碼上快樂

相關內容    簡體    繁體

linux firewalld防火牆-富規則

本文轉載自   查看原文   2022-02-11 10:23   1658    centos7-系統/ linux

富規則官方文檔 https://firewalld.org/documentation/man-pages/firewalld.richlanguage.html
可表達firewalld的基本語法中未涵蓋的自定義防火牆規則

語法

	[source]				
	[destination]				
	service|port|protocol|icmp-block|masquerade|forward-port				
	[log]				
	[audit]				
	[accept|reject|drop|mark]				DROP 的動作是丟包,不響應;REJECT 是拒絕請求,同時向發送方回送拒絕信息
	
              說明:	
		source		
		指定源地址,可以是一個ipv4/ipv6的地址或網段,不支持使用主機名。		
				
		destination		
		指定目的地址,用法和source相同。		
				
		service		
		服務名稱是 f irewalld 提供的其中一種服務。要獲得被支持的服務的列表,輸入以下命令:		
		firewall-cmd --get-services 。命令為以下形式:		
		service name=service_name		
				
		port		
		端口既可以是一個獨立端口數字,又或者端口范圍,例如,5060-5062。協議可以指定為 tcp 或		
		udp 。命令為以下形式:		
		port port=number_or_range protocol=protocol		
				
		protocol		
		協議值可以是一個協議 ID 數字,或者一個協議名。預知可用協議,請查閱 /etc/protocols。		
		命令為以下形式:		
		protocol value=protocol_name_or_ID		
				
		icmp-block		
		用這個命令阻絕一個或多個ICMP類型。IC MP 類型是 firewalld支持的ICMP類型之一。		
		要獲得被支持的ICMP類型列表,輸入以下命令: firewall-cmd --get-icmptypes		
		icmp-block在內部使用 reject 動作,因此不允許指定動作。命令為以下形式:		
		icmp-block name=icmptype_name		
				
		masquerade		
		打開規則里的 IP 偽裝。用源地址而不是目的地址來把偽裝限制在這個區域內。不允許		
		指定動作。		
				
		forward-port		
		從一個帶有指定為 tcp 或 udp 協議的本地端口轉發數據包到另一個本地端口,或另一台		
		機器,或另一台機器上的另一個端口。port 和 to-port 可以是一個單獨的端口數字,或一個		
		端口范圍。而目的地址是一個簡單的 IP 地址。不允許指定動作,命令使用內部動作		
		accept 。命令為以下形式:		
		forward-port port=number_or_range protocol=protocol /		
		to-port=number_or_range to-addr=address		
				
		log		
		注冊含有內核記錄的新連接請求到規則中,比如系統記錄。你可以定義一個前綴文本,		
		記錄等級可以是 emerg、alert、crit、error、warning、notice、info 或者 debug 中的		
		一個。命令形式:		
		log [prefix=prefix text] [level=log level] limit value=rate/duration		
		(等級用正的自然數 [1, ..] 表達,持續時間的單位為 s 、 m 、 h 、 d 。 s 表示秒, m 表示		
		分鍾, h表示小時, d 表示天。最大限定值是 1/d ,意為每天最多有一條日志進入。)		
				
		audit		
		審核為發送到 aud i td 服務的審核記錄來注冊提供了另一種方法。審核類型可以是		
		ACCEPT、REJECT或DROP中的一種,但不能在 audit命令后指定,因為審核類型將會從規		
		則動作中自動收集。審核不包含自身參數,但可以選擇性地增加限制。審核的使用是可選		
		擇的。選擇 accept 所有新的連接請求都會被允許。選擇 reject ,連接將被拒絕,連接來源		
		將接到一個拒絕信息。拒絕的類型可以被設定為使用另一種值。選擇 drop , 所有數據		
		包會被丟棄,並且不會向來源地發送任何信息。		
	
	選項			說明		
	--add-rich-rule='rule'			向指定區域中添加rule。		
	--remove-rich-rule='rule'			從指定區域刪除rule。		
	--query-rich-rule='rule'			查詢rule是否添加到指定區域,如果存在則返回0,否則返回1。		
	--list-rich-rules			輸出指定區域的所有富規則。

示例

	rule family="ipv4" source address="10.0.0.1/32" forward-port port="5555" protocol="tcp" to-port="22" to-addr="10.0.0.7" --permanent					
					
					
	# 針對IP開放指定端口				
		firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="211.23.142.80" port protocol="tcp" port="80" accept"				
		firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.186.5.90" port protocol="tcp" port="80" accept"				
					
	# 針對IP				
		firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.233" accept"				
		firewall-cmd --permanent --removeadd-rich-rule="rule family="ipv4" source address="192.168.0.233" accept"				
	 				
	# 針對ip段				
		firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"				
		firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"				
		firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept"				
						
		firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.186.7.0/24" drop" --timeout=10				
					
	# 當用戶來源IP地址是10.0.0.1主機,則將用戶請求的5555端口轉發至后端172.16.1.7的22端口					
		firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1 forward-port port=5555 protocol=tcp to-port=22 to-addr=172.16.1.7'					
					
	未驗證:
		# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.122.0" accept'	
		允許192.168.122.0/24主機所有連接。	

		# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'	
		每分鍾允許2個新連接訪問ftp服務。

		# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'	
		同意新的 IP v4 和 IP v6 連接 FT P ,並使用審核每分鍾登錄一次。

		# firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.122.0/24"	
		service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'	
		允許來自192.168.122.0/24地址的新 IPv4連接連接TFTP服務,並且每分鍾記錄一次。

		# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'	
		丟棄所有icmp包	
			
		# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.122.0/24 reject' --	
		timeout=10	
		當使用source和destination指定地址時,必須有family參數指定ipv4或ipv6。如果指定超時,	
		規則將在指定的秒數內被激活,並在之后被自動移除。

		# firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service	
		name="dns" audit limit value="1/h" reject' --timeout=300	
		拒絕所有來自2001:db8::/64子網的主機訪問dns服務,並且每小時只審核記錄1次日志。	

		# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source	
		address=192.168.122.0/24 service name=ftp accept'	
		允許192.168.122.0/24網段中的主機訪問ftp服務	
		
		# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port	
		to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'	
		轉發來自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 Linux之firewalld防火牆規則 linux系統中firewalld防火牆策略工具firewall-config命令設置富規則 firewalld防火牆命令規則設置 CentOS7 firewalld防火牆規則 Linux防火牆配置(iptables, firewalld) Linux下的firewalld防火牆管理 防火牆之firewalld Linux防火牆配置(iptables, firewalld) Linux防火牆firewalld安全設置 firewalld防火牆
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM