firewalld中理解直接规则和富语言
- firewalld 中理解直接规则
firewalld提供了‘direct interface” (直接接口), 它允许管理员手动编写的iptables. ip6tables 和ebtables规则插入firewalld管理的区域中,适用于应用程序,而不是用户。如果对iptables不太熟.不建议使用直接接口,可能会无意中导致防火墙被入侵。firewalld 保持对所增加项目的追踪,所以它还能质询firewalld 和发现使用直接端口模式的程序造成的更改。直接端口通过firewall-cmd 命令中的-- -direct选项实现。除非将直接规则显式插入firewalld管理的区域,否则将首先解析直接规则,然后解析其他firewalld规则。执行以下命令即可添加一些直接规则以将某个IP范围列入黑名单。
2.使用富语言
firewalld的富语言(rich language)提供了一种不需要了解iptables语法的通过高级语言配置复杂IPv4和IPv6防火墙规则的机制,为管理员提供了一种表达性语言.通过这种语言可以表达firewalld的基本语法中未涵盖的自定义防火墙规则。例如,仅允许从单个IP地址(而非通过某个区域路由的所有IP地址)连接到服务。
富规则可用于表达基本的允许/拒绝规则,也可以用于配置记录(面向syslog 和auditd),以及端口转发、伪装和速率限制。下面是表达富规则的基本语法:
规则的每个单一元素都能够以option=value的形式来采用附加参数。
1)规则排序
一旦向某个区域(一 般是指防火墙)中添加了多个规则,规则的排序会在很大程度上影响防火墙的行为。对于所有的区域,区域内的规则的基本排序是相同的。如果区 域中的任何规则与包均不匹配,通常会拒绝该包,但是区域可能具有不同的默认值。例如,可信区域(trusted) 将接收任何不匹配的包。此外,在匹配某个记录规则后,将继续正常处理包。
直接规则是个例外。大部分直接规则将首先进行解析,然后由firewalld 进行其他处理,但是直接规则语法允许管理员在任何区域中的任何位置插入任何规则。
2)测试和调试
为了便于测试和调试,几乎所有规则都可以与超时一起添加到运行时配置。当包含超时的规则添加到防火墙时,计时器便针对该规则开始倒计时,-旦规则的计时器达到0秒,便从运行时配置中删除该规则。
在使用远程防火墙时,使用超时会是-种极其有用的工具,特别是在测试更复杂的规则集时。如果规则有效,则管理员可以再次添加该规则;如果规则没有按照预期运行,甚至可能将管理员锁定而使其无法进入系统,那么规则将被自动删除,以允许管理员可以继续工作。
通过在启用规则的firewall-cmd命令的结尾追加选项–timeout= .可向运行时规则中添加超时。
3.理解富规则命令
firewall-cmd有四个选项可以用于处理富规则,所有这些选项都可以同常规的–permanent或-- -zone=选项组合使用,具体选项见表3-1.
任何已配置的富规则都会显示在firewall-cmd --list-all和firewall-cmd --list- all _zones的输出结果中。具体语法解释如下所示。
4.规则配置举例
(1) 为认证报头协议AH使用新的IPv4和IPv6 连接。
[root@gateway-server ~]# firewall-cmd --add-rich- rule= ’ rule protocol value=ah accept’
success
(2) 允许新的IPv4和IPv6连接FTP, 并使用审核每分钟记录一 次。
(3) 允许来自192.168.0.0/24地址的TFTP协议的IPv4连接,并且使用系统日志每分钟记录一次。
(4) 为RADIUS协议拒绝所有来自1 :2:3:4:6::的新IPv6 连接,日志前缀为 "dns”, 级别为"info”, 并每分钟最多记录3次。接受来自其他发起端新的IPv6连接。
(5) 将源192.168.2.2地址加入白名单,以允许来自这个源地址的所有连接。
(6) 拒绝来自public区域中IP地址192.168.0.11的所有流量,
[ root@gateway-server ~]# firewall- -cmd --zone public – add-rich- -rule= ’ rule family =ipv4 source address= 192.168.0.11/32 reject’
success
(7) 丢弃来自默认区域中任何位置的所有传入的ipsec esp协议包。
(8) 在192.168.1.0/24子网的dmz区域中,接收端口7900~ 7905的所有TCP包。
(9)接收从work区域到SSH的新连接,以notice级别且每分钟最多三条消息的方式将新连接记录到syslog.
(10) 在接下来的5min内,拒绝从默认区域中的子网192.168.2.0/24到DNS的新连接,并且拒绝的连接将记录到audit系统,且每小时最多一条消息。
firewalld中理解直接规则和富语言相关推荐
- firewalld 端口、富规则
概述 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用. 本章节内将会分别使用iptables.firewall-c ...
- Firewalld中的whitelist并不是规则白名单
原文地址:http://www.excelib.com/article/292/show whitelist的含义 白名单跟防火墙结合在一起大家很容易将其理解为规则白名单,不过在Firewalld中w ...
- (转)理解SQLSERVER中的排序规则
在论坛发帖描述这样一个现象: 通过SSMS向SQL Server 2005中插入中文数据后,查询出来的结果是???,根本就不显示中文.用图形化和Insert语句后结果也是一样,使用查询分析器操作,情况 ...
- html类名定义规则_好程序员分享Java语言中的标识符规则
好程序员分享Java语言中的标识符规则,在编程过程中,经常需要在程序中定义一些符号来标记一些名称,如包名.类名.方法名.参数名.变量名等,这些符号被称为标识符.标识符可以由任意顺序的大小写字母.数字. ...
- 理解原型设计模式以及JavaScript中的原型规则
原型规则 原型规则 所有的引用类型(数组.对象.函数),都具有对象特征,即可自由扩展属性: var arr = []; arr.a =1; 所有的引用类型都有对象的特性,即可自由扩展 所有的引用类型都 ...
- python 语言变量命名规则的是_Python中变量命名规则有哪些
Python中变量命名规则有哪些 发布时间:2020-09-24 13:05:21 来源:亿速云 阅读:72 今天就跟大家聊聊有关Python中变量命名规则有哪些,可能很多人都不太了解,为了让大家更加 ...
- c语言整形提升规则,C语言进阶:整型提升
几乎每个程序员都学过C,而且大多数在他们的工作中使用C.很显然C是TIOBE(2012年11月时排榜首)上最流程的编程语言之一.然而,有时,C的行为会让人意外和困惑.其中一个例子就是**整型提升**. ...
- 机器学习中的范数规则化之L0、L1、L2范数
我的博客中参考了大量的文章或者别的作者的博客,有时候疏忽了并未一一标注,本着分享交流知识的目的,如果侵犯您的权利,这并非我的本意,如果您提出来,我会及时改正. 本篇博客主要是为了解决机器学习中的过拟合 ...
- 带你深度剖析《数据在内存中的存储》——C语言
文章目录 一.数据类型介绍 二.整型在内存中的存储方式 2.1 原码.反码.补码的讲解 2.2 大小端介绍 2.2.1 大小端的概念 2.2.2 为什么要区分大小端存储呢? 2.2.3 大小端判断练习 ...
最新文章
- 小米某程序员的忧虑:感觉互联网这两年要凉,突然想回家种地
- Openstack 小知识点
- 程序员面试题精选100题(42)-旋转数组的最小元素[算法]
- BJFU 质数相关
- [\u4e00-\u9fa5] //匹配中文字符
- 商丘高中计算机考试成绩查询系统,河南省中招考生服务平台2019商丘中考成绩查询系统入口...
- Mybatis中的延迟加载的使用方法
- addEventListener监听
- 思科、华为等四大厂商网络工程师面试题汇总+解析(第1期)
- 去他妈的某日葵,老子自建服务器搭建远程控制.
- 前端数组如何传到后台
- Fedora 17正式版 亮点抢先体验
- 数字金字塔php,数字金字塔
- securecrt连接不上vmware
- 诱饵扫描_这是标题点击诱饵吗
- 读计算机视觉life文章的总结(个人用2022.03.10)
- ASEMI-SL1550超低压降肖特基二极管型号
- 信息学奥赛一本通 1369 合并果子
- ipv6 ND neighbor
- Python day04——列表、元组、字典