firewalld 高级配置

一:firewalld 高级配置

1.1:关于iptables的知识

IP 数据包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做数据包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的数据包过滤表中,而这些表集成在Linux内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain) 中。

虽然 netfilter/iptables IP 数据包过滤系统被称为单个实体,但它实际上由两个组件 netfilter 和 iptables 组成。

(1).netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些数据包过滤 表组成,这些表包含内核用来控制数据包过滤处理的规则集。

(2).iptables 组件是一种工具,也称为用户空间 (userspace), 它使插入、修改和除去数 据包过滤表中的规则变得容易。iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的 Hook(挂钩)点来区分的,表和链实际上是 netfilter 的两个维度。

firewalld 中理解直接规则

将 iptables的规则插入到firewalld的管理区域中,这种方式写的规则叫直接规则。

将某个IP范围列入黑名单

在这个例子中首先自定义了一个叫blacklist的链,然后将所有来自192.168.10.0/24的数据包 都指向了这个链,最后定义了这个链的规则:首先进行记录,然后drop, 记录的方法是使 用"blacklisted:" 前缀并且限制1分钟记录一次。

(1)创建一个黑名单,并为这个黑名单创建一个链,链名为 blacklist

root@localhost \~#firewall-cmd --direct --permanent --add-chain ipv4 raw blacklist

(2)将来自192.168.10.0/24的数据包指向这个链

root@localhost \~#firewall-cmd --direct -permanent --add-rule ipv4 raw PREROUTING 0-s 192.168.10.0/24-jblacklist

(3)每分钟记录一次日志(-m limit --limit 1/min 每分钟记录一次日志)

root@localhost \~#firewall-cmd --direct --permanent --add-rule ipv4 raw blacklist O-m limit --limit 1/min -jLOG --log-prefix "blacklisted"

(4)设置这个链的规则为 DROP

root@localhost\~#firewall-cmd--direct--permanent --add-rule ipv4 raw blacklist 1-jDROP

(5)重启 firewalld(重启或重载后生效)

root@localhost\~#systemctl restart firewalld

(6)查看直接规则

root@localhost \~#cat /etc/firewalld/direct.xml

使用富语言

1: 什么是富语言

不需要使用iptables语法,而是使用高级语言配置防火墙规则的机制成为富语言。

规则排序

测试和调试

3: 理解富规则命令

4: 规则配置举例

(1)为认证报头协议AH 使用新的IPv4和 IPv6 连接

root@localhost\~#firewall-cmd --add-rich-rule='rule protocol value=ah accept'

(2)允许新的IPv4 和 IPv6 连接http, 并使用审核每分钟记录一次

root@localhost \~#firewall-cmd --add-rich-rule='rule service name=http log prefix=httpaccess limit value=1/m audit accept'

注意:

开启日志记录后

root@localhost\~#cat /var/log/messages

Jan 1411:27:29192 kernel:'httpaccess'IN=ens330UT=

MAC=00:0c:29:85:a0:bd:00:0c:29:5e:d3:72:08:00 SRC=192.168.10.102 DST=192.168.10.101

LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=60222 DF PROTO=TCP SPT=53168 DPT=80

WINDOW=29200 RES=0x00SYN URGP=0

(3)允许来自192.168.0.0/24地址的TFTP 协议的IPv4连接,并且使用系统日志每分钟记录一次

root@localhost \~#firewall-cmd --add-rich='rule family="ipv4"source address="192.168.0.0/24" service name="tftp"log prefix="tftp"level="info"limit value="1/m"accept'

(4)为RADIUS协议拒绝所有来自1:2:3:4:6::的新的IPv6 连接,日志前缀为 "dns", 级别为 info, 并每分钟最多记录3次。接受来自其他发起段新的IPv6 连接

root@localhost \~#firewall-cmd --add-rich-rule='rule family="ipv6"source address="1:2:3:6::" service name="raduis"log prefix="dns"level="info"limit value="3/m"reject'

(5) 将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接

root@localhost \~# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2"accept'

(6) 拒绝(删除)来自 public 区域中 IP 地址为192.168.0.11的所有流量

root@localhost \~#firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.10.202/32 reject'

root@localhost \~#firewall-cmd --zone=public --remove-rich-rule='rule family=ipv4 source address=192.168.10.202/32 reject'

(7)丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包

root@localhost\~#firewall-cmd --add-rich-rule='rule protocol value="esp"drop'

(8)在192.168.1.0/24子网的dmz 区域中,接收端口7900--1905的所有TCP 包

root@localhost \~#firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'

(9)接受从work 区域到ssh 的新连接,以notice级别且每分钟最多三条信息的方式将新连接记录到syslog

root@localhost \~#firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh"level="notice"limit value="3/m"accept'

(10)在接下来的5min 内,拒绝从默认区域中的子网192.168.2.0/24到DNS 的新连接,并且拒绝的连接将记录到audit 系统,且每小时最多一条消息

root@localhost\~#firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h"reject'--timeout=300

相关推荐
phltxy4 小时前
LangChain从模型输出到RAG数据管道实战
服务器·人工智能·深度学习·语言模型·langchain
ysa0510304 小时前
【板子】Dinic(最大网络流)
网络
我星期八休息4 小时前
网络编程—应用层HTTP协议
linux·运维·开发语言·前端·网络·网络协议·http
一个天蝎座 白勺 程序猿5 小时前
从电网改造踩坑说起:深度拆解时序大模型TimechoAI的自主可控与安全合规底气
大数据·运维·服务器·大模型·timechoai
ShineWinsu5 小时前
对于Linux:UDPsocket编程基础的解析
linux·运维·网络协议·udp·ip·端口号·进程间通信
hehelm6 小时前
AI大模型接入SDK—通用模块设计
linux·开发语言·c++
ITxiaobing20236 小时前
IP库与AppsFlyer数据对账指南:破解国家/地区数据不一致的难题
网络·网络协议
有浔则灵6 小时前
GORM钩子函数详解
网络·安全·web安全
Spider Cat 蜘蛛猫6 小时前
Anthropic的skill-creator使用分享
运维·服务器
汇智信科7 小时前
图谱、向量、关键词、SQL多路一体,FastKG垂域召回率100%拉满
网络·数据库·ai编程·汇智信科·hsim·fastclaw·汇智龙虾