火牆之firewalld

firewalld

    動態防火牆後臺程序提供了一個動態管理的防火牆，用以支持網絡「zone」，以分配對一個網絡及其相關連接和界面必定程度上的信任。它具有對IPV4和 IPV6防火牆設置的支持。它支持以太網橋，並有分離運行時間和永久性配置選擇。它還具有一個通向服務或者應用程序以直接增長防火牆規則的接口.

firewalld和iptables service之間的區別

     1）iptables service在/etc/sysconfig/iptables中存儲配置，而firewalld將配置存儲在/usr/lib/firewalld/和 /etc/firewalld/ 中的各類XML文件裏。

     2）使用iptables service每個單獨更改意味着清楚全部舊的規則和從  /etc/sysconfig/iptables 裏讀取全部新的規則，然而使用firewalld卻不會建立任何新的規則；僅僅運行規則中的不一樣之處。此，firewalld能夠在運行時間內，改變設置而不丟失現行鏈接。

關閉iptables並凍結，解凍firewalld並從新啓動

 

firewalld網絡區

 

查看默認域，並修改默認域爲trusted

 

在public域中添加http服務

重啓後查看添加結果，發現http服務消失了，說明這只是臨時添加

 

 

--permanent                                     ##設置永久添加

發現可使用http服務鏈接125主機

 

進入firewalld配置文件查看文件內容

 

添加策略生效的緣由是配置文件中生成了相關文件

再次添加ftp服務

 

 

配置文件中生成了ftp服務內容

 

查看public下支持的服務

 

ftp服務加載的模塊

 

設置火牆經過8080端口

vim /etc/httpd/conf/httpd.conf               ##修改默認端口爲8080

 

經過8080端口訪問http服務

修改服務端eth1網絡爲trusted

 

@@這裏從新加載不能生效，必需要重啓服務

 

添加一條火牆策略，容許254這個網段全部用戶的全部請求

直接用http訪問125主機

 

刪掉http火牆策略

 

重啓服務後，http服務消失了

再次訪問，沒法鏈接，由於缺乏http這個服務

 

當訪問eth1這塊網卡的http時，能夠鏈接，由於eth1的狀態爲trusted

拒絕全部的用戶訪問172.25.254.25這臺主機的22端口

 

將從172.25.254.25的22端口 假裝爲172.25.25.225的22端口

測試發現，鏈接172.25.254.125時，顯示ip爲172.25.25.225

查看添加的火牆策略