再来1章linux系列-19 防火墙 iptables 双网卡主机的内核 firewall-cmd firewalld的高级规则
学习目标:
- 实验
- 实验需求
- 实验配置内容和分析 (每一个设备的每一步操作)
- 实验结果验证
- 其他
学习内容:
- 实验
- 实验需求
- 实验配置内容和分析 (每一个设备的每一步操作)
- 实验结果验证
- 其他
1.实验
2.实验需求
图+文字
3.实验配置内容和分析 (每一个设备的每一步操作)
iptables
dnf install iptables-nft-services.noarch -y
systemctl disable --now firewalld
systemctl mask firewalldsystemctl enable --now iptables.service
vim /etc/sysconfig/iptablesiptables -F
service iptables save
cat /etc/sysconfig/iptables
#iptables -L
开启双网卡主机的内核路由
iptables -t nat -A POSTROUTING -o ens160 -j SNAT --to-source 192.168.23.135
[root@doubleret -]# sysctl -a | grep ip_forward
sudo vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
Iptables -t nat -A PREROUTING -i ethe -j DNAT --to-dest 192.168.231.128iptables -t nat -nL
ip route add default via 192.168.12.20route -nssh-l root 172.25.254.20
pingfirewall-cmd命令详解
| 参数 | 功能说明 | 实验验证方法 | 注意事项 |
|---|---|---|---|
--get-default-zone | 显示当前默认防火墙区域(如public/trusted) | 直接执行命令观察输出 | 返回结果应与/etc/firewalld/firewalld.conf配置一致 |
--set-default-zone=<zone> | 修改默认区域并永久生效 | 1. 执行设置命令 2. 重启服务验证 | 需root权限,建议先备份配置 |
--get-zones | 列出所有预定义区域 | 对比/usr/lib/firewalld/zones/目录内容 | 自定义区域需单独创建 |
--get-active-zones | 显示已激活区域及绑定接口 | 修改网络接口后观察变化 | 结果包含接口物理/逻辑名称 |
--add-source=<IP> | 将指定IP流量定向到区域 | 1. 添加IP 2. 测试连通性 | 需--permanent永久生效 |
--remove-source=<IP> | 取消IP流量定向 | 移除后测试原规则失效 | 需配合--reload生效 |
--add-service=<name> | 允许服务通过当前区域 | 添加后测试服务端口连通性 | 服务需在/usr/lib/firewalld/services/预定义 |
--add-port=<port/proto> | 开放指定协议端口 | 使用nc或telnet测试端口 | 临时规则重启后失效 |
--panic-on/off | 应急模式开关 | 1. 开启后测试所有连接中断 2. 关闭后恢复 | 生产环境慎用,会导致业务中断 |
systemctl disable --now iptables.service
systemctl unmask firewalld
systemctl enable --now firewalldsystemctl start firewalld
systemctl enable firewalld vim /etc/firewalld/firewalld.confFirewallBackend=iptablessystemctl restart firewalldfirewall-cmd --set-default-zone=trusted
firewall-cmd --reload
firewall-cmd --permanent --add-service=dns
success[root@dns1 ~]# firewall-cmd --get-default-zone
public
firewall-cmd --set-default-zone=trusted
firewall-cmd --reload
success
firewall-cmd --get-active-zones
publicinterfaces: ens192
trustedinterfaces: ens160
firewall-cmd --get-services
firewall-cmd --list-services --zone=public
firewall-cmd --permanent --add-service=http --zone=publicfirewall-cmd --permanent --remove-service=httpvim /etc/firewalld/firewalld.confFirewallBackend=iptables
systemctl restart firewalld
firewall-cmd --add-source=192.168.231.128 --zone=trusted
firewall-cmd --reload
firewall-cmd--remove-source=192.168.231.128--zone=trustedfirewall-cmd --reload
firewall-cmd--add-port=80/tcp
firewall-cmd--remove-port=80/tcpfirewalld的高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 ! -s 192.168.231.128/24 -j ACCEPT
firewall-cmd --direct --get-all-rulesfirewall-cmd --permanent --add-masquerade
firewall-cmd --reload
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr=192.168.231.128
firewall-cmd --reload4.实验结果验证
iptables -L
| 参数 | 说明 |
|---|---|
| Chain | 规则链名称,iptables中有INPUT、FORWARD、OUTPUT等链,分别处理进入、转发、发出的数据包 |
| policy | 链的默认策略,可以是ACCEPT(允许)或REJECT(拒绝)等 |
| target | 规则匹配成功后的操作,如ACCEPT、REJECT等 |
| prot | 协议类型,如tcp、udp、icmp等 |
| opt | 协议选项,通常不常用,可忽略 |
| source | 数据包的来源地址 |
| destination | 数据包的目标地址 |
| state | 数据包的状态,如NEW(新连接)、ESTABLISHED(已建立连接)等 |
| 其他 | 如dpt:ssh表示目标端口为ssh(22端口)等特定条件 |
双网卡主机的内核路由
firewall-cmd命令详解
firewalld的高级规则
5.其他
学习时间:
学习时间为学习时间
| 学习时间 | 筋肉人 |
| 为学习时间 | future |
内容为笔记【有时比较抽象,有时比较过于详细,请宽恕。作者可能写的是仅个人笔记,筋肉人future】
学习产出:
绿色框为logo
画工
。puppy-CSDN博客。puppy擅长计算机网络,python,软件,等方面的知识
https://blog.csdn.net/2301_79807099?type=blog
https://blog.csdn.net/2301_79807099/article/details/147963466?fromshare=blogdetail&sharetype=blogdetail&sharerId=147963466&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
https://blog.csdn.net/2301_79807099/article/details/147962266?fromshare=blogdetail&sharetype=blogdetail&sharerId=147962266&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
https://blog.csdn.net/2301_79807099/article/details/147932097?fromshare=blogdetail&sharetype=blogdetail&sharerId=147932097&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
https://blog.csdn.net/2301_79807099/article/details/147874248?fromshare=blogdetail&sharetype=blogdetail&sharerId=147874248&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
再来1章linux 系列-14 WEB服务器的部署及优化 wed服务nginx,修改默认 端口、文件、目录 ,控制,一个nginx 多个index,URI,URL和URN,请求报文、响应报文 -CSDN博客
再来1章linux 系列-12 时间同步服务器 vim /etc/chrony.conf-CSDN博客
https://blog.csdn.net/2301_79807099/article/details/147529028?fromshare=blogdetail&sharetype=blogdetail&sharerId=147529028&sharerefer=PC&sharesource=2301_79807099&sharefrom=from_link
再来1章linux 系列-10 磁盘管理 MBR,PV,VG,LV,软链接硬链接)分区挂载mount/umount;remount;fuser生成虚拟磁盘文件--ddswapmadafind-CSDN博客
再来1章linux 系列-9 软件管理 rpm dnf 库搭建 epel-CSDN博客
再来1章linux 系列-8 网络管理 ip add/del nmcli ping wegt curl-CSDN博客
再来1章linux 系列-7 文件传输scp,rync,tar-CSDN博客
再来1章linux 系列-6 进程管理 的详细图文解释+实验【chatter,lsatter,ps,pgrep,top,pgrep,pidof,nicerenice,kill,system进线程】-CSDN博客
再来1章linux 系列-5.2 权限管理的实验详细1Sticky Bit2 SGID (Set GID)3 SUID (Set UID)4. chmod 5.ACL 6.chown-CSDN博客
再来1章linux5.1[权限rwx,文件和目录,权限信息,文件类型 ,ugo,ls,chown,chgrp.:-R chmod umask souce etc/profile etc/bashrc等-CSDN博客
再来1章linux 系列-0. C语言过、Java半静对、Python纯动和C++对+C-CSDN博客
再来1章linux 系列-0.Linux的特点-CSDN博客
- 技术笔记 1遍
- 有错误请指出,作者会及时改正
