当前位置:网站首页>firewall高级配置
firewall高级配置
2022-08-08 15:23:00 【征服bug】
一,IP地址伪装
地址伪装可以实现局域网多个地址共享单一公网地址上网。
二,端口转发
可以通过端口转发将私网地址的服务器发布到公网
三,富规则命令
选项 | 说明 |
--add-rich-rule=‘RULE’ | 向指定区域中添加RULE,如果没有指定区域,则为默认区域 |
--remove-rich-rule=‘RULE’ | 从指定区域中删除RULE,如果没有指定区域,则为默认区域 |
--query-rich-rule=‘RULE’ | 查询RULE是否已添加到指定区域,如果未指定区域,则为默认区域。规则存在,则返回0,否则返回1 |
--list-rich-rules | 输出指定区域的所有富规则,如果未指定区域,则为默认区域 |
四,规则配置举例
1.为认证报头协议AH使用新的IPv4和IPv6连接
[[email protected] ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
success
2.允许新的IPv4和IPv6连接FTP,并使用审核每分钟记录一次
[[email protected] ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
success
3.允许来自192.168.0.0/24地址的TFTP协议的IPv4连接,并且使用系统日志每分钟记录一次
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="xftp" level="info" limit value="1/m" accept'
success
4.为RADIUS协议拒绝所有来自1:2:3:4:6::的新IPv6连接,日志前缀为“dns”,级别为“info”,并每分钟最多记录3次。接受来自其他发起端新的IPv6连接
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
success
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
success
5.将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
success
6.拒绝来自public区域中IP地址192.168.0.11的所有流量
[[email protected] ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
success
7.丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包
[[email protected] ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
success
8.在192.168.1.0/24子网的dmz区域,接受端口7900-7905的所有TCP包
[[email protected] ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
success
9.接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog。
[[email protected] ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
success
10.在接下来的5min内,拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,且每小时最多一条信息。
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
success
边栏推荐
猜你喜欢
![[内部资源] 想拿年薪30W的软件测试人员,这份资料必须领取](/img/fe/486484a17df8e79ef16f37ce8b450f.png)
随机推荐
ThinkPHP3.2链接带中文参数乱码导致分页数据错误
进程和线程
你真的会软件测试bug分析定位嘛
依赖传递和依赖调解
hdu2475 Box
MySQL清除表数据 id重置
bzoj2816 [ZJOI2012]网络
返回分页查询分类并统计多对多关系表中各分类下的应用数量
bandanas Kerchief头巾是何含义?
MySQL中UNION和UNION ALL的区别
大佬们,sqlserver-cdc任务报错这个,大家遇到过吗Caused by: org.apac
Guanghong Technology: The company provides manufacturing services for Xiaomi, Samsung, OPPO, Nokia and other products in India
腾讯又一长达 8 年的服务下架。。。
并发请求如何优雅地处理重复请求
leetcode/delete the nth node from the bottom of the linked list
看到这个应用上下线方式,不禁感叹:优雅,太优雅了!
bzoj2816 [ZJOI2012] Network
什么是低代码开发?大家都真的看好低代码开发吗?
CS231n: 6 training neural network (2)
HMS Core Analysis Service Intelligent Operation Version 6.5.1 Launched