♥️作者:小刘在C站

♥️个人主页:小刘主页

♥️不能因为人生的道路坎坷,就使自己的身躯变得弯曲;不能因为生活的历程漫长,就使求索的 脚步迟缓。

♥️学习两年总结出的运维经验,以及思科模拟器全套网络实验教程。专栏:云计算技术

♥️感谢CSDN让你我相遇!

运维人员辛苦和汗水总结的干货理论希望对你有所帮助

目录

防火墙基础概念与底层

1、防火墙的技术上分类

2、firewalld的两种配置模式:

3、常用的区域:

4、防火墙的配置方法:

5、firewalld-cmd命令工具相关选项:

6、开启路由转发

firewlld支持两种类型的网络地址转换

ip地址伪装工作原理

端口转发原理

常见服务端口:

防火墙补充命令

firewalld富语言

理解富规则命令


防火墙基础概念与底层

1、防火墙的技术上分类

包过滤:firewalld属于这种
应用代理:360,金山毒霸,鲁大师
状态检测:ASA

2、firewalld的两种配置模式:

运行时配置: 立即生效
永久配置: 重新加载服务生效

3、常用的区域:

trusted: 信任区域,用于连接内部网络
public: 公共区域,是默认区域
internal:内部区域,用于连接内部网络
external:外部区域,用于连接互联网,次区域有地址位置nat功能
dmz: 非军事化区域,用于连接内部服务器

4、防火墙的配置方法:

firewall-config图形工具
firewall-cmd命令行工具(常用)
/etc/firewalld/中的配置文件

5、firewalld-cmd命令工具相关选项:

–reload:重新加载防火墙规则
–permanent:用于设置永久性规则,需要重新加载防火墙才会生效
–runtime-to-permanent:将运行时的配置进行保存

6、开启路由转发

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1


firewlld支持两种类型的网络地址转换

(1)IP地址伪装(masquerade)解决了内部访问互联网的问题
可以实现局域网多个地址共享单一公网地址上网
IP地址伪装仅支持IPV4,不支持IPV6
(2)端口转发(firewalld-port):解决了内部服务器发布到互联网的问题,端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机的端口

ip地址伪装工作原理

地址伪装(masquerade):通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。P地址伪装仅支持Pv4,不支持Pv6。

端口转发原理

端口转发(Forward-port):也称为目的地址转换或端口映射。通过端口转发,将指定P地址及
端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。企业内网的服务器一般都采用私网地址,可以通过端口转发将使用私网地址的服务器发布到公网,以便让互联网用户访问。例如,当接收互联网用户的HTTP请求时,网关服务器判断数据包的目标地址与目标端口,一旦匹配指定规则,则将其目标地址修改为内网真正的服务器地址,从而建立有效连接。


常见服务端口:

http (apache): tcp 80

https:tcp 443

mysq:tcp 3306

squid: tcp 3128

rsync:tcp 873

ssh:tcp22

ftp:tcp21和20

telnet: tcp 23

DNS: tcp/udp 53

DHCP: udp 67

防火墙补充命令

1.重新加载防火墙配置:
firewall-cmd –reload

2.防火墙操作例子:
移除tcp12345端口:
firewall-cmd –zone=external –add-port=12345/tcp –permanent

3.配置external区域移除ssh服务:
firewall-cmd –zone=external –remove-service=ssh –permanent

4.设置默认区域为external:
firewall-cmd –set-default-zone=external

5.因为预定义的SSH服务已经更改默认端口,所以将预定义SSH服务移除:
firewall-cmd –zone=dmz –remove-service=ssh –permanent

6.禁止ping:
firewall-cmd –add-icmp-block=echo-request –zone=dmz –permanent


firewalld富语言

富语言是与直接语言对比的差距就是可以更加丰富的来表示条件,更详细来描述规则,富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向syslog和auditd),以及端口转发、伪装和速率限制。下面是表达富规则的基本语法:

规则的每个单一元素都能够以option=value的形式来采用附加参数。

理解富规则命令

firewal-cmd有四个选项可以用于处理富规则,所有这些选项都可以同常规的–permanent或
–zone=选项组合使用:

–add-rich-rule=’RULE’
向指定区域中添加RULE,如果没有指定区域,则为默认区域
–remove-rich-rule=’RULE’
从指定区域中删除RULE,如果没有指定区域,则为默认区域
–query-rich-rule=’RULE’
查询RULE是否已添加到指定区域,如果未指定区域,则为默认区域。规则
存在,则返回0,否则返回1
–list-rich-rules
输出指定区域的所有富规则,如果未指定区域,则为默认区域

人生要尽全力度过每一关,不管遇到什么困难不可轻言放弃!!!