防火墙的策略管理
作用:隔离,严格过滤入站,放行出站
•系统服务:firewalld ----》iptables(底层防火墙)
•管理工具:firewall-cmd、firewall-config(图形)
•根据所在的网络场所区分,预设区域
- public:仅允许访问本机的ssh、dhcp、ping服务
- trusted:允许任何访问
- block:拒绝任何来访请求,明确拒绝客户端
- drop:丢弃任何来访的数据包,不给任何回应
•防火墙判定原则:
1.查看客户端请求中来源IP地址,查看自己所有区域中规则,那个区域中有该源IP地址规则,则进入该区域
2.进入默认区域(默认情况下为public)
防火墙默认区域的修改
虚拟机A
- ]# firewall-cmd --get-default-zone #查看默认区域
虚拟机B
- ]# curl 192.168.88.240 #失败
- ]# curl ftp://192.168.88.240 #失败
- ]# ping -c2 192.168.88.240 #成功
虚拟机A:修改默认区域
- ]# firewall-cmd --set-default-zone=trusted
虚拟机B
- ]# curl 192.168.88.240 #成功
- ]# curl ftp://192.168.88.240 #成功
防火墙public区域添加规则
虚拟机A:添加允许的协议
]# firewall-cmd --set-default-zone=public
- ]# firewall-cmd --zone=public --add-service=http
- ]# firewall-cmd --zone=public --list-all
虚拟机B
- ]# curl http://192.168.88.240 #成功
- ]# curl ftp://192.168.88.240 #失败
虚拟机A:添加允许的协议
- ]# firewall-cmd --zone=public --add-service=ftp
- ]# firewall-cmd --zone=public --list-all
虚拟机B
- ]# curl http://192.168.88.240 #成功
- ]# curl ftp://192.168.88.240 #成功
防火墙public区域添加规则(永久)
- -永久(--permanent 破门能它)
- ]# firewall-cmd --reload #加载防火墙永久策略
- ]# firewall-cmd --zone=public --list-all
- ]# firewall-cmd --permanent --zone=public --add-service=http #永久添加http协议
- ]# firewall-cmd --permanent --zone=public --add-service=ftp #永久添加ftp协议
- ]# firewall-cmd --reload #加载防火墙永久策略
- ]# firewall-cmd --zone=public --list-all
防火墙单独拒绝PC2所有的访问
- 虚拟机A:
- [root@server ~]# firewall-cmd --zone=block --add-source=192.168.88.2
- 虚拟机A:删除策略
- [root@server ~]# firewall-cmd --zone=block --remove-source=192.168.88.2