Linux下雙網(wǎng)卡Firewalld的配置流程(推薦)-創(chuàng)新互聯(lián)

實(shí)驗(yàn)室擬態(tài)存儲(chǔ)的項(xiàng)目需要通過(guò)LVS-NAT模式通過(guò)LVS服務(wù)器來(lái)區(qū)隔內(nèi)外網(wǎng)的服務(wù),所以安全防護(hù)的重心則落在了LVS服務(wù)器之上。筆者最終選擇通過(guò)firewalld放行端口的方式來(lái)實(shí)現(xiàn)需求,由于firewall與傳統(tǒng)Linux使用的iptable工具有不小的區(qū)別,接下來(lái)通過(guò)博客來(lái)記錄一下firewalld的配置流程。

十余年的筠連網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)、前端、開(kāi)發(fā)、售后、文案、推廣等六對(duì)一服務(wù),響應(yīng)快,48小時(shí)及時(shí)工作處理。網(wǎng)絡(luò)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整筠連建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì),從而大程度地提升瀏覽體驗(yàn)。成都創(chuàng)新互聯(lián)公司從事“筠連網(wǎng)站設(shè)計(jì)”,“筠連網(wǎng)站推廣”以來(lái),每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

1.Firewall服務(wù)的簡(jiǎn)介:

firewalld提供了一個(gè) 動(dòng)態(tài)管理的防火墻,用以支持不同網(wǎng)絡(luò)區(qū)域的規(guī)則,分配對(duì)一個(gè)網(wǎng)絡(luò)及其相關(guān)鏈接和界面一定程度的信任。它具備對(duì) IPv4 和 IPv6 防火墻設(shè)置的支持。它支持以太網(wǎng)橋,并有分離運(yùn)行時(shí)間和永久性配置選擇。它還具備一個(gè)通向服務(wù)或者應(yīng)用程序以直接增加防火墻規(guī)則的接口。

上述內(nèi)容是來(lái)自RetHat官方文檔的說(shuō)明,看起來(lái)不知所云。所以筆者在這里簡(jiǎn)單介紹一下firewalld的定位與傳統(tǒng)的iptable存在什么樣的不同:

  • 動(dòng)態(tài)防火墻

firewalld 提供的是動(dòng)態(tài)的防火墻服務(wù)。配置的改變可以隨時(shí)隨地立刻執(zhí)行,不再需要保存或者執(zhí)行這些改變。而iptable的部分,每一個(gè)單獨(dú)更改意味著要清除所有舊有的規(guī)則和從 里讀取所有新的規(guī)則,相對(duì)來(lái)說(shuō)firewalld的方式會(huì)更加靈活。

  • 區(qū)域隔離

firewalld 提供了區(qū)域隔離的服務(wù),也就是說(shuō)類似于window之中的公共網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的區(qū)別,可以通過(guò)不同的區(qū)域的配置對(duì)應(yīng)的規(guī)則來(lái)實(shí)現(xiàn)不同的網(wǎng)絡(luò)規(guī)則服務(wù)。通過(guò)區(qū)域規(guī)則的方式,可以讓防火墻的工作更加的靈活。

如圖所示,firewalld的防火墻本質(zhì)上是建立在原生的iptable防火墻之上的抽象層,通過(guò)定制規(guī)則的方式來(lái)利用iptable的功能,所以兩個(gè)防火墻是上下級(jí)并行工作的關(guān)系,最終都需要落地到內(nèi)核之中的netfilter來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)包的過(guò)濾,來(lái)簡(jiǎn)化防火墻的工作流程。(傳統(tǒng)iptable的“四表五鏈”實(shí)在是有夠復(fù)雜~~囧rz)

Linux下雙網(wǎng)卡Firewalld的配置流程(推薦)

2.系統(tǒng)環(huán)境:

如下圖所示,這里需要在LVS的服務(wù)器需要部署firewall的防火墻,這里筆者僅簡(jiǎn)要梳理一下一臺(tái)LVS服務(wù)器的工作:

Linux下雙網(wǎng)卡Firewalld的配置流程(推薦)

系統(tǒng)平臺(tái):Centos 7

LVS服務(wù)器: 雙網(wǎng)卡

  • 外網(wǎng)地址:219.223.199.154
  • 內(nèi)網(wǎng)地址:192.168.1.17

對(duì)外服務(wù)器:

  • 服務(wù)器A:192.168.1.11
  • 服務(wù)器B:192.168.1.14

在這里,外網(wǎng)地址之上需要開(kāi)放的端口為10086端口,通過(guò)該端口進(jìn)行轉(zhuǎn)發(fā)。而內(nèi)網(wǎng)地址之上并不設(shè)置限制,我們認(rèn)為是安全的網(wǎng)絡(luò)環(huán)境。

3.配置流程:

Firewalld的配置可通過(guò)三種方式:

  • firewall-config

一個(gè)圖形化的用戶接口的配置工具

  • firewall-cmd

一個(gè)命令行的用戶接口的配置工具

  • 靜態(tài)xml文件配置

firewalld 的配置設(shè)定存儲(chǔ)在/etc/firewalld/ 目錄下的 xml 文件里??梢酝ㄟ^(guò)查看和編輯這些 xml 文件,來(lái)實(shí)現(xiàn)firewall的配置。

之后筆者的配置流程主要是基于firewall-cmd命令展開(kāi),首先啟動(dòng)firewall服務(wù):

systemctl start firewalld.service //啟動(dòng)firewalld服務(wù)

分享標(biāo)題:Linux下雙網(wǎng)卡Firewalld的配置流程(推薦)-創(chuàng)新互聯(lián)
文章地址:http://muchs.cn/article6/dsgcig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、移動(dòng)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化面包屑導(dǎo)航、靜態(tài)網(wǎng)站、網(wǎng)頁(yè)設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

營(yíng)銷型網(wǎng)站建設(shè)