kali 服務篇-firewalld 學習筆記
阿新 • • 發佈:2022-05-12
firewalld簡介
防火牆主要用於保護一個網路區域免受來自另一個網路區域的網路攻擊和網路入侵行為。因其隔離、防守的屬性,靈活應用於網路邊界、子網隔離等位置,具體如企業網路出口、大型網路內部子網隔離、資料中心邊界等等。
Firewalld提供了支援網路/防火牆區域(zone)定義網路連結以及介面安全等級的動態防火牆管理工具。
firewalld服務控制
firewalld在EL7之後系列已預設安裝
firewalld服務的啟動與關閉一般涉及到如下命令:
systemctl start firewalld #啟動firewalld服務 systemctl stop firewalld #關閉firewalld服務 systemctl restart firewalld #重啟firewalld服務 systemctl status firewalld #檢視firewalld服務狀態 firewall-cmd --state #檢視firewalld服務狀態 systemctl disable firewalld #firewalld開機自動關閉 systemctl enable firewalld #firewalld開機自動開啟
PS: 其中systemctl status firewalld和firewall-cmd --state都是檢視firewalld的狀態,兩則區別在於systemctl status firewalld是檢視服務啟動詳情,如出服務執行出現問題可以使用此命令進行檢視,而firewall-cmd --state只是檢視firewalld是否執行。
Firewalld 區域(zone)
firewalld加入了區域概念,區域可以理解為一個信賴等級,將一些配置好策略的模板劃分為9種,每個模板的規則都不相同,同樣每個模板中的過濾強度也不一樣。每個區域除預設的規則,也可以新增或者修改刪除實際環境所需要的規則。
firewalld區域預設有9種,以下對各個預設配置進行簡單的解釋以供參考:
| 區域 | 預設配置介紹 |
|---|---|
| trusted | 允許所有的資料包進出 |
| home | 專門用於家庭環境,僅接收ssh、mdns、ipp-client、samba-client與dhcpv6-client等服務流量 |
| Internal | 只有通過被允許的連線,和home區域一樣。 |
| work | 定義內部網路,僅接收ssh、ipp-client與dhcpv6-client等服務流量。 |
| public | 只接受那些被允許的連線,預設只允許 ssh 和 dhcpv6-client,這個也是預設區域。 |
| external | 相當於路由器的啟用偽裝(masquerading)選項。只有指定被允許的連線會被接受,預設只有SSH |
| dmz | 僅接受ssh服務連線 |
| block | 拒絕所有網路連線 |
| drop | 拒接所有的網路連線,並且所有資料包都給丟棄,沒有任何回覆。 |