/*目录*/

firewalld防火墙(RHEL7)

基础配置

防火墙作用:隔离,进行过滤所有入站请求

预设安全区域

根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd、ping、dhcp服务
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝,有回应客户端)
– drop:丢弃任何来访的数据包(直接丢弃,没有回应客户端)
节省服务器资源

防火墙判定规则:(进入哪一个区域)

1.首先查看,客户端数据包中源IP地址,然后查看自己所有区域规则,那个区域有该源IP地址的规则,则进入该区域
2.进入默认区域(public)
]# firewall-cmd --zone=public --list-all     #查看区域策略
]# firewall-cmd --zone=public --add-service=协议名   #添加协议(临时)
]# firewall-cmd --zone=block  --add-source=172.25.0.10  #单独拒绝虚拟机desktop(172.25.0.10)进行访问本机所有服务
]# firewall-cmd --zone=block  --list-all 

区域中添加允许的服务或协议(永久设置)

--permanent

]# firewall-cmd --reload     #重新加载防火墙所有策略
]# firewall-cmd --zone=public --list-all     #查看区域策略
]# firewall-cmd --permanent --zone=public --add-service=http  #添加策略
]# firewall-cmd --reload 
]# firewall-cmd --zone=public  --list-all    #查看区域策略

实现本机的端口映射(端口转发)

端口:编号 标识主机上服务或协议 可以找到相应的程序
端口编号可以由root修改, 一个程序或服务具有多个端口
端口转发:本地应用的端口重定向(端口1 --> 端口2)
–比如从客户机访问 5423 的请求,自动映射到本机 80,访问以下两个地址可以看到相同的页面:

172.25.0.11:5423--------->172.25.0.11:80

]# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80

]# firewall-cmd --reload   //重载配置
]# firewall-cmd  --zone=public  --list-all

虚拟机desktop
]# firefox 172.25.0.11
]# firefox 172.25.0.11:5423
posted @ 2020-07-03 11:25  嘟嘟噜~  阅读(209)  评论(0编辑  收藏  举报