AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

2022-12-04 453
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
云防火墙,500元 1000GB
访问控制,不限时长
简介: CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

如何利用CentOS7 Firewalld防火墙实现IP+Port细粒度访问控制


640.png


本文参考RedHat官方文档进行实践测试


https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide


640.png


测试的CentOS7 服务器IP :192.168.31.230


1、通常情况我们在默认zone:public上添加需要访问的端口


firewall-cmd --permanent --zone=public --add-port=9000/tcp
firewall-cmd --permanent --zone=public --add-port=1514/udp
firewall-cmd --add-port=27017/tcp --permanent --zone=public
firewall-cmd --add-port=9200/tcp --permanent --zone=public
firewall-cmd --reload


2、查看firewalld已经开放的端口


firewall-cmd --list-all --zone=public 
firewall-cmd --list-ports


下面进入正题:现在需要对9000端口进行细粒度更高的访问控制 比如只允许192.168.31.100等特定IP访问9000端口


可以通过如下两种方式来实现


一、启用internel 内部zone的方式


1、先将public zone中9000端口移除


firewall-cmd --permanent --zone=public --remove-port=9000/tcp
firewall-cmd --reload


640.png

在其他机器上用nc测试9000端口,可以看到已经无法访问

640.png

nc -vz 192.168.31.230 9000 -s 192.168.31.127


2、接下将启用zone:internel


firewall-cmd --list-all --zone=internal
firewall-cmd --zone=internal --add-port=9000/tcp --permanent 
firewall-cmd --reload
firewall-cmd --add-source=192.168.31.100/32 --permanent --zone=internal
firewall-cmd --reload

640.png

可以在192.168.31.100 Windows机器上测试


640.png


internal(内部)zone的特性  
For use on internal networks when you mostly trust the other computers on the network. Only selected incoming connections are accepted.

640.png


firewall-cmd --add-source=192.168.31.127/32 --permanent --zone=internal  
firewall-cmd --reload
firewall-cmd --list-all --zone=internal


添加前和添加后的对比测试截图如下


640.png


640.png

开启deny log打印


firewall-cmd --set-log-denied=all
firewall-cmd --add-source=192.168.31.127/32 --permanent --zone=internal 
firewall-cmd --reload


关闭deny日志打印


firewall-cmd --set-log-denied=off


640.png

当然也支持如下语法


firewall-cmd --add-source={192.168.31.230/32,192.168.31.100/32} --permanent  --zone=internal


二、rich-rules的方式


firewall-cmd --remove-port=9000/tcp --permanent --zone=public 
firewall-cmd --reload
firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.100/32" port port="9000" protocol="tcp" log prefix="graylog9000" level="info"  accept' --permanent
firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.127/32" port port="9000" protocol="tcp" log prefix="graylog9000" level="info"  accept' --permanent
firewall-cmd --reload
nc -vz 192.168.31.230 9000 -s 192.168.31.127

640.png


当然也可以不加日志打印


firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.100/32" port port="9000" protocol="tcp"  accept' --permanent
firewall-cmd --reload


3、禁ping的配置方式


参考官方文档


https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-managing_icmp_requests
firewall-cmd --set-target=DROP --zone=public --permanent
firewall-cmd --add-icmp-block-inversion
firewall-cmd --reload


640.png

640.png

文章标签:
云防火墙
访问控制
终端访问控制系统
Linux
Windows
网络安全
数据安全/隐私保护
关键词:
云防火墙ip
云防火墙访问控制
防火墙访问控制
CentOS ip
访问控制防火墙
yuanfan_2012
目录
相关文章
fensnote
|
4月前
|
Linux 网络安全
Centos 防火墙端口控制命令
Centos 防火墙端口控制命令
fensnote
98 3
jianz123
|
4月前
|
网络协议 安全 Linux
linux配置防火墙 Centos7下 添加 端口白名单
linux配置防火墙 Centos7下 添加 端口白名单
jianz123
828 0
土木林森
|
4月前
|
监控 网络协议 安全
【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
土木林森
708 1
还在路上的秃头
|
4月前
|
XML 安全 Linux
【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
还在路上的秃头
659 1
橙子先生
|
4月前
|
Linux 网络安全
centos7如何关闭防火墙
centos7如何关闭防火墙
橙子先生
435 3
Zhangr132
|
4月前
|
网络协议 Linux 网络安全
CentOS 7 防火墙指令
本文介绍了CentOS 7中管理防火墙`firewalld`的指令。
Zhangr132
69 0
一歲抬頭
|
4月前
|
网络协议 Linux 网络安全
Linux(17)Centos5、6、7、8版本的防火墙常用命令
Linux(17)Centos5、6、7、8版本的防火墙常用命令
一歲抬頭
84 0
jianz123
|
4月前
|
网络协议 Linux 网络安全
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
jianz123
658 0
听风de歌
|
1月前
|
安全 Linux 数据库
安全策略之访问控制列表 (ACL, Access Control List)
【8月更文挑战第12天】
听风de歌
46 3
土木林森
|
4月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
土木林森
310 0

热门文章

最新文章

  • 1
    CentOS下搭建和配置Zerotier并开机自启
  • 2
    Linux的CentOS7中安装maven3.6并配置阿里云远程仓库
  • 3
    Centos环境下MySQL-python安装过程
  • 4
    CentOS 6.5系统下安装和配置NFS服务
  • 5
    【Centos配置1】FTP配置
  • 6
    阿里云CentOS7搭建Apache+PHP+MySQL环境
  • 7
    CentOS8.5下安装部署开源监控系统Zabbix 6.0LTS
  • 8
    修改centos系统默认编辑器
  • 9
    CentOS手动分区步骤
  • 10
    Linux操作系统(CentOS)之DNS服务器配置与应用
  • 1
    InfluxDB安全机制:用户认证与访问控制
    296
  • 2
    【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
    310
  • 3
    【专栏】对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令
    367
  • 4
    C++ 类方法解析:内外定义、参数、访问控制与静态方法详解
    62
  • 5
    访问控制(RAM)|云上安全使用AccessKey的最佳实践
    102376
  • 6
    大数据隐私保护策略:加密、脱敏与访问控制实践
    1101
  • 7
    访问控制(RAM)|云上程序使用临时凭证的最佳实践
    151270
  • 8
    访问控制(RAM)|凭证安全管理与最佳实践
    102706
  • 9
    oss访问控制(Access Control)
    431
  • 10
    网络技术基础(14)——ACL访问控制列表
    550

    • 相关课程

    更多
  • 云安全基础课 - 访问控制概述
  • Linux Web服务器Nginx搭建与配置
  • Linux用户和组管理

    • 相关电子书

    更多
  • 《云防火墙实现多账号统一管控》
  • CentOS Nginx PHP JAVA多语言镜像使用手册
  • CentOS Nginx PHP JAVA 多语言镜像使用手

    • 相关实验场景

    更多
  • 部署Linux主机管理系统WDCP
  • 通过会话管理端口转发功能访问ECS内部服务
  • 基于CentOS快速搭建LAMP环境

    • 推荐镜像

    更多
  • centos-stream
  • centos-vault
  • centos
    • 下一篇
    基于LNMP搭建WordPress