Linux火墙策略firewalld
##firewalld##
#1.zone
//如果要拒绝,就要用drop,block遇到对方一直访问,会占用过多系统资源
#2.火墙基本策略参数
#3.火墙环境搭建
1)firewall-cmd --get-zones获取所有可选择区
firewall-cmd --list-all查看默认区
//修改域不需要重启服务,即改即生效,并且是永久的
2)客户端访问ftp:
//访问失败
在默认域中添加ftp服务,再次访问
//访问成功
3)火墙可添加的服务
//vim ftp.xml
**被动模式允许随机的大于1024的端口
有这个模块才能运行vsftpd服务
modprobe -r nf_conntrack_ftp ##删除这个模块
//此时ftp服务不能使用,重启firewalld服务,就又有了
4)更改文件添加策略
各个域的配置文件/etc/firewallld/zones
//在对应行加入<service name="ftp"/>
//重新加载服务 firewalld-cmd --reload
对172.25.254.70实现信任模式
//对172.25.254网段添加到信任域
删除
5)设置防火墙通过8080端口
修改httpd端口为8080
vim /etc/httpd/conf/httpd.conf
Listen 8080
//访问成功
#4.Direct Rules
//70机22端口不能访问
//访问失败
//删除第二条策略
#5.不同网卡接口访问
eth0:172.25.254.100
eth1:172.25.70.100
1.双网卡都在public域
2.将eth1从public域调整到trusted域中
3.eth0的网段无法访问,因为域的限制
4.eth1的网段可以可以访问,因为trusted域全接受
#6.Rich Rules
服务器双网卡eth0:172.25.254.100
eth1:172.25.70.100
真机172.25.254.70
客户机 172.25.70.44
1)端口转换
服务端:使真机ssh登陆服务端时,连接到客户机
测试:
//跳转成功