[root@Centos7 ~]# firewall-cmd --permanent --zone=internal --add-service=mysql
success
/ 加载新增规则生效
[root@Centos7 ~]# firewall-cmd --reload
success
/ 查看前面两个设置的规则
[root@Centos7 ~]# firewall-cmd --list-all --zone=internal
internal (active)
target: default
icmp-block-inversion: no
interfaces:
sources: 192.168.0.0/24
services: dhcpv6-client mdns mysql samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
3?? rich规则
当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则
rich-rules:富规则,功能强,表达性语言
direct configuration rules:直接规则,灵活性差
帮助:man 5 firewalld.direct
文章插图
?1 rich规则简介
rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和auditd,也可以实现端口转发,伪装和限制速率
rich语法
ruleman 5 firewalld.richlanguage
[source]
[destination]
service|port|protocol|icmp-block|masquerade|forward-port
[log]
[audit]
[accept|reject|drop]
?2 rich规则实施顺序:
该区域的端口转发,伪装规则
该区域的日志规则
该区域的允许规则
该区域的拒绝规则
每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效
?3 rich规则选项
--add-rich-rule='<RULE>'
添加rich规则至指定zone,若未指明zone则为默认zone
--remove-rich-rule='<RULE>'
从指定zone删除rich规则,若未指明zone则为默认zone
--query-rich-rule='<RULE>'
查询指定zone中是否有RULE规则,若未指定zone则为默认zone
返回值0代表存在,返回值1代表不存在
文章插图
?--list-rich-rules
列出指定zone的所有rich规则,若未指定zone则为默认zone
示例:
/ 拒绝从192.168.0.11的所有流量,当address 选项使用source 或 destination时,必须用family= ipv4|ipv6?4 rich日志规则
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'
/ 限制每分钟只有两个连接到ftp服务,下面命令省略指定zone区域,所以是给默认zone添加规则
firewall-cmd --add-rich-rule='rule service name=ftp limit value=https://www.isolves.com/it/aq/rj/2019-12-26/2/m accept'
/ 抛弃esp( IPsec 体系中的一种主要协议)协议的所有数据包
firewall-cmd --add-rich-rule='rule protocol value=https://www.isolves.com/it/aq/rj/2019-12-26/esp drop'
/ 接受所有192.168.1.0/24子网端口5900-5905范围的TCP流量,
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'
/ 查看所有添加的rich-rules
[root@Centos7 ~]# firewall-cmd --list-rich-rules
You're performing an operation over default zone ('public'),
but your connections/interfaces are in zone 'internal' (see --get-active-zones)
You most likely need to use --zone=internal option.
rule service name="ftp" accept limit value=https://www.isolves.com/it/aq/rj/2019-12-26/"2/m"
rule protocol value=https://www.isolves.com/it/aq/rj/2019-12-26/"esp" drop
log [prefix="<PREFIX TEXT>" [level=<LOGLEVEL>] [limit value=https://www.isolves.com/it/aq/rj/2019-12-26/"
<LOGLEVEL>
可以是emerg, alert, crit, error, warning, notice, info, debug
文章插图
?<DURATION>
s:秒,m:分钟,h:小时,d:天
audit [limit value=https://www.isolves.com/it/aq/rj/2019-12-26/"
示例
#接受ssh新连接,记录日志到syslog的notice级别,每分钟最多三条信息
firewall-cmd --permanent --zone=work --add-rich-rule='rule service name="ssh"
log prefix="ssh " level="notice" limit value=https://www.isolves.com/it/aq/rj/2019-12-26/"3/m" accept
#从2001:db8::/64子网的DNS连接在5分钟内被拒绝,并记录到日志到audit,每小时最大记录一条信息
firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64"
service name="dns" audit limit value=https://www.isolves.com/it/aq/rj/2019-12-26/"1/h" reject' --timeout=300
推荐阅读
- Linux 虚拟内存和物理内存的理解
- 一步一步带你解决linux系统CPU资源耗尽难题
- Kali Linux实战篇:Windows Server 2012 R2系统漏洞利用过程
- 有机茶栽种及选购知识浅谈
- Linux系统架构-----Apache与Nginx动静分离
- 困扰无数人的Linux Vim退出方法,原来这么简单?
- Linux下如何用nginx+ffmpeg搭建流媒体服务器
- 只会用chmod 777?Linux下的文件权限居然还有这么多骚操作
- Linux文件与目录管理 目录存放着Linux的源代码
- 为什么黑客都用Linux系统?原来是这四大原因
