Linux下双网卡Firewalld的配置流程(推荐)

实验室拟态存储的项目需要通过LVS-NAT模式通过LVS服务器来区隔内外网的服务,所以安全防护的重心则落在了LVS服务器之上。笔者最终选择通过firewalld放行端口的方式来实现需求,由于firewall与传统Linux使用的iptable工具有不小的区别,接下来通过博客来记录一下firewalld的配置流程。

1.Firewall服务的简介:

firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IPv4 和 IPv6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

上述内容是来自RetHat官方文档的说明,看起来不知所云。所以笔者在这里简单介绍一下firewalld的定位与传统的iptable存在什么样的不同:

  • 动态防火墙

firewalld 提供的是动态的防火墙服务。配置的改变可以随时随地立刻执行,不再需要保存或者执行这些改变。而iptable的部分,每一个单独更改意味着要清除所有旧有的规则和从 里读取所有新的规则,相对来说firewalld的方式会更加灵活。

  • 区域隔离

firewalld 提供了区域隔离的服务,也就是说类似于window之中的公共网络与内部网络的区别,可以通过不同的区域的配置对应的规则来实现不同的网络规则服务。通过区域规则的方式,可以让防火墙的工作更加的灵活。

如图所示,firewalld的防火墙本质上是建立在原生的iptable防火墙之上的抽象层,通过定制规则的方式来利用iptable的功能,所以两个防火墙是上下级并行工作的关系,最终都需要落地到内核之中的netfilter来实现网络包的过滤,来简化防火墙的工作流程。(传统iptable的“四表五链”实在是有够复杂~~囧rz)

2.系统环境:

如下图所示,这里需要在LVS的服务器需要部署firewall的防火墙,这里笔者仅简要梳理一下一台LVS服务器的工作:

系统平台:Centos 7

LVS服务器: 双网卡

  • 外网地址:219.223.199.154
  • 内网地址:192.168.1.17

对外服务器:

  • 服务器A:192.168.1.11
  • 服务器B:192.168.1.14

在这里,外网地址之上需要开放的端口为10086端口,通过该端口进行转发。而内网地址之上并不设置限制,我们认为是安全的网络环境。

3.配置流程:

Firewalld的配置可通过三种方式:

  • firewall-config

一个图形化的用户接口的配置工具

  • firewall-cmd

一个命令行的用户接口的配置工具

  • 静态xml文件配置

firewalld 的配置设定存储在/etc/firewalld/ 目录下的 xml 文件里。可以通过查看和编辑这些 xml 文件,来实现firewall的配置。

之后笔者的配置流程主要是基于firewall-cmd命令展开,首先启动firewall服务:

systemctl start firewalld.service //启动firewalld服务

接下来,开放外网网卡的对应的TCP端口,这里笔者选择public区域,也就是双网卡同时开放端口。

firewall-cmd --zone=public --add-port=10086/tcp --permanent

该命令的配置了public区域添加10086的端口,后续的参数--permannet则代表永久添加。也就是一次写入,后续重启之后依然生效。在firewall之中支持如下不同的区域区隔与过滤规则,之后不同的配置可以参考下面的内容:

区域

drop: 丢弃所有进入的包,而不给出任何响应
block: 拒绝所有外部发起的连接,允许内部发起的连接
public: 允许指定的进入连接
external: 同上,对伪装的进入连接,一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接,类似 workgroup
home: 同上,类似 homegroup
internal: 同上,范围针对所有互联网用户
trusted: 信任所有连接

过滤规则

source: 根据源地址过滤
interface: 根据网卡过滤
service: 根据服务名过滤
port: 根据端口过滤
icmp-block: icmp 报文过滤,按照 icmp 类型配置
masquerade: ip 地址伪装
forward-port: 端口转发
rule: 自定义规则

之后通过LVS配置好下图是通过ipvsadm配置好的转发机制:

通过外网尝试连接外网的ip地址,219.223.199.154:10086,发现并无法联通后端服务器的服务,也就是运行在192.168.1.11与192.168.1.14的服务器。

调用ipvsadm -lcn命令之后,发现内网的转发出现了问题:

通过抓包发现LVS服务器在内网网卡192.168.1.17上的通信包被拦截,于是继续通过firewalld-cmd命令开发内网网卡的端口,将内网网卡加入trusted区域:

 firewall-cmd --zone=trusted --add-interface=enp3s0

接下来可以看到开放了对应内网网卡到trusted,trusted区域允许所有通信包放行,因为内网是相对安全的环境,所以并不存在很大的影响,调用:

firewall-cmd --list-all-zones

命令展示firewall的配置结果,public与trusted区域都出于active状态,外网服务能够正常连接内网的端口服务了。

可以看到上述public的设置之中涉及到了对应的ssh服务于dhcpv6-client的服务,在Firewalld之中是可以直接通过服务来放行对应的内容,也就是上文参数service,详细的配置参数需要在目录/usr/lib/firewalld/services之中进行配置,我们尝试打开上文ssh服务的内容:

由上文的配置内容可见:所谓的服务配置防火墙,本身也是通过标注协议与端口的方式进行的,只不过是用服务的逻辑进行包装了。至于使用哪种形式,各位见仁见智了。

小结

梳理了一下在LVS下双网卡Firewalld的配置流程。Debian系列的发行版也是大同小异,只不过Firewalld工具需要自行使用apt-get进行安装。上述内容若有疏漏,望各位指点斧正。

您可能感兴趣的文章:

  • linux 双网卡绑定网络设置方法
  • Linux系统下双网卡配置实践总结
(0)

相关推荐

  • linux 双网卡绑定网络设置方法

    设置linux主机的主机名和域名 /etc/hosts 例子 127.0.0.1 localhost.localdomain localhost 一般情况下hosts的内容关于主机名(hostname)的定义,每行为一个主机,每行由三部份组成,每个部份由空格隔开.其中#号开头的行做说明,不被系统解释. 第一部份:网络IP地址: 第二部份:主机名.域名,注意主机名和域名之间有个半角的点,比如 localhost.localdomain 第二部份:主机名(主机名别名) ,其实就是主机名: 当然每行也

  • Linux系统下双网卡配置实践总结

    前提: 1.不要在虚拟机上配置.不论是vm5还是vm6,本人试过多次,每次都是貌似成功,但用机器ping做断网试验时就会发现真相: 2.必须用同品牌同型号网卡.两块不一样的网卡,按照文档配置完毕后,即使从本机ping外部地址,也会发现网络似乎完全断了: 3.慎用service network restart.配置完毕,试验成功后,避免在双网卡机器上执行网络重启的操作,否则你会发现网络不通了,即使你手工再次执行ifenslave eth0 eth1也只能激活一块网卡. 下面说一下配置: 1.网卡配

  • Linux下双网卡Firewalld的配置流程(推荐)

    实验室拟态存储的项目需要通过LVS-NAT模式通过LVS服务器来区隔内外网的服务,所以安全防护的重心则落在了LVS服务器之上.笔者最终选择通过firewalld放行端口的方式来实现需求,由于firewall与传统Linux使用的iptable工具有不小的区别,接下来通过博客来记录一下firewalld的配置流程. 1.Firewall服务的简介: firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任.它具备对 IPv4 和 I

  • Linux 系统双网卡绑定配置实现

    系统版本 [root@ ~]# cat /etc/redhat-release CentOS release 6.8 (Final) [root@ ~]# uname -r 2.6.32-642.6.1.el6.x86_64 网卡说明 eth0   192.168.1.8(服务器外网卡) eth1 eth2 两块服务器网卡(内网) 关闭防火墙 [root@ ~]# /etc/init.d/iptables stop [root@ ~]# chkconfig iptables off 关闭seli

  • Linux下Docker及portainer相关配置方法

    一.安装使用Docer CE 本文以CentOS 7为例,安装docker CE版本,docker有两种版本,社区版本CE和企业版本EE,此处学习研究以CE版本为例, 两种安装方式可选:1.使用yum安装,2.使用脚本自动安装 系统要求 Docker CE 支持 64 位版本 CentOS 7,并且要求内核版本不低于 3.10. CentOS 7 满足最低内核的要求,但由于内核版本比较低,部分功能(如 overlay2 存储层驱动)无法使用,并且部分功能可能不太稳定. 卸载旧版本 旧版本的 Do

  • Linux下MongoDB的安装和配置教程

    MongoDB安装 选择使用Yum安装 1.制作 repo 文件 cat << EOF > /etc/yum.repos.d/mongodb-org-4.2.repo [mongodb-org-4.2] name=MongoDB Repository baseurl=https://repo.mongodb.org/yum/redhat/7/mongodb-org/4.2/x86_64/ gpgcheck=1 enabled=1 gpgkey=https://www.mongodb.or

  • Linux 下FTP的安装与配置教程详解

    0.安装ftp的前置条件是关掉SElinux # vi /etc/selinux/config 修改 SELINUX=" disabled " ,重启服务器.若相同,则跳过此步骤. 1. 可先查看是否安装过vsftp # rpm -qa | grep vsftpd 则代表已经安装.可直接跳过步骤2 2 .安装 vsftp # yum install vsftp* Is this ok [y/N]: y 代表安装完成. 3. 对vsftp 进行配置 # /etc/vsftpd/vsftp

  • Linux下源码编译安装配置SVN服务器的步骤分享

    说明: SVN(subversion)的运行方式有两种: 一种是基于Apache的http.https网页访问形式: 还有一种是基于svnserve的独立服务器模式. SVN的数据存储方式也有两种:一种是在Berkeley DB数据库中存储数据:另一种是使用普通的文件FSFS存储数据. 由于Berkeley DB方式在使用中有可能锁住数据,一般建议使用FSFS方式更安全. 实现目的: 以svnserve的独立服务器模式,使用FSFS数据存储方式源码编译安装配置SVN服务器. 具体操作: 操作系统

  • linux下vsftpd的安装及配置使用详细步骤(推荐)

    vsftpd 是"very secure FTP daemon"的缩写,安全性是它的一个最大的特点. vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux.BSD.Solaris. HP-UNIX等系统上面,是一个完全免费的.开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征. 比如:非常高的安全性需求.带宽限制.良好的可伸缩性.可创建虚拟用户.支持IPv6.速率高等. vsftpd是一款在Linux发行版中最受推崇的FT

  • Linux下安装jdk1.8并配置环境变量的教程

    1.去官网下载对应版本的安装包,64位系统对应64位的安装包 2.新建一个目录,如:/usr/lib/jdk 3.把安装包移动到新建的jdk目录下,并解压缩,得到目录jdk1.8.0_161 4.此时要配置环境变量了,使用sudo gedit /etc/environment,打开文件,在末尾添加 PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:$JAVA

  • Linux下PHP网站服务器安全配置加固防护方法【推荐】

    PHP被广泛用于各种Web开发.而当服务器端脚本配置错误时会出现各种问题.现今,大部分Web服务器是基于Linux环境下运行(比如:Ubuntu,Debian等). 本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全.mysql数据库安全.web服务器安全.木马查杀和防范等,很好很强大很安全.(如果需要深入的安全部署建议找专业做安全的国内公司如:Sinesafe,绿盟,启明星辰等等都是比较不错的专业做网站安全的公司) PHP安全配置 1. 确保运行php的用户为一般用户,如

  • Linux下docker安装mysql8并配置远程连接

    目录 第一步:下载mysql镜像镜像 第二步:启动mysql镜像 第三步:查询启动的镜像 第四步:进入容器 第五步:登录mysql 第六步:设置远程访问 第七步:navicat链接时报 2059 错误 第一步:下载mysql镜像镜像 docker pull mysql 默认是下载最新稳定版 第二步:启动mysql镜像 docker run --name dockermysql -p 3306:3306 -e MYSQL_ROOT_PASSWORD=mysqlpassword -d mysql -

随机推荐