您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

CentOS8 - 防火墙简介

时间:2019-11-21 09:18:26  来源:  作者:

简介

centos 8采用firewalld管理netfilter子系统,默认情况,firewall的后端是nftables,而非iptables,底层调用的是nft命令,而非iptables命令。

不同的防火墙软件相互间存在冲突,使用某个时应禁用其它的防火墙软件。

CentOS8 - 防火墙简介

 

配置文件

firewalld的配置文件一般有两个存储位置:/etc/firewalld/ 和 /usr/lib/firewalld/。

手动配置的规则会存放到/etc/firewalld/这个目录中,如果这个目录中没有找到对应的配置文件,就会去/usr/lib/firewalld/这个默认路径下查找。因此需要手动恢复默认规则就要删除/etc/firewalld/下面对应的文件即可。

配置目录下的子目录

zones目录中存放zone配置文件,services目录中存放service配置文件,icmptypes目录中存放icmp类型相关的配置文件。

firewalld主配置文件/etc/firewalld/firewalld.conf

DefaultZone,默认使用的zone,默认值为public;

MinimalMark,标记的最小值,默认为100;

CleanupOnExit,退出后是否清除防火墙规则,默认为yes;

Lockdown,是否限制别的程序通过D-BUS接口直接操作firewalld,默认为no,当Lockdown设置为yes时,/etc/firewalld/lockdown-whitelist.xml规定哪些程序可以对firewalld进行操作;

IPv6_rpfilter,判断接收的包是否是伪造的,默认为yes。

 

firewalld提供了9个zone

drop

默认:丢弃所有进入的数据包,不做任何响应。仅允许传出连接

block

默认:拒绝所有进入的数据包,返回icmp-host-prohibited报文(ipv4)或icmp6-adm-prohibited报文(ipv6)。仅允许传出连接

public

默认:firewalld默认的zone。用于不受信任的公共场所,不信任网络中其它计算机,可以允许选定的传入连接

external

默认:用在路由器等启用伪装(NAT)的外部网络,仅允许选定的传入连接

internal

默认:用在(NAT)内部网络,网络中的其它系统通常是可信的,仅允许选定的传入连接

dmz

默认:允许非军事区(DMZ,内外网络之间增加的一层网络,起到缓冲作用)中的计算机有限的被外界网络访问,仅允许选定的传入连接

work

默认:用在工作网络,网络中的其它计算机通常是可信的,仅允许选定的传入连接

home

默认:用在家庭网络,网络中的其它计算机通常是可信的,仅允许选定的传入连接

trusted

默认:接受所有网络连接,信任网络中的所有计算机

zone的配置文件路径是在/etc/firewalld/zones/目录中

 

service(服务)

iptables使用端口号来匹配规则,但是如果某一个服务的端口号改变了,就要同时更改iptables规则,很不方便,同时也不方便阅读理解。

一个service中可以配置特定的端口(将端口和service的名字关联)。

zone中加入service规则就等效于直接加入了port规则,但是使用service更容易管理和理解。

service配置文件的命名为<service名称>.xml

zone文件中的过滤规则

zone文件中的过滤规则优先级:source(最高)-> interface(次之)-> firewalld.conf中配置的默认zone(最低)。

source:根据数据包源地址过滤,相同的source只能在一个zone中配置

interface:根据接收数据包的网卡过滤

service:根据服务名过滤(实际是查找服务关联的端口,根据端口过滤),一个service可以配置到多个zone中

port:根据端口过滤

icmp-block:icmp报文过滤,可按照icmp类型设置

masquerade:ip地址伪装,即将接收到的请求的源地址设置为转发请求网卡的地址(路由器的工作原理)

forward-port:端口转发

rule:自定义规则,与iptables配置接近。rule结合--timeout可以实现一些有用的功能,比如可以写个自动化脚本,发现异常连接时添加一条rule将相应地址drop掉,并使用--timeout设置时间段,过了之后再自动开放

数据包的处理流程

firewalld提供了9个zone,过滤规则优先级决定进来的数据包会由哪个zone来处理,处理进来数据包的流程如下:

1、如果进来的数据包的源地址被drop或block这两个zone的source规则匹配,那么这个数据包不会再去匹配interface规则。如果数据包的源地址没有被drop和block两个zone的source规则匹配,而是被其它zone的source规则匹配,那么数据包将会被该zone处理。

2、如果数据包通的接口被drop或block这两个zone的interface规则匹配,则不会交给默认zone处理。如果数据包通的接口没有被drop和block 两个zone的interface规则匹配,而是被其它zone的interface规则匹配,那么数据包将会被该zone处理。

3、如果数据包没有被source规则和interface规则匹配,将会被默认zone处理(由/etc/firewalld/firewalld.conf中的配置项DefaultZone设置)。



Tags:CentOS8 防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
简介在CentOS 8采用firewalld管理netfilter子系统,默认情况,firewall的后端是nftables,而非iptables,底层调用的是nft命令,而非iptables命令。不同的防火墙软件相互间存在冲突,使...【详细内容】
2019-11-21  Tags: CentOS8 防火墙  点击:(463)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条