CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

2022-12-04 470

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云防火墙，500元 1000GB

访问控制，不限时长

简介： CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

如何利用CentOS7 Firewalld防火墙实现IP+Port细粒度访问控制

本文参考RedHat官方文档进行实践测试

https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide

测试的CentOS7 服务器IP ：192.168.31.230

1、通常情况我们在默认zone：public上添加需要访问的端口

firewall-cmd --permanent --zone=public --add-port=9000/tcp
firewall-cmd --permanent --zone=public --add-port=1514/udp
firewall-cmd --add-port=27017/tcp --permanent --zone=public
firewall-cmd --add-port=9200/tcp --permanent --zone=public
firewall-cmd --reload

2、查看firewalld已经开放的端口

firewall-cmd --list-all --zone=public 
firewall-cmd --list-ports

下面进入正题：现在需要对9000端口进行细粒度更高的访问控制比如只允许192.168.31.100等特定IP访问9000端口

可以通过如下两种方式来实现

一、启用internel 内部zone的方式

1、先将public zone中9000端口移除

firewall-cmd --permanent --zone=public --remove-port=9000/tcp
firewall-cmd --reload

在其他机器上用nc测试9000端口，可以看到已经无法访问

nc -vz 192.168.31.230 9000 -s 192.168.31.127

2、接下将启用zone:internel

firewall-cmd --list-all --zone=internal
firewall-cmd --zone=internal --add-port=9000/tcp --permanent 
firewall-cmd --reload
firewall-cmd --add-source=192.168.31.100/32 --permanent --zone=internal
firewall-cmd --reload

可以在192.168.31.100 Windows机器上测试

internal（内部）zone的特性  
For use on internal networks when you mostly trust the other computers on the network. Only selected incoming connections are accepted.

firewall-cmd --add-source=192.168.31.127/32 --permanent --zone=internal  
firewall-cmd --reload
firewall-cmd --list-all --zone=internal

添加前和添加后的对比测试截图如下

开启deny log打印

firewall-cmd --set-log-denied=all
firewall-cmd --add-source=192.168.31.127/32 --permanent --zone=internal 
firewall-cmd --reload

关闭deny日志打印

firewall-cmd --set-log-denied=off

当然也支持如下语法

firewall-cmd --add-source={192.168.31.230/32,192.168.31.100/32} --permanent  --zone=internal

二、rich-rules的方式

firewall-cmd --remove-port=9000/tcp --permanent --zone=public 
firewall-cmd --reload
firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.100/32" port port="9000" protocol="tcp" log prefix="graylog9000" level="info"  accept' --permanent
firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.127/32" port port="9000" protocol="tcp" log prefix="graylog9000" level="info"  accept' --permanent
firewall-cmd --reload

nc -vz 192.168.31.230 9000 -s 192.168.31.127

当然也可以不加日志打印

firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.100/32" port port="9000" protocol="tcp"  accept' --permanent
firewall-cmd --reload

3、禁ping的配置方式

参考官方文档

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-managing_icmp_requests

firewall-cmd --set-target=DROP --zone=public --permanent
firewall-cmd --add-icmp-block-inversion
firewall-cmd --reload

CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

1、通常情况我们在默认zone：public上添加需要访问的端口

2、查看firewalld已经开放的端口

一、启用internel 内部zone的方式

1、先将public zone中9000端口移除

2、接下将启用zone:internel

开启deny log打印

关闭deny日志打印

二、rich-rules的方式

3、禁ping的配置方式

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

1、通常情况我们在默认zone：public上添加需要访问的端口

2、查看firewalld已经开放的端口

一、启用internel 内部zone的方式

1、先将public zone中9000端口移除

2、接下将启用zone:internel

开启deny log打印

关闭deny日志打印

二、rich-rules的方式

3、禁ping的配置方式

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像