♥️作者：小刘在C站

♥️个人主页： 小刘主页 

♥️不能因为人生的道路坎坷,就使自己的身躯变得弯曲;不能因为生活的历程漫长,就使求索的 脚步迟缓。

♥️学习两年总结出的运维经验，以及思科模拟器全套网络实验教程。专栏：云计算技术

♥️感谢CSDN让你我相遇！

运维人员辛苦和汗水总结的干货理论希望对你有所帮助

目录

防火墙基础概念与底层

1、防火墙的技术上分类

2、firewalld的两种配置模式：

3、常用的区域：

4、防火墙的配置方法：

5、firewalld-cmd命令工具相关选项：

6、开启路由转发

firewlld支持两种类型的网络地址转换

ip地址伪装工作原理

端口转发原理

常见服务端口：

防火墙补充命令

firewalld富语言

理解富规则命令

---

防火墙基础概念与底层

1、防火墙的技术上分类

包过滤：firewalld属于这种
应用代理：360，金山毒霸，鲁大师
状态检测：ASA

2、firewalld的两种配置模式：

运行时配置：    立即生效
永久配置：    重新加载服务生效

3、常用的区域：

trusted：    信任区域，用于连接内部网络
public:    公共区域，是默认区域
internal：内部区域，用于连接内部网络
external：外部区域，用于连接互联网，次区域有地址位置nat功能
dmz:    非军事化区域，用于连接内部服务器

4、防火墙的配置方法：

firewall-config图形工具
firewall-cmd命令行工具（常用）
/etc/firewalld/中的配置文件

5、firewalld-cmd命令工具相关选项：

--reload：重新加载防火墙规则
--permanent：用于设置永久性规则，需要重新加载防火墙才会生效
--runtime-to-permanent：将运行时的配置进行保存

6、开启路由转发

vim         /etc/sysctl.conf
net.ipv4.ip_forward = 1

---

firewlld支持两种类型的网络地址转换

（1）IP地址伪装（masquerade）解决了内部访问互联网的问题
可以实现局域网多个地址共享单一公网地址上网
IP地址伪装仅支持IPV4，不支持IPV6
（2）端口转发（firewalld-port）：解决了内部服务器发布到互联网的问题，端口转发，指定IP地址及端口的流量将被转发到相同计算机上的不同端口，或者转发到不同计算机的端口

ip地址伪装工作原理

地址伪装(masquerade)：通过地址伪装，NAT设备将经过设备的包转发到指定接收方，同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时，会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。P地址伪装仅支持Pv4,不支持Pv6。

端口转发原理

端口转发(Forward-port)：也称为目的地址转换或端口映射。通过端口转发，将指定P地址及
端口的流量转发到相同计算机上的不同端口，或不同计算机上的端口。企业内网的服务器一般都采用私网地址，可以通过端口转发将使用私网地址的服务器发布到公网，以便让互联网用户访问。例如，当接收互联网用户的HTTP请求时，网关服务器判断数据包的目标地址与目标端口，一旦匹配指定规则，则将其目标地址修改为内网真正的服务器地址，从而建立有效连接。

---

常见服务端口：

http (apache):    tcp    80

https：tcp    443

mysq：tcp    3306

squid:  tcp    3128

rsync：tcp    873

ssh：tcp        22

ftp：tcp        21和20

telnet:  tcp    23

DNS:    tcp/udp  53

DHCP:  udp   67

防火墙补充命令

1.重新加载防火墙配置：
firewall-cmd  --reload

2.防火墙操作例子：
移除tcp12345端口：
firewall-cmd --zone=external --add-port=12345/tcp --permanent

3.配置external区域移除ssh服务：
firewall-cmd --zone=external --remove-service=ssh --permanent

4.设置默认区域为external：
firewall-cmd --set-default-zone=external

5.因为预定义的SSH服务已经更改默认端口，所以将预定义SSH服务移除：
firewall-cmd --zone=dmz --remove-service=ssh --permanent

6.禁止ping：
firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent                

---

firewalld富语言

富语言是与直接语言对比的差距就是可以更加丰富的来表示条件，更详细来描述规则，富规则可用于表达基本的允许/拒绝规则，也可以用于配置记录（面向syslog和auditd),以及端口转发、伪装和速率限制。下面是表达富规则的基本语法：

规则的每个单一元素都能够以option=value的形式来采用附加参数。

理解富规则命令

firewal-cmd有四个选项可以用于处理富规则，所有这些选项都可以同常规的--permanent或
--zone=<ZONE>选项组合使用：

--add-rich-rule='RULE'
向指定区域中添加RULE,如果没有指定区域，则为默认区域
--remove-rich-rule='RULE'
从指定区域中删除RULE,如果没有指定区域，则为默认区域
--query-rich-rule='RULE'
查询RULE是否已添加到指定区域，如果未指定区域，则为默认区域。规则
存在，则返回0，否则返回1
--list-rich-rules
输出指定区域的所有富规则，如果未指定区域，则为默认区域

人生要尽全力度过每一关,不管遇到什么困难不可轻言放弃！！！