基础配置
防火墙作用:隔离,进行过滤所有入站请求
预设安全区域
根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd、ping、dhcp服务
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝,有回应客户端)
– drop:丢弃任何来访的数据包(直接丢弃,没有回应客户端)
节省服务器资源
防火墙判定规则:(进入哪一个区域)
1.首先查看,客户端数据包中源IP地址,然后查看自己所有区域规则,那个区域有该源IP地址的规则,则进入该区域
2.进入默认区域(public)
]# firewall-cmd --zone=public --list-all #查看区域策略
]# firewall-cmd --zone=public --add-service=协议名 #添加协议(临时)
]# firewall-cmd --zone=block --add-source=172.25.0.10 #单独拒绝虚拟机desktop(172.25.0.10)进行访问本机所有服务
]# firewall-cmd --zone=block --list-all
区域中添加允许的服务或协议(永久设置)
--permanent
]# firewall-cmd --reload #重新加载防火墙所有策略
]# firewall-cmd --zone=public --list-all #查看区域策略
]# firewall-cmd --permanent --zone=public --add-service=http #添加策略
]# firewall-cmd --reload
]# firewall-cmd --zone=public --list-all #查看区域策略
实现本机的端口映射(端口转发)
端口:编号 标识主机上服务或协议 可以找到相应的程序
端口编号可以由root修改, 一个程序或服务具有多个端口
端口转发:本地应用的端口重定向(端口1 --> 端口2)
–比如从客户机访问 5423 的请求,自动映射到本机 80,访问以下两个地址可以看到相同的页面:
172.25.0.11:5423--------->172.25.0.11:80
]# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80
]# firewall-cmd --reload //重载配置
]# firewall-cmd --zone=public --list-all
虚拟机desktop
]# firefox 172.25.0.11
]# firefox 172.25.0.11:5423