全面分析RHCE7(红帽认证工程师)考试题目之 ---Firewall(防火墙)篇

本文涉及的产品
云防火墙,500元 1000GB
简介:

防火墙策略管理(firewall)

作用:隔离

局域网和外网之间

阻止入站,允许出站

软件防火墙

系统服务:firewalld

管理工具:firewall-cmd(命令工具、 Linux7),firewell-config(图形工具)


查看防火墙服务状态

[root@server0 ~]# systemctl status firewalld.service 

firewalld.service - firewalld - dynamic firewall daemon

   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)

   Active: active (running) since 三 2017-11-01 11:37:48 CST; 4h 6min ago

 Main PID: 477 (firewalld)

   CGroup: /system.slice/firewalld.service

  └─477 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid


11月 01 11:37:49 localhost systemd[1]: Started firewalld - dynamic firewall....

Hint: Some lines were ellipsized, use -l to show in full.

 

预设安全区域

根据所在的网络场所区分,预设保护规则集

 public:仅允许访问本机的sshd等少数几个服务(默认进入的区域)

 trusted:允许任何访问

 block:拒绝任何来访请求

 drop:丢弃任何来访的数据包 

例:

[root@server0 ~]# firewall-cmd  --get-default-zone

public

[root@server0 ~]# firewall-cmd  --zone=public --list-all 

public (default, active)

  interfaces: eth0 eth1 eth2 team0

  sources: 

  services: dhcpv6-client ssh

  ports: 

  masquerade: no

  forward-ports: 

  icmp-blocks: 

  rich rules:


防火墙判断的规则:(匹配及停止)

1.首先看请求(客户端)当中的源IP地址,所有区域中是否有对于该IP地址的策略,如果有则该请求进入该区域

2.如果没有,进入默认区

[root@server0 ~]# firewall-cmd  --zone=public --add-

--add-forward-port=  --add-masquerade     --add-service=

--add-icmp-block=    --add-port=          --add-source=

--add-interface=     --add-rich-rule      

[root@server0 ~]# firewall-cmd  --zone=public --add-service=http #开启http服务

success

[root@server0 ~]# firewall-cmd --zone=public --list-all 

public (default, active)

 interfaces: eth0 eth1 eth2 team0

 sources: 

 services: dhcpv6-client http ssh

 ports: 

 masquerade: no

 forward-ports: 

 icmp-blocks: 

 rich rules: 

[root@server0 ~]# firewall-cmd --zone=public --add-service=ftp #开启ftp服务

success

[root@server0 ~]# firewall-cmd --zone=public --list-all 

public (default, active)

 interfaces: eth0 eth1 eth2 team0

 sources: 

 services: dhcpv6-client ftp http ssh

 ports: 

 masquerade: no

 forward-ports: 

 icmp-blocks: 

 rich rules: 


[root@server0 ~]# firewall-cmd --reload #重新加载配置

success

[root@server0 ~]# firewall-cmd --zone=public --list-all 

public (default, active)

 interfaces: eth0 eth1 eth2 team0

 sources: 

 services: dhcpv6-client ssh

 ports: 

 masquerade: no

 forward-ports: 

 icmp-blocks: 

 rich rules:

--permanent选项 :永久生效,没有此参数重启后失效


[root@server0 ~]# firewall-cmd  --permanent  --zone=public  --add-service=ftp #开启永久ftp服务

success

[root@server0 ~]# firewall-cmd  --permanent --zone=public  --add-service=http#开启永久http服务

success

[root@server0 ~]# firewall-cmd  --reload #重新加载配置

success

[root@server0 ~]# firewall-cmd --zone=public --list-all 

public (default, active)

 interfaces: eth0 eth1 eth2 team0

 sources: 

 services: dhcpv6-client ftp http ssh

 ports: 

 masquerade: no

 forward-ports: 

 icmp-blocks: 

 rich rules: 


修改默认区域 

firewall-cmd --set-default-zone=区域名

例:

[root@localhost ~]# ping 172.25.0.11

PING 172.25.0.11 (172.25.0.11) 56(84) bytes of data.

64 bytes from 172.25.0.11: icmp_seq=1 ttl=64 time=0.174 ms


[root@server0 ~]# firewall-cmd  --set-default-zone=block 

success

[root@localhost ~]# ping 172.25.0.11

PING 172.25.0.11 (172.25.0.11) 56(84) bytes of data.

From 172.25.0.11 icmp_seq=1 Destination Host Prohibited


[root@server0 ~]# firewall-cmd  --set-default-zone=drop 

success

[root@localhost ~]# ping 172.25.0.11

PING 172.25.0.11 (172.25.0.11) 56(84) bytes of data.

开网段

[root@server0 ~]# firewall-cmd --permanent --zone=public --add-source=172.25.0.10

success

[root@server0 ~]# firewall-cmd --reload 

success

[root@server0 ~]# firewall-cmd --zone=public --list-all 

public (default, active)

 interfaces: eth0 eth1 eth2 team0

 sources: 172.25.0.10

 services: dhcpv6-client ftp http ssh

 ports: 

 masquerade: no

 forward-ports: 

 icmp-blocks: 

 rich rules: 


实现本机的端口映射

本地应用的端口重定向(端口1-->端口2)

从客户机访问端口1的请求,自动映射到本机端口2

比如,访问以下两个地址可以看到相同的页面:

http://server0.example.com:5423/

http://server0.example.com/


例:

[root@server0 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80

success

[root@server0 ~]# firewall-cmd --reload 

success

[root@server0 ~]# firewall-cmd --zone=public --list-all 

public (default, active)

 interfaces: eth0 eth1 eth2 team0

 sources: 172.25.0.10

 services: dhcpv6-client ftp http ssh

 ports: 

 masquerade: no

 forward-ports: port=5423:proto=tcp:toport=80:toaddr=

 icmp-blocks: 

 rich rules: 


防火墙应对方法

方式1:默认区域block,允许的放入trusted

方式2:默认区域trusted,拒绝的放入block


在RHCE的考试中会涉及到各种服务的配置 为了是考试变的简单 

可以将防火墙的应对方法设置为 默认区域trusted,拒绝的放入block

在两台虚拟机上执行如下操作

# firewall-cmd --set-default-zone=trusted 


在RHCE的考试中有一道题目是:

在RHCE7的考试中有一道考试题目是:

配置SSH访问

按以下要求配置 SSH 访问:

  • 用户能够从域 example.com(这个域名考试会改变) 内的客户端 SSH 远程访问您的两个虚拟机系统

  • 在域 my133t.org (这个域名考试会改变) 内的客户端不能访问您的两个虚拟机系统


这道题也可以用通过配置防火墙策略 将这个网段放入block区域

 例如 my133t.org 对应的网段为 172.34.0.0  在两台虚拟机上执行如下操作

# firewall-cmd --permanent --add-source=172.34.0.0/24 --zone=block


*如果想要通过配置SSH服务来完成这道题 可以访问 http://blog.51cto.com/13558754/2058361

在RHCE7的考试中有一道考试题目是:

配置防火墙端口转发

在系统 server 0上配置端口转发,要求如下:

  • 在 172.25.0.0/24 网络中的系统,访问 server0  的本地端口 5423 将被转发到80

  • 此设置必须永久有效

# firewall-cmd --permanent --zone=trusted --add-forward- port=port=5423:proto=tcp:toport=80


注意 凡是执行配置防火墙策略中 带有 --permanent  选项的命令时 都要执行如下操作

# firewall-cmd --reload                 #重新加载配置










本文转自 Xuenqlve 51CTO博客,原文链接:http://blog.51cto.com/13558754/2058387,如需转载请自行联系原作者
目录
相关文章
|
12月前
|
开发框架 网络协议 Ubuntu
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
【Linux】配置网络和firewall防火墙(超详细介绍+实战)
3014 0
|
存储 网络协议 安全
DNS科普系列: DNS防火墙(DNS Firewall)
DNS防火墙是一种网络安全解决方案,可以防止网络用户和系统链接到已知的恶意网络位置,可以有效的预防威胁发生, 阻止访问受感染的站点,进而防止进一步的威胁。能够主动检测到已被感染的系统,并通过安全报告的形式将此类威胁通知用户。还能够保护用户的网络环境,提高网络安全性。
DNS科普系列: DNS防火墙(DNS Firewall)
|
Linux 网络安全
CentOS7关闭firewall防火墙方法
CentOS7关闭firewall防火墙方法
931 0
|
2月前
|
监控 安全 网络安全
安全工具防火墙(Firewall)
【8月更文挑战第10天】
61 7
|
2月前
|
SQL 网络协议 安全
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
【Azure API 管理】APIM集成内网虚拟网络后,启用自定义路由管理外出流量经过防火墙(Firewall),遇见APIs加载不出来问题
|
4月前
|
安全 网络安全
Fort Firewall防火墙工具v3.12.13
Fort Firewall是一款开源系统的免费防火墙,体积小巧、占用空间不大,可以为用户的电脑起到保护作用,该软件可以控制程序访问网络,控制用户的电脑网速,用户可以更轻松便捷的进行网络安全防护,保护系统程序,避免病毒。
46 1
|
5月前
|
XML 网络协议 安全
firewall防火墙详解
firewall防火墙详解
60 1
|
SQL 安全 Shell
入侵检测之sqlmap恶意流量分析
入侵检测之sqlmap恶意流量分析
191 0
|
安全 Linux 网络安全
百度搜索:蓝易云【服务器安全设置Centos7 防火墙firewall与iptables】
CentOS 7使用的默认防火墙是firewall,它是一种基于Netfilter的用户空间工具,用于管理Linux内核中的iptables规则。为了加强服务器的安全性,可以通过配置CentOS 7防火墙和iptables规则来保护服务器。
131 0
|
网络协议 安全 Linux
工作中常用到的Linux系统firewall防火墙策略
工作中常用到的Linux系统firewall防火墙策略
147 0
下一篇
无影云桌面