需要注意的是Firewalld中的区域与接口

一个网卡仅能绑定一个区域。比如: eth0-->A区域

但一个区域可以绑定多个网卡。比如: B区域-->eth0、eth1、eth2

可以根据来源的地址设定不同的规则。比如:所有人能访问80端口,但只有公司的IP才允许访问22端口

trusted 允许所有的数据包流入与流出 白名单

public 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量

drop 拒绝流入的流量,除非与流出的流量相关 黑名单

1.获取当前默认的区域

[root@m01 ~]# firewall-cmd --get-default-zone

public

2.查看当前活动的区域

[root@m01 ~]# firewall-cmd --get-active-zones

public

interfaces: eth0 eth1

3.查看firewalld规则明细

[root@m01 ~]# firewall-cmd --list-all

public (active)

target: default

icmp-block-inversion: no

interfaces: eth0 eth1

sources:

services: ssh dhcpv6-client

ports:

protocols:

masquerade: no

forward-ports:

source-ports:

icmp-blocks:

rich rules:

3.使用firewalld多个区域规则结合,调整默认public区域拒绝所有流量,但如果来源IP是10.0.0.1/24则允许。

[root@m01 ~]# firewall-cmd --remove-service=ssh

[root@m01 ~]# firewall-cmd --add-source=10.0.0.1/32 --zone=trusted

[root@m01 ~]# firewall-cmd --get-active-zone

public

interfaces: eth0 eth1

trusted

sources: 10.0.0.1/32

runtime运行时: 修改规则马上生效,但如果重启服务则马上失效,测试建议。

permanent持久配置: 修改规则后需要reload重载服务才会生效,生产建议。

firewalld放行端口

[root@m01 ~]# firewall-cmd --add-port=80/tcp

[root@m01 ~]# firewall-cmd --add-port={8081/tcp,8082/tcp}

[root@m01 ~]# firewall-cmd --remove-port={8081/tcp,8082/tcp}

firewalld放行自带服务

[root@m01 ~]# firewall-cmd --add-service={http,https}

[root@m01 ~]# #firewall-cmd --add-port=6379/tcp

[root@m01 ~]# firewall-cmd --add-service=redis

firewalld放行自定义的服务 qqqq--->1111

[root@m01 ~]# cd /usr/lib/firewalld/services/

[root@m01 services]# cp http.xml qqqq.xml

[root@m01 services]# vim qqqq.xml 80--->1111

[root@m01 services]# systemctl restart firewalld

[root@m01 services]# firewall-cmd --add-service=qqqq

firewalld端口转发 --> 四层负载均衡

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@m01 ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7

[root@m01 ~]# firewall-cmd --add-masquerade #IP地址伪装

[root@m01 ~]# firewall-cmd --permanent --add-forward-port=port=6666:proto=tcp:toport=3306:toaddr=172.16.1.51

firewalld富规则

rule

[source]

[destination]

service|port|protocol|icmp-block|masquerade|forward-port

[log]

[audit]

[accept|reject|drop]

rule [family="ipv4|ipv6"]

source address="address[/mask]" [invert="True"]

service name="service name"

port port="port value" protocol="tcp|udp"

forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"

accept | reject | drop

1.允许10.0.0.0/24网段能够访问http服务,仅允许172.16.1.7/32主能访问ssh服务

10网段能访问http服务

172.16.1.7能访问ssh服务

其他统统拒绝

[root@m01 ~]# firewall-cmd --remove-service=ssh

[root@m01 ~]# firewall-cmd --remove-service=dhcpv6-client

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 service name=http accept'

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.7/32 port port=22 protocol=tcp accept'

2.默认所有人就能连接ssh服务,但拒绝172.16.1.0/24网段.

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 service name=ssh drop'

3.允许所有人能访问http,https服务,但只有10.0.0.1主机可以访问ssh服务

[root@m01 ~]# firewall-cmd --remove-service=ssh

[root@m01 ~]# firewall-cmd --add-service={http,https}

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 service name=ssh accept'

4.当用户来源IP地址是10.0.0.1主机,则将用户请求的5555端口转发至后端172.16.1.7的22端口

[root@m01 ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.0.1/32" forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'

如果没有添加--permanent参数则重启firewalld会失效

富规则按先后顺序匹配,按先匹配到的规则生效

firewalld规则写法的更多相关文章

  1. rewrite规则写法及nginx配置location总结

    rewrite只能放在server{},location{},if{}中,并且只能对域名后边的除去传递的参数外的字符串起作用. 例如http://seanlook.com/a/we/index.php ...

  2. 伪静态规则写法RewriteRule-htaccess详细语法使用

    一.正则表达式教程伪静态规则写法RewriteRule-htaccess详细语法使用教程分享简单说下:伪静态实际上是利用PHP把当前地址解析成另外一种方法进行访问网站!要学伪静态规则的写法,你必须得懂 ...

  3. nginx配置location总结及rewrite规则写法【转】

    转自 nginx配置location总结及rewrite规则写法 | Sean's Noteshttp://seanlook.com/2015/05/17/nginx-location-rewrite ...

  4. Nginx配置location总结及rewrite规则写法

    p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 32.0px "Helvetica Neue"; color: #323333 } p. ...

  5. 转:Nginx 配置 location 总结及 rewrite 规则写法

    转: http://www.linuxidc.com/Linux/2015-06/119398.htm 1. location正则写法 一个示例: location =/{ # 精确匹配 / ,主机名 ...

  6. 【转】nginx配置location总结及rewrite规则写法

    原文:http://seanlook.com/2015/05/17/nginx-location-rewrite/ 1. location正则写法 location = / { # 精确匹配 / ,主 ...

  7. nginx配置location总结及rewrite规则写法(转)

    一个示例: location = / { # 精确匹配 / ,主机名后面不能带任何字符串 [ configuration A ] } location / { # 因为所有的地址都以 / 开头,所以这 ...

  8. nginx配置location总结及rewrite规则写法(1)

    1. location正则写法 一个示例: location = / { # 精确匹配 / ,主机名后面不能带任何字符串 [ configuration A ] } location / { # 因为 ...

  9. nginx配置location总结及rewrite规则写法 (若配置reload或restart不生效就stop start)

    location正则写法 一个示例: location = / { # 精确匹配 / ,主机名后面不能带任何字符串 [ configuration A ] } location / { # 因为所有的 ...

随机推荐

  1. 洛谷P2260 [清华集训2012]模积和(容斥+数论分块)

    题意 https://www.luogu.com.cn/problem/P2260 思路 具体思路见下图: 注意这个模数不是质数,不能用快速幂来求逆元,要用扩展gcd. 代码 #include< ...

  2. 02-Django项目创建

    第一.Django项目创建 django-admin startproject 项目名 # 注意如果使用虚拟环境,创建应用必须先进入虚拟环境 进入项目目录,tree看项目结构(此时提示tree com ...

  3. 利用开源软件自建WAF系统--OpenResty+unixhot

    目录 介绍 安装Openresty 修改nginx.conf 部署WAF 测试WAF 简介:利用OpenResty+unixhot自建WAF系统 介绍   OpenResty是一个基于 Nginx 与 ...

  4. 创建Djongo需要改url的地方:

    from django.conf.urls import urlfrom django.contrib import adminfrom app01 import viewsurlpatterns = ...

  5. zz自动驾驶多传感器感知的探索1

    Pony.ai 在多传感器感知上积累了很多的经验,尤其是今年年初在卡车上开始了新的尝试.我们有不同的传感器配置,以及不同的场景,对多传感器融合的一些新的挑战,有了更深刻的认识,今天把这些经验,总结一下 ...

  6. LG3237 「HNOI2014」米特运输 树形DP

    问题描述 LG3237 题解 问题转化为: 要求将这棵树,满足 结点 \(x\) 所有孩子权值相等 结点 \(x\) 权值等于所有孩子权值和 将乘法转化为 \(\log\) 加法 \(\mathrm{ ...

  7. luoguP4103 [HEOI2014]大工程

    题意 建出虚树DP. 设\(f[i]\)表示i的子树的第一问答案,\(minn[i]\)表示\(i\)的子树中到\(i\)最近的关键点,\(maxx[i]\)表示\(i\)的子树中到i距离最远的关键点 ...

  8. go 学习笔记之环境搭建

    千里之行始于足下,开始 Go 语言学习之旅前,首先要搭建好本地开发环境,然后就可以放心大胆瞎折腾了. Go 的环境安装和其他语言安装没什么特别注意之处,下载安装包下一步下一步直到完成,可能唯一需要注意 ...

  9. vue+Element 表格中的树形数据

    template部分   只在树形的结构中显示编辑与删除按钮 这里我只是简单的做了一个 v-if 判断在操作列中 ,判断是否存在级别这个字段 <div> <el-table :dat ...

  10. 强大的性能监测工具dstat

    强大的性能监测工具dstat 本节分为以下几个部分: dstat介绍: dstat命令是一个用来替换vmstat.iostat.netstat.nfsstat和ifstat这些命令的工具,是一个全能系 ...