当前位置:网站首页>firewall高级配置
firewall高级配置
2022-08-08 15:23:00 【征服bug】
一,IP地址伪装
地址伪装可以实现局域网多个地址共享单一公网地址上网。
二,端口转发
可以通过端口转发将私网地址的服务器发布到公网
三,富规则命令
选项 | 说明 |
--add-rich-rule=‘RULE’ | 向指定区域中添加RULE,如果没有指定区域,则为默认区域 |
--remove-rich-rule=‘RULE’ | 从指定区域中删除RULE,如果没有指定区域,则为默认区域 |
--query-rich-rule=‘RULE’ | 查询RULE是否已添加到指定区域,如果未指定区域,则为默认区域。规则存在,则返回0,否则返回1 |
--list-rich-rules | 输出指定区域的所有富规则,如果未指定区域,则为默认区域 |
四,规则配置举例
1.为认证报头协议AH使用新的IPv4和IPv6连接
[[email protected] ~]# firewall-cmd --add-rich-rule='rule protocol value=ah accept'
success
2.允许新的IPv4和IPv6连接FTP,并使用审核每分钟记录一次
[[email protected] ~]# firewall-cmd --add-rich-rule='rule service name=ftp log limit value=1/m audit accept'
success
3.允许来自192.168.0.0/24地址的TFTP协议的IPv4连接,并且使用系统日志每分钟记录一次
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="xftp" level="info" limit value="1/m" accept'
success
4.为RADIUS协议拒绝所有来自1:2:3:4:6::的新IPv6连接,日志前缀为“dns”,级别为“info”,并每分钟最多记录3次。接受来自其他发起端新的IPv6连接
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" service name="radius" log prefix="dns" level="info" limit value="3/m" reject'
success
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv6" service name="radius" accept'
success
5.将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.2.2" accept'
success
6.拒绝来自public区域中IP地址192.168.0.11的所有流量
[[email protected] ~]# firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
success
7.丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包
[[email protected] ~]# firewall-cmd --add-rich-rule='rule protocol value="esp" drop'
success
8.在192.168.1.0/24子网的dmz区域,接受端口7900-7905的所有TCP包
[[email protected] ~]# firewall-cmd --zone=dmz --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=7900-7905 protocol=tcp accept'
success
9.接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog。
[[email protected] ~]# firewall-cmd --zone=work --add-rich-rule='rule service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
success
10.在接下来的5min内,拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,且每小时最多一条信息。
[[email protected] ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.2.0/24 service name=dns audit limit value="1/h" reject' --timeout=300
success
边栏推荐
- 大佬们,这个测试demo只能获取到全量数据,不能获取增量,我的mysql 已经开启了row模式的bi
- 【控制】动力学建模举例 --> 拉格朗日法
- 什么是低代码开发?大家都真的看好低代码开发吗?
- codeforces 444C DZY Loves Colors
- Guanghong Technology: The company provides manufacturing services for Xiaomi, Samsung, OPPO, Nokia and other products in India
- Mx_yolov3环境配置+模型测试训练
- Kubernetes-Basics-Common Commands
- Shell三剑客之sed命令详解
- 消除游戏中宝石下落的原理和实现
- 一文搞懂│XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持
猜你喜欢
随机推荐
消除游戏中宝石下落的原理和实现
技术分享 | 接口自动化测试之JSON Schema模式该如何使用?
分布式服务治理
leetcode--541. 反转字符串II
codeforces 444C DZY Loves Colors
Mysql数据库入门学习笔记
MySQL清除表数据 id重置
【控制】动力学建模简介 --> 牛顿-欧拉 (Newton-Euler) 法和拉格朗日 (Lagrange) 法
bzoj3262 Flowers bloom on Mo
Tungsten Fabric SDN — OpenStack 与 Kubernetes 异构集群统一 SDN 方案
Introduction to Recurrent Neural Network (RNN)
CS231n:6 训练神经网络(一)
Introduction to Power BI
《流浪方舟》首发重现,点我试玩
返回分页查询分类并统计多对多关系表中各分类下的应用数量
优雅地实时检测和更新 Web 应用
【系统设计】S3 对象存储
Power BI简介
web-sql注入
如何选择ui设计机构