亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

保證Linux系統安全之firewalld防火墻配置地址偽裝和端口轉發詳解

發布時間:2020-05-20 22:39:39 來源:網絡 閱讀:1255 作者:筱振 欄目:系統運維

通過保證Linux系統安全之firewalld防火墻入門詳解認識Linux系統firewalld防火墻,并可以編寫一些相對簡單一些的防火墻規則。Linux防火墻可以充當路由器(網關)。路由器上的NAT技術,同樣可以通過Linux防火墻來實現。地址偽裝和端口轉發說白了就是路由器中的NAT技術。

一、地址偽裝和端口轉發簡介

firewalld防火墻支持兩種類型的NAT:

(1)地址偽裝

地址偽裝:基于源地址進行轉換,通過地址偽裝,NAT設備將經過設備的數據包轉發到指定接收方,同時將通過的數據包的源地址更改為其本身的接口地址。當返回的數據包到達時,會將目的地址修改為原始主機的地址并做路由。地址偽裝可以實現局域網多個IP地址共享單一公網地址上網。類似于NAT技術中的端口多路復用(PAT)。IP地址偽裝僅支持IPV4,不支持IPV6。

(2)端口轉發

端口轉發:基于目標地址進行轉換,也稱為目的地址轉換或端口映射。通過端口轉發,將指定IP地址及端口的流量轉發到相同計算機上的不同端口。或不同計算機上的端口,企業內部的服務器一般使用私網地址,可以通過端口轉發將使用私網地址的服務器發布到公網上,供互聯網用戶進行訪問。類似于NAT技術中的靜態NAT。

二、firewall-cmd高級配置

(1)firewalld中的直接規則

直接規則特性:

  • 允許管理員手動編寫的iptables、ip6tables和ebtables 規則插入到Firewalld管理的區域中;
  • 通過firewall-cmd命令中的--direct選項實現;
  • 除顯示插入方式之外,優先匹配直接規則;
[root@localhost ~]# firewall-cmd --direct --add-chain ipv4 raw blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw PREROUTING 0 -s 192.168.0.0/24 -j blacklist
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 0 -m limit --limit 1/min -j LOG --log-prefix "blacklisted"
success
[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 raw blacklist 1 -j DROP
success

這些僅是把192.168.0.0網段的地址添加到黑名單(使用直接規則)!太麻煩!

(2)使用富語言

富語言特性:

  • 表達性配置語言,無需了解iptables語法;
  • 用于表達基本的允許/拒絕規則、配置記錄(面向syslog和auditd)、端口轉發、偽裝和速率限制;

富語言語法格式

rule [family="<rule family>"]
    [ source address="<address>" [invert="True"] ]
    [ destination address="<address>" [invert="True"] ]
    [ <element> ]
    [ log [prefix="<prefix text>"] [level="<log level>"] [limit value="rate/duration"] ]
    [ audit ]
    [ accept|reject|drop ]

規則的每個單一元素都能夠以option=value的形式來采用附加參數。

富語言規則各常用選項:
保證Linux系統安全之firewalld防火墻配置地址偽裝和端口轉發詳解

任何已配置的富規則都會顯示在firewall-cmd --list-all和firewall-cmd --list-all-zones的輸出結果中。

富語言規則各語法解釋:
保證Linux系統安全之firewalld防火墻配置地址偽裝和端口轉發詳解

富語言規則配置示例:

  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
    success
    //為認證包頭協議AH使用IPV4和IPV6連接
  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
    success
    //允許新的IPV4和IPV6連接FTP,并使用審核每分鐘記錄一次
  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept'
    success
    //允許來自192.168.0.0/24地址的TFTP協議的IPV4連接,并且使用系統日志每分鐘記錄一次
  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
    success
    [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
    success
    //為RADIUS協議拒絕所有來自1:2:3:4:6::的新ipv6連接,日志前綴為“dns”,級別為“info”,并每分鐘最多記錄3次。接受來自其他發起端新的ipv6連接
  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
    success
    //將源192.168.2.2地址加入白名單,以允許來自這個源地址的所有連接
  • [root@localhost ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
    success
    //拒絕來自public區域中IP地址192.168.0.11的所有流量
  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
    success
    //丟棄來自默認區域中任何位置的所有傳入的ipsec esp協議包
  • [root@localhost ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-1905 protocol=tcp accept'
    success
    //在192.168.1.0/24子網的DMZ區域中,接收端口7900~7905的所有TCP包
  • [root@localhost ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
    success
    //接收從work區域到SSH的新連接,以notice級別且每分鐘最多三條消息的方式將新連接記錄到syslog
  • [root@localhost ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
    success
    //在接下來的5min內(通過--timeout=300配置項實現),拒絕從默認區域中的子網192.168.2.0/24到DNS的新連接,并且拒絕的連接將記錄到audit系統,且每小時最多一條消息
firewalld防火墻檢查規則的順序是:
1.直接規則;
2.富規則;
3.區域規則

在實際環境中如何配置請參考保證Linux系統安全之配置firewalld防火墻的地址偽裝及端口轉發實例,可跟做!!!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

浮山县| 朝阳县| 南溪县| 镇远县| 沂源县| 奉新县| 沁水县| 青海省| 崇州市| 宣城市| 临潭县| 利辛县| 大姚县| 大安市| 民和| 易门县| 赣州市| 合江县| 佛坪县| 博野县| 金湖县| 遂川县| 宜兴市| 垦利县| 平原县| 明光市| 靖江市| 涞源县| 疏附县| 天柱县| 永丰县| 庄河市| 论坛| 昌都县| 民县| 澜沧| 开平市| 清水河县| 天峨县| 延寿县| 华蓥市|