firewalld防火牆為了簡化管理,將所有網路流量分為多個區域(zone) 。然後根據資料報的源ip位址或傳入的網路介面等條件將流量傳入相應區域。每個區域都定義了自己開啟或者關閉的埠和服務列表。
區域作用
trusted (信任區域)
允許所有的傳入流量(一般用於內網之中)
public (公共區域)
允許與ssh或dhcpv6-client預定義服務匹配的傳入流量,其餘均拒絕。是新新增網路介面的預設區域。
external (外部區域)
允許與ssh預定義服務匹配的傳入流量,其餘均拒絕。預設將通過此區域**的ipv4傳出流量將進行位址偽裝,可用於為路由器啟用了偽裝功能的外部網路。
home (家庭區域)
允許與ssh, ipp-client,mdns, samba-client或dhcpv6-client預定義服務匹配的傳入流量,其餘均拒絕
internal (內部區域)
預設值時與home區域相同。
work (工作區域)
允許與ssh. ipp-client. dhcpv6-client預定義服務匹配的傳入流量,其餘均拒絕。
dmz (隔離區域也稱為非軍事區域)
允許與ssh預定義服務匹配的傳入流量,其餘均拒絕。
block (限制區域)
拒絕所有傳入流量
drop (丟棄區域)
丟棄所有傳入流量,並且不產生包含icmp的錯誤響應。
最終乙個區域的安全程度是取決於管理員在此區域中設定的規則。
區域如同進入主機的安全門,每個區域都具有不同限制程度的規則,只會允許符合規則的流量傳入。
可以根據網路規模,使用乙個或多個區域,但是任何乙個 活躍區域 至少需要關聯 源位址或介面。
預設情況下,public區域是預設區域,包含所有介面(網絡卡)
firewalld對於進入系統的資料報,會根據資料報的源ip位址或傳入的網路介面等條件,將資料流量轉入相應區域的防火牆規則。對於進入系統的資料報,首先檢查的就是其源位址。
--get-default-zone :顯示當前預設區域
--set-default-zone=:設定預設區域
--get-active-zones :顯示當前正在使用的區域及其對應的網絡卡介面
--get-zones :顯示所有可用的區域
--get-zone-of-inte***ce=:顯示指定介面繫結的區域
--zone=--add-inte***ce=:為指定介面繫結區域
--zone=--change-inte***ce=:為指定的區域更改繫結的網路介面
--zone=--remove-inte***ce=:為指定的區域刪除繫結的網路介面
--list-all-zones :顯示所有區域及其規則
[--zone=] --list-all :顯示所有指定區域的所有規則,省略--zone=時表示僅對預設區域操作
[--zone=] --list-services :顯示指定區域內允許訪問的所有服務
[--zone=] --add-service=:為指定區域設定允許訪問的某項服務
[--zone=] --remove-service=:刪除指定區域已設定的允許訪問的某項服務
[--zone=] --list-ports :顯示指定區域內允許訪問的所有埠號
[--zone=] --add-port=[-]/:為指定區域設定允許訪問的某個/某段埠號(包括協議名)
[--zone=] --remove-port=[-]/:刪除指定區域已設定的允許訪問的埠號(包括協議名)
[--zone=] --list-icmp-blocks :顯示指定區域內拒絕訪問的所有 icmp 型別
[--zone=] --add-icmp-block=:為指定區域設定拒絕訪問的某項 icmp 型別
[--zone=] --remove-icmp-block=:刪除指定區域已設定的拒絕訪問的某項icmp型別
firewall-cmd --get-icmptypes :顯示所有 icmp 型別
linux防火牆之iptables
linux防火牆基礎 linux系統的防火牆體系基於核心編碼實現,具有非常穩定的效能和極高的效率。通常net filter和iptables都是用來指linux防火牆。兩者的區別 net filter屬於 核心態 的防火牆體系 iptables屬於 使用者態 的防火牆管理體系 iptables的表,...
linux防火牆之firewalld
3 firewalld 區域的概念 4 firewalld資料處理流程 二 firewalld防火牆的配置 4 服務管理 5 埠管理 firewalld和iptables都是用來管理防火牆的工具 屬於使用者態 來定義防火牆的各種規則功能 firewalld提供了支援網路區域所定義的網路鏈結以及介面安...
Linux 防火牆之TCP Wrappers
基本處理過程 ldd 可執行工具路徑 grep libwrap root natsha ldd usr sbin sshd grep libwrap libwrap.so.0 lib64 libwrap.so.0 0x00007f97ecca5000 在 etc hosts.allow和 etc h...