安科网

Firewalld--02 端口访问/转发、服务访问、源地址管理

leodengzx

leodengzx

2019-12-10

关注 关注

目录

防火墙端口访问/转发、服务访问、源地址管理

1. 防火墙端口访问策略

使用Firewalld允许客户请求的服务器的80/tcp端口,仅临时生效,如添加--permanent重启后则永久生效

1). 临时添加允许放行单个端口

[ ~]# firewall-cmd --add-port=80/tcp
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports: 80/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

2). 临时添加放行多个端口

[ ~]# firewall-cmd --add-port={443/tcp,3306/tcp}
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports: 80/tcp 443/tcp 3306/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

3). 永久添加多个端口,需要添加--permanent,并且需要重载Firewalld

[ ~]# firewall-cmd --add-port={80/tcp,443/tcp} --permanent
success
[ ~]# firewall-cmd --reload
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

4). 通过--list-ports检查端口放行情况

[ ~]# firewall-cmd --list-ports
80/tcp 443/tcp

5). 移除临时添加的端口规则

[ ~]# firewall-cmd --remove-port={80/tcp,443/tcp}
success
[ ~]# firewall-cmd --list-ports
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[ ~]# firewall-cmd --reload
success
#重启之后又回来了,因为之前设置了永久
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

2. 防火墙服务访问策略

使用Firewalld允许客户请求服务器的http https协议,仅临时生效,如添加--permanent重启后则永久生效

1). 临时添加允许放行单个服务

[ ~]# firewall-cmd --add-service=http
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

2). 临时添加放行多个服务

[ ~]# firewall-cmd --add-service={http,https,mysql}
Warning: ALREADY_ENABLED: 'http' already in 'public'
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http https mysql
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

3). 永久添加多个服务,需要添加--permanent,并且需要重Fiirewalld

[ ~]# firewall-cmd --add-service={http,https} --permanent
success
[ ~]# firewall-cmd --reload
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http https
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

4).通过--list-services检查端口放行情况

[ ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client http https

5). 移除临时添加的http、https协议

[ ~]# firewall-cmd --remove-service={http,https}
success
[ ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
[ ~]# firewall-cmd --reload
success
#重启之后,设置又回来了
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client http https
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

#永久移除
[ ~]# firewall-cmd --remove-service={http,https} --permanent
success
[ ~]# firewall-cmd --reload
success
[ ~]# firewall-cmd --zone=public --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh dhcpv6-client
ports: 80/tcp 443/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

6).如何添加一个自定义端口,转其为对应的服务

#1.拷贝相应的xml文件
[ ~]# cd /usr/lib/firewalld/services/
[ /usr/lib/firewalld/services]# cp http.xml test.xml
#2.修改端口为11211
[ /usr/lib/firewalld/services]# cat test.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>WWW (test)</short>
<description>test is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.</description>
<port protocol="tcp" port="11211"/>
</service>

#3.防火墙增加规则
[ ~]# firewall-cmd --permanent --add-service=test
success
[ ~]# firewall-cmd --reload
success
[ ~]# firewall-cmd --list-services
ssh dhcpv6-client test

#4.安装memcached, 并监听11211端口
[ ~]# systemctl start memcached
[ ~]# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:11211 0.0.0.0:* LISTEN 9911/memcached

#5.测试验证
[C:\~]$ telnet 10.0.0.6 11211
Connecting to 10.0.0.6:11211...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.

3.防火墙接口管理

#查看接口在哪个zone下面

[ ~]# firewall-cmd   --get-zone-of-interface=eth0
public
[ ~]# firewall-cmd   --get-zone-of-interface=eth1
public

#移除eth1接口
[ ~]# firewall-cmd  --remove-interface=eth1
success

[ ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

#添加一个接口
[ ~]# firewall-cmd   --add-interface=eth0
success
[ ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
    
[ ~]# firewall-cmd --get-zone-of-interface=eth1
no zone

#将接口跟zone进行相关联
[ ~]# firewall-cmd  --change-interface=eth0   --zone=public
success
[ ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

4.防火墙源地址管理

#禁用一个ip地址的所有访问

[ ~]# firewall-cmd   --add-source=10.0.0.8/32   --zone=drop
success

[ ~]# firewall-cmd  --get-active-zone
drop
  sources: 10.0.0.8/32
public
  interfaces: eth0

#禁用一个网段

[ ~]# firewall-cmd  --add-source=10.0.0.0/24  --zone=drop
success

[ ~]# firewall-cmd  --get-active-zone
drop
  sources: 10.0.0.8/32 10.0.0.0/24
public
  interfaces: eth0
  
#允许一个ip地址访问所有

[ ~]# firewall-cmd   --add-source=10.0.0.8/32  --zone=trusted
success
[ ~]# firewall-cmd   --get-active-zone
public
  interfaces: eth0
trusted
  sources: 10.0.0.8/32

#移除ip地址

[ ~]# firewall-cmd  --remove-source=10.0.0.8/32  --zone=trusted
success
[ ~]# firewall-cmd   --get-active-zone
public
  interfaces: eth0

5. 防火墙端口转发策略

端口转发是指传统的目标地址映射,实现外网访问内网资源,流量转发命令格式为:

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

如果需要将本地的10.0.0.61:5555端口转发至后端172.16.1.9:22端口
Firewalld--02 端口访问/转发、服务访问、源地址管理

1. 开启masquerade,实现地址转换
[ ~]# firewall-cmd --add-masquerade --permanent
success

2. 配置转发规则
[ ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=10.0.0.7
success
[ ~]# firewall-cmd --reload
success

3. 验证测试
[C:\~]$ ssh  5555

Connecting to 10.0.0.6:5555...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.


Last failed login: Sun Dec 8 18:59:01 CST 2019 from 10.0.0.100 on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Sun Dec 8 17:21:54 2019 from 10.0.0.1
[ ~]# ip a s eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:0c:29:2a:a7:17 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.7/24 brd 10.0.0.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe2a:a717/64 scope link
valid_lft forever preferred_lft forever

端口转发 服务器端口

leodengzx

leodengzx

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

C# 服务器发送邮件失败

  25端口是为SMTP协议服务开放的,是这三个端口中最老的一个。25端口也称为消息中继端口,因为这个端口经常被恶意利用,所以现在这个端口主要用于邮件服务器之间的消息转发,而且现在国内的云服务器如阿里云腾讯云等等都是默认禁用25端口的。  587端口是邮件

OwenJi 2020-03-01

超详细!以太网交换机安全功能介绍

今天来给大家讲讲以太网交换机安全功能介绍。交换机作为局域网中最常见的设备,在安全上面临着重大威胁,这些威胁有的是针对交换机管理上的漏洞,攻击者试图控制交换机。有的针对的是交换机的功能,攻击者试图扰乱交换机的正常工作,从而达到破坏甚至窃取数据的目的。交换机通

xuezhengyyy 2020-02-15

记录一次服务器防火墙开放端口,参考了网上一位网友的方法可行,在此记录一下

在虚拟机 CentOS 7 上装了 Nginx,结果发现另一台电脑无法访问其默认页面,通过 telnet 192.168.1.88 80 监听发现是 http 80 端口被 CentOS 7 的防火墙 Firewalld给阻止通信了。接下来就讲下如何添加防

huangzonggui 2020-01-30

Linux端口转发的几种常用方法

本文转载自公众号“Bypass”。在一些实际的场景里,我们需要通过利用一些端口转发工具,比如系统自带的命令行工具或第三方小软件,来绕过网络访问限制触及目标系统。本文总结了Linux端口转发的一些常用方法。CentOS 7.0 以下使用的是iptables,

farwang 2020-08-25

win10下用ssh做端口转发时因为localhost解析引起的失败

这个命令在win7下面跑没有问题,但是win10下面跑,就总是不能成功。加上-v -v -v参数查看ssh的输出日志,发现存在read failed, write failed等日志。后面通过网络搜索得到提示,是不是localhost的解析不对。执行 pi

BraveWangDev 2020-08-19

SSH原理常见应用升级及端口转发

SSH是Secure Shell Protocol的简写,由IETF网络工作小组指定;在进行数据传输之前,SSH先对联机数据包通过加密技术进行加密处理,加密后在进行数据传输。确保了传递的数据安全.SSH是专为远程登录会话和其他网络服务提供的安全性协议。利用

ThinkBigWinBig 2020-06-13

虚拟机开启外部访问,让别人可以直连本地虚拟机 Centos

填充主机映射的端口、要映射的虚拟机地址、虚拟机端口。  4.1   防火墙设置面板→高级设置→入站规则→新建规则→[端口] 下一步→[特定本地端口]下一步→[允许连接]下一步→全选 下一步→起个名字→完成

Wytheme 2020-06-11

端口转发&amp;代理学习

在1上运行如下命令,让1的1234端口与2的22端口相连。如果渗透过程中,让2做代理,就可以直接攻击其他2可以访问的内网机器了。然后我们也可以只转发3号机的一个端口,这个时候本机的1234端口就等于是3号机的80端口了。这里sshhost就可以直接在本地访

LiHansiyuan 2020-06-06

静态路由与默认路由配置

路由器上的每个接口是一个广播域;交换机上的每个接口是一个冲突域;

JiangMengYa 2020-05-15

Nginx实现同一端口HTTP跳转HTTPS

要实现http强制转https是非常简单的事,随便都可以找到很多方案。使用非默认端口时这就变得有点麻烦了。曾经看过一篇文章讲述如何让http 和https 在一个端口上工作。这种方式非常强悍,但如果仅仅是让http跳转到https有点杀鸡用牛刀的感觉。由此

yongzhang 2020-05-04

linux下最简单好用的的端口转发工具

说明一下将所有发往本机8080端口的请求转发到172.19.94.3的8080端口将所有发往本机2222端口的请求转发到192.168.0.103的3389端口将所有发往1.2.3.4的80端口请求转发到192.168.0.10的80端口。启动程序pkil

wintelx 2020-04-20

k8s资源对象-ingress通俗理解及配置使用

简单理解,ingress就是将pod所提供的服务暴露出来,能够让k8s集群外部访问到对应的服务。我仔细琢磨了下,k8s的设计思想就是将整个k8s集群作为逻辑上的一台主机,每个pod相当于一个或一组相关进程。之前称呼的ingress有些不严谨,ingress

wvfeng 2020-04-16

CentOS 7下用firewall-cmd控制端口与端口转发

1.firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=80802.开启防火墙伪装:firewall-cmd --add-masqu

85407718 2020-02-26

Windows端口转发

Windows下端口转发,以实现远程端口3389为例场景如下先说明一下场景,服务器A处于局域网环境内,IP为192.168.1.200,服务器A中安装有不同网段的虚拟机B,IP为192.168.137.2。A可实现对B的远程,但A同网段的其他机器无法pin

OwenJi 2020-02-16

交换机 STP协议

2,为了防止单点断开,就要做冗余,所以就会产生环路,环路产生后,就会产生广播风暴。使用,交换机 STP协议 ,可以解决上面的问题。cisco交换机默认是开启STP功能的。如何选择阻塞哪个端口呢,根据选举规则。交换机在广播域发送类似hello包的东西,叫bp

TinyDolphin 2020-01-19

小白网络基础大杂烩

学了一些linux下的网络相关的命令,但是网络本身是啥,不知道啊,交换机可以识别mac地址,不能识别ip地址。通过mac地址转发数据。是对网络进行集中管理的最小单元。HUB是一个共享设备,主要提供信号放大和中转的功能,这个数据被以广播的方式发送到hub上的

sansan 2020-01-10

Nginx做虚拟主机

Nginx还有一个主要功能就是做虚拟主机,就是配置多个server,每一个server代理一个upstream. 一个常用的方法是用 Nginx 进行端口转发。Nginx 的实现原理是:用 Nginx 监听 80 端口,当有 HTTP 请求到来时,将 HT

Strongding 2020-01-06

SSH原理与运用(二):远程操作与端口转发

SSH不仅可以用于远程主机登录,还可以直接在远程主机上执行操作。单引号中间的部分,表示在远程主机上执行的操作;后面的输入重定向,表示数据通过SSH传向远程主机。这就是说,SSH可以在用户和远程主机之间,建立命令和数据的传输通道,因此很多事情都可以通过SSH

iOS开发笔记 2013-06-09

windows网卡数据转发

有时候需要将一个网卡的请求转发到另外一张与服务器相连的网卡。下面的代码在windows下运行后可以讲172.20.53.1的14941端口转发到172.20.53.2的3389端口上。netsh interface ipv6 installnetsh in

onlykg 2019-12-26

vagrant配置端口转发

一般我们在win通过vagrant 来作为环境开发,都是通过端口映射来通信,config.vm.network "forwarded_port", guest: 80, host: 80, host_ip: "127.0.0.

空之轨迹约修亚 2019-12-25
leodengzx

leodengzx

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号