厦门网站建设定制多少钱,云南建设局网站首页,wordpress 邮箱留言,防水补漏在哪个网站做宣传好♥️作者#xff1a;小刘在C站 ♥️个人主页#xff1a; 小刘主页 ♥️不能因为人生的道路坎坷,就使自己的身躯变得弯曲;不能因为生活的历程漫长,就使求索的 脚步迟缓。 ♥️学习两年总结出的运维经验#xff0c;以及思科模拟器全套网络实验教程。专栏#xff1a;云计算技… ♥️作者小刘在C站 ♥️个人主页 小刘主页 ♥️不能因为人生的道路坎坷,就使自己的身躯变得弯曲;不能因为生活的历程漫长,就使求索的 脚步迟缓。 ♥️学习两年总结出的运维经验以及思科模拟器全套网络实验教程。专栏云计算技术 ♥️感谢CSDN让你我相遇 运维人员辛苦和汗水总结的干货理论希望对你有所帮助 目录
防火墙基础概念与底层
1、防火墙的技术上分类
2、firewalld的两种配置模式
3、常用的区域
4、防火墙的配置方法
5、firewalld-cmd命令工具相关选项
6、开启路由转发
firewlld支持两种类型的网络地址转换
ip地址伪装工作原理
端口转发原理
常见服务端口
防火墙补充命令
firewalld富语言
理解富规则命令 防火墙基础概念与底层
1、防火墙的技术上分类
包过滤firewalld属于这种 应用代理360金山毒霸鲁大师 状态检测ASA
2、firewalld的两种配置模式
运行时配置 立即生效 永久配置 重新加载服务生效
3、常用的区域
trusted 信任区域用于连接内部网络 public: 公共区域是默认区域 internal内部区域用于连接内部网络 external外部区域用于连接互联网次区域有地址位置nat功能 dmz: 非军事化区域用于连接内部服务器
4、防火墙的配置方法
firewall-config图形工具 firewall-cmd命令行工具常用 /etc/firewalld/中的配置文件
5、firewalld-cmd命令工具相关选项
--reload重新加载防火墙规则 --permanent用于设置永久性规则需要重新加载防火墙才会生效 --runtime-to-permanent将运行时的配置进行保存
6、开启路由转发
vim /etc/sysctl.conf net.ipv4.ip_forward 1 firewlld支持两种类型的网络地址转换
1IP地址伪装masquerade解决了内部访问互联网的问题 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPV4不支持IPV6 2端口转发firewalld-port解决了内部服务器发布到互联网的问题端口转发指定IP地址及端口的流量将被转发到相同计算机上的不同端口或者转发到不同计算机的端口
ip地址伪装工作原理 地址伪装(masquerade)通过地址伪装NAT设备将经过设备的包转发到指定接收方同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。P地址伪装仅支持Pv4,不支持Pv6。 端口转发原理 端口转发(Forward-port)也称为目的地址转换或端口映射。通过端口转发将指定P地址及 端口的流量转发到相同计算机上的不同端口或不同计算机上的端口。企业内网的服务器一般都采用私网地址可以通过端口转发将使用私网地址的服务器发布到公网以便让互联网用户访问。例如当接收互联网用户的HTTP请求时网关服务器判断数据包的目标地址与目标端口一旦匹配指定规则则将其目标地址修改为内网真正的服务器地址从而建立有效连接。 常见服务端口
http (apache): tcp 80
httpstcp 443
mysqtcp 3306
squid: tcp 3128
rsynctcp 873
sshtcp 22
ftptcp 21和20
telnet: tcp 23
DNS: tcp/udp 53
DHCP: udp 67
防火墙补充命令
1.重新加载防火墙配置 firewall-cmd --reload
2.防火墙操作例子 移除tcp12345端口 firewall-cmd --zoneexternal --add-port12345/tcp --permanent
3.配置external区域移除ssh服务 firewall-cmd --zoneexternal --remove-servicessh --permanent
4.设置默认区域为external firewall-cmd --set-default-zoneexternal
5.因为预定义的SSH服务已经更改默认端口所以将预定义SSH服务移除 firewall-cmd --zonedmz --remove-servicessh --permanent
6.禁止ping firewall-cmd --add-icmp-blockecho-request --zonedmz --permanent firewalld富语言
富语言是与直接语言对比的差距就是可以更加丰富的来表示条件更详细来描述规则富规则可用于表达基本的允许/拒绝规则也可以用于配置记录面向syslog和auditd),以及端口转发、伪装和速率限制。下面是表达富规则的基本语法 规则的每个单一元素都能够以optionvalue的形式来采用附加参数。
理解富规则命令
firewal-cmd有四个选项可以用于处理富规则所有这些选项都可以同常规的--permanent或 --zoneZONE选项组合使用
--add-rich-ruleRULE 向指定区域中添加RULE,如果没有指定区域则为默认区域 --remove-rich-ruleRULE 从指定区域中删除RULE,如果没有指定区域则为默认区域 --query-rich-ruleRULE 查询RULE是否已添加到指定区域如果未指定区域则为默认区域。规则 存在则返回0否则返回1 --list-rich-rules 输出指定区域的所有富规则如果未指定区域则为默认区域 人生要尽全力度过每一关,不管遇到什么困难不可轻言放弃
