Firewalld

• 安全
• 硬件环境：电源（UPS）温度监控 机柜上锁 磁盘报警
• 系统层面：
  • 更换默认SSH端口
  • 禁止ROOT直接登录，统一使用秘钥认证方式
  • 禁止防火墙限制--->某个涞源ip才能连接SSH
  • 软件更新 内核升级 --->已经运行很久的系统不要升级内核
• 服务：mysql redis等等
  • 不要有公网ip地址
  • 如果有公网ip，不要监听在0.0.0.0
  • 一定要设定比较复杂的密码认证

软防

Firewalld防火墙

• 1.当前默认的区域是谁？
  [root@manager ~]# firewall-cmd --get-default-zone
  public

• 2.当前正在活动的区域又是谁？
  [root@manager ~]# firewall-cmd --get-active-zones
  public
  interfaces: eth0 eth1

• 3.查看具体规则明细？
  [root@manager ~]# firewall-cmd --list-all

1.如何添加一个放行的端口？
[root@manager ~]# firewall-cmd --add-port=8080/tcp --add-port=8080/udp
[root@manager ~]# firewall-cmd --add-port={8081,8082}/tcp
[root@manager ~]# firewall-cmd --add-port={8090..8095}/tcp

删除
[root@manager ~]# firewall-cmd --remove-port={8090..8095}/tcp

2.如何添加一个放行的服务？  服务名称进行放行  --> 本质还是对应的端口
[root@manager ~]# firewall-cmd --add-service=http
    
3.如何自定义一个服务名称？
    /usr/lib/firewalld/services/
[root@manager ~]# cd /usr/lib/firewalld/services/
[root@manager ~]# cp http.xml nginx.xml
[root@manager ~]# firewall-cmd --reload
[root@manager ~]# firewall-cmd --add-service=nginx

4.firewalld 转发         四层负载  

firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

[root@manager ~]# firewall-cmd --add-forward-port=port=5555:proto=tcp:toport=22:toaddr=172.16.1.7
[root@manager ~]# firewall-cmd --add-masquerade

.firewalld 富规则        复杂的规则

[root@Firewalld ~]# man firewall-cmd            # 帮助手册
[root@Firewalld ~]# man firewalld.richlanguage  # 获取富规则手册
    rule
        [source]
        [destination]
        service|port|protocol|icmp-block|masquerade|forward-port
        [log]
        [audit]
        [accept|reject|drop]

rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]
service name="service name"
port port="port value" protocol="tcp|udp"
forward-port port="port value" protocol="tcp|udp" to-port="port value" to-addr="address"
accept | reject [type="reject type"] | drop

1.比如允许10.0.0.1主机能够访问80，允许172.16.1.0/24能访问8081端口
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.0.1/32 port port="80" protocol="tcp" accept'
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port port="8081" protocol="tcp" accept

2.默认public区域对外开放所有人能通过ssh服务连接，但拒绝172.16.1.0/24网段通过ssh连接服务器
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="172.16.1.0/24" service name="ssh" drop'

3.使用firewalld，允许所有人能访问http,https服务，但只有10.0.0.1主机可以访问ssh服务
[root@manager ~]# firewall-cmd --remove-service=ssh
[root@manager ~]# firewall-cmd --add-service={http,https}
[root@manager ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" service name="ssh" accept'

4.当用户来源IP地址是10.0.0.1主机，则将用户请求的5555端口转发至后端172.16.1.7的22端口
firewall-cmd --add-rich-rule='rule family=ipv4 source address="10.0.0.1/32" forward-port port="6666" protocol="tcp" to-port="22" to-addr="172.16.1.7"'
[root@manager ~]# firewall-cmd --add-masquerade


accept：  允许
reject：  拒绝，回句话
drop：     拒绝，不搭理

.firewalld 共享上网
    
    1.一条命令开启共享上网
    [root@manager ~]# firewall-cmd --add-masquerade
    
    2.客户端将默认网关指向---> 能上网的地址
    [root@web01 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
    IPADDR=172.16.1.7
    GATEWAY=172.16.1.61
    DNS1=223.5.5.5
    PREFIX=24
    
    [root@web01 ~]# ifdown eth1 && ifup eth1

    3.测试
    [root@web01 ~]# ping baidu.com
    PING baidu.com (39.156.69.79) 56(84) bytes of data.
    64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=1 ttl=127 time=6.05 ms
    64 bytes from 39.156.69.79 (39.156.69.79): icmp_seq=2 ttl=127 time=12.2 ms