Linux火墙策略firewalld

##firewalld##

#1.zone

//如果要拒绝，就要用drop，block遇到对方一直访问，会占用过多系统资源

#2.火墙基本策略参数

#3.火墙环境搭建

1)firewall-cmd --get-zones获取所有可选择区

firewall-cmd --list-all查看默认区

//修改域不需要重启服务，即改即生效，并且是永久的

2)客户端访问ftp：

//访问失败

在默认域中添加ftp服务，再次访问

//访问成功

3)火墙可添加的服务

//vim ftp.xml

**被动模式允许随机的大于1024的端口

有这个模块才能运行vsftpd服务

modprobe -r nf_conntrack_ftp    ##删除这个模块

//此时ftp服务不能使用，重启firewalld服务，就又有了

4)更改文件添加策略

各个域的配置文件/etc/firewallld/zones

//在对应行加入<service name="ftp"/>

//重新加载服务 firewalld-cmd --reload

对172.25.254.70实现信任模式

//对172.25.254网段添加到信任域

删除

5)设置防火墙通过8080端口

修改httpd端口为8080

vim /etc/httpd/conf/httpd.conf

Listen 8080

//访问成功

#4.Direct Rules

//70机22端口不能访问

//访问失败

//删除第二条策略

#5.不同网卡接口访问

eth0：172.25.254.100

eth1：172.25.70.100

1.双网卡都在public域

2.将eth1从public域调整到trusted域中

3.eth0的网段无法访问，因为域的限制

4.eth1的网段可以可以访问，因为trusted域全接受

#6.Rich Rules

服务器双网卡eth0：172.25.254.100

                        eth1：172.25.70.100

真机172.25.254.70

客户机 172.25.70.44

1)端口转换

服务端：使真机ssh登陆服务端时，连接到客户机

测试：

//跳转成功