CentOS7下如何利用Firewalld防火墙实现IP+Port细粒度访问控制

CentOS 2022-10-22

如何利用CentOS7 Firewalld防火墙实现IP+Port细粒度访问控制

本文参考RedHat官方文档进行实践测试

https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/7/html/security_guide/sec-using_firewalls

(图片可点击放大查看)

测试的CentOS7 服务器IP :192.168.31.230

1、通常情况我们在认zone:public上添加需要访问的端口

firewall-cmd --permanent --zone=public --add-port=9000/tcp
firewall-cmd --permanent --zone=public --add-port=1514/udp
firewall-cmd --add-port=27017/tcp --permanent --zone=public
firewall-cmd --add-port=9200/tcp --permanent --zone=public
firewall-cmd --reload

2、查看firewalld已经开放的端口

firewall-cmd --list-all --zone=public 
firewall-cmd --list-ports

下面进入正题:现在需要对9000端口进行细粒度更高的访问控制 比如只允许192.168.31.100等特定IP访问9000端口

可以通过如下两种方式来实现

一、启用internel 内部zone的方式

1、先将public zone中9000端口移除

firewall-cmd --permanent --zone=public --remove-port=9000/tcp
firewall-cmd --reload

(图片可点击放大查看)

在其他机器上用nc测试9000端口,可以看到已经无法访问

(图片可点击放大查看)

nc -vz 192.168.31.230 9000 -s 192.168.31.127

2、接下将启用zone:internel

firewall-cmd --list-all --zone=internal
firewall-cmd --zone=internal --add-port=9000/tcp --permanent 
firewall-cmd --reload
firewall-cmd --add-source=192.168.31.100/32 --permanent --zone=internal
firewall-cmd --reload

(图片可点击放大查看)

可以在192.168.31.100 Windows机器上测试 

internal(内部)zone的特性  
For use on internal networks when you mostly trust the other computers on the network. Only selected incoming connections are accepted.

(图片可点击放大查看)

firewall-cmd --add-source=192.168.31.127/32 --permanent --zone=internal  
firewall-cmd --reload
firewall-cmd --list-all --zone=internal

添加前和添加后的对比测试截图如下

(图片可点击放大查看)

(图片可点击放大查看)

开启deny log打印 

firewall-cmd --set-log-denied=all
firewall-cmd --add-source=192.168.31.127/32 --permanent --zone=internal 
firewall-cmd --reload

关闭deny日志打印

firewall-cmd --set-log-denied=off

(图片可点击放大查看)

当然也支持如下语法 

firewall-cmd --add-source={192.168.31.230/32,192.168.31.100/32} --permanent  --zone=internal

二、rich-rules的方式

firewall-cmd --remove-port=9000/tcp --permanent --zone=public 
firewall-cmd --reload
firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.100/32" port port="9000" protocol="tcp" log prefix="graylog9000" level="info"  accept' --permanent
firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.127/32" port port="9000" protocol="tcp" log prefix="graylog9000" level="info"  accept' --permanent
firewall-cmd --reload

nc -vz 192.168.31.230 9000 -s 192.168.31.127

(图片可点击放大查看)

当然也可以不加日志打印

firewall-cmd --add-rich-rule='rule family="ipv4"  source address="192.168.31.100/32" port port="9000" protocol="tcp"  accept' --permanent
firewall-cmd --reload

3、禁ping的配置方式

参考官方文档

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-managing_icmp_requests

firewall-cmd --set-target=DROP --zone=public --permanent
firewall-cmd --add-icmp-block-inversion
firewall-cmd --reload

TCP/IP官方文档腾讯云测试服务

相关文章

Centos下搭建性能监控Spotlight
Centos下搭建性能监控Spotlight
CentOS 6.3下Strongswan搭建IPSec VPN
CentOS 6.3下Strongswan搭建IPSec VPN
在CentOS6.5上安装Skype与QQ
在CentOS6.5上安装Skype与QQ
阿里云基于centos6.5主机VPN配置
阿里云基于centos6.5主机VPN配置
CentOS 6.3下配置multipah
CentOS 6.3下配置multipah
CentOS安装、配置APR和tomcat-native
CentOS安装、配置APR和tomcat-native