Linux下双网卡Firewalld的配置流程(推荐)-创新互联

实验室拟态存储的项目需要通过LVS-NAT模式通过LVS服务器来区隔内外网的服务,所以安全防护的重心则落在了LVS服务器之上。笔者最终选择通过firewalld放行端口的方式来实现需求,由于firewall与传统Linux使用的iptable工具有不小的区别,接下来通过博客来记录一下firewalld的配置流程。

十余年的筠连网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。网络营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整筠连建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联公司从事“筠连网站设计”,“筠连网站推广”以来,每个客户项目都认真落实执行。

1.Firewall服务的简介:

firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IPv4 和 IPv6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

上述内容是来自RetHat官方文档的说明,看起来不知所云。所以笔者在这里简单介绍一下firewalld的定位与传统的iptable存在什么样的不同:

  • 动态防火墙

firewalld 提供的是动态的防火墙服务。配置的改变可以随时随地立刻执行,不再需要保存或者执行这些改变。而iptable的部分,每一个单独更改意味着要清除所有旧有的规则和从 里读取所有新的规则,相对来说firewalld的方式会更加灵活。

  • 区域隔离

firewalld 提供了区域隔离的服务,也就是说类似于window之中的公共网络与内部网络的区别,可以通过不同的区域的配置对应的规则来实现不同的网络规则服务。通过区域规则的方式,可以让防火墙的工作更加的灵活。

如图所示,firewalld的防火墙本质上是建立在原生的iptable防火墙之上的抽象层,通过定制规则的方式来利用iptable的功能,所以两个防火墙是上下级并行工作的关系,最终都需要落地到内核之中的netfilter来实现网络包的过滤,来简化防火墙的工作流程。(传统iptable的“四表五链”实在是有够复杂~~囧rz)

Linux下双网卡Firewalld的配置流程(推荐)

2.系统环境:

如下图所示,这里需要在LVS的服务器需要部署firewall的防火墙,这里笔者仅简要梳理一下一台LVS服务器的工作:

Linux下双网卡Firewalld的配置流程(推荐)

系统平台:Centos 7

LVS服务器: 双网卡

  • 外网地址:219.223.199.154
  • 内网地址:192.168.1.17

对外服务器:

  • 服务器A:192.168.1.11
  • 服务器B:192.168.1.14

在这里,外网地址之上需要开放的端口为10086端口,通过该端口进行转发。而内网地址之上并不设置限制,我们认为是安全的网络环境。

3.配置流程:

Firewalld的配置可通过三种方式:

  • firewall-config

一个图形化的用户接口的配置工具

  • firewall-cmd

一个命令行的用户接口的配置工具

  • 静态xml文件配置

firewalld 的配置设定存储在/etc/firewalld/ 目录下的 xml 文件里。可以通过查看和编辑这些 xml 文件,来实现firewall的配置。

之后笔者的配置流程主要是基于firewall-cmd命令展开,首先启动firewall服务:

systemctl start firewalld.service //启动firewalld服务

分享文章:Linux下双网卡Firewalld的配置流程(推荐)-创新互联
本文URL:http://scyanting.com/article/dsgcig.html