2.3.4 客户端ip未被drop前,尝试登录到服务器: [lhdop@client ~]$ ssh -p 22 lhdop@5.6.7.8 lhdop@5.6.7.8's password:
阅读全文
摘要:一,查看linux当前的所有zone [root@blog ~]$ firewall-cmd --get-zones block dmz drop external home internal nm-shared public trusted work 二,各个zone的区别 1, 一个网络区域(z
阅读全文
摘要:一,firewall-cmd预定义信息主要分为三种: 1、可用区域 2、可用服务 3、可用的icmp阻塞类型 二,查看预定义的zone [root@blog ~]# firewall-cmd --get-zones block dmz drop external home internal nm-s
阅读全文
摘要:一,默认情况允许ping [lhdop@blog ~]$ ping 8.14.7.5 PING 8.14.7.5 (8.14.7.5) 56(84) bytes of data. 64 bytes from 8.14.7.5: icmp_seq=1 ttl=58 time=2.69 ms 64 by
阅读全文
摘要:一,操作允许ip伪装 1,# 允许防火墙伪装IP [root@blog ~]# firewall-cmd --add-masquerade --permanent success 效果: [root@blog ~]# more /etc/firewalld/zones/public.xml <?xm
阅读全文
摘要:一,通过命令行查看版本: [root@blog ~]# firewall-cmd --version 0.6.3 二,通过rpm包查看版本: [root@blog ~]# rpm -q firewalld firewalld-0.6.3-7.el8.noarch 注意切换到root用户或加sudo再
阅读全文
摘要:一,服务启动与停止 1,启动: [root@blog ~]# systemctl start firewalld.service 查看状态: [root@blog ~]# systemctl status firewalld.service ● firewalld.service - firewal
阅读全文
摘要:一,ssh限制指定用户从固定ip登录: 1.配置 配置文件 [root@blog ~]# vi /etc/ssh/sshd_config 配置项: AllowUsers lhdop git@1.2.3.4 2,测试效果,ssh确认git用户的密码正确后会拒绝你 [op@blog work]$ git
阅读全文
摘要:一,查看当前所有的zone 1,列出当前系统中所有的zone [root@blog ~]# firewall-cmd --get-zones block dmz drop external home internal nm-shared public trusted work 2,系统预设的zone
阅读全文
摘要:一,zone的target有哪些取值? 1,一个zone的target有4个取值: default、ACCEPT、REJECT、DROP,如果不设置默认为default ACCEPT: 允许通过 REJECT: 禁止通过,会返回错误消息 DROP: 禁止通过,直接丢弃数据包 default: 和RE
阅读全文
摘要:一,firewalld对一个请求会适用哪个zone? 当接收到一个请求时,firewalld具体使用哪个zone? firewalld是通过三个步骤来判断的: source,即:源地址 interface,即:接收请求的网卡 firewalld.conf中配置的默认zone 通常值为:Default
阅读全文
摘要:一,firewalld中ipset的用途: 1,用途 ipset是ip地址的集合, firewalld使用ipset可以在一条规则中处理多个ip地址, 执行效果更高 对ip地址集合的管理也更方便 2,注意与iptables所用的ipset命令的不同, 不要混合使用firewall-cmd的ipse
阅读全文