firewalld:direct规则

news/2024/11/14 15:15:23/文章来源:https://www.cnblogs.com/architectforest/p/18379173

一,官方文档:

1, 选项:

https://firewalld.org/documentation/direct/options.html

例子:

https://firewalld.org/documentation/direct/examples.html

手册:

https://firewalld.org/documentation/man-pages/firewalld.direct.html

2, 直接规则的特点:

1)直接只用iptables或firewalld语句规则写入管理区域
2)执行优先级最高。优先级:直接规则→富规则→区域规则
3)不会iptables语句的用户不建议直接使用直连接口
4)适用于服务或应用程序

二,direct规则的语法:

firewall-cmd 
--permanent \
--direct \
--add-rule { ipv4 | ipv6 | eb } \<表(table)> <链(chain)> <优先级(priority)> args

 

--direct:直接规则

--permanent:将规则写入防火墙配置文件,永久执行【需要使用firewalll-cmd --reload加载配置文件才能生效。如果不使用此选项,所有新添加的规则都是临时使用~

--add-rule: 添加规则

lpv4:   这个属性非常简单,表示ip的版本

 

5表:
五个表table:filter、nat、mangle、raw、security

filter:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表
nat:network address translation 地址转换规则表
mangle:修改数据标记位规则表
raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现

 5链

  链 是数据包传播的路径,每一个 链 中可以有 N 个 规则 (N >= 0)。当数据包到达一个 链 时,iptables 就会从链中第一个规则开始检测, 如果数据包满足规则所定义的条件,系统会执行具体的 行为,否则 iptables 继续检查下一个规则。 如果数据包不符合链中任一个规则,iptables 就会根据该链预先定义的默认策略来处理数据包。

三,direct规则的用法

1,列出所有的规则

[root@blog ~]# firewall-cmd --direct --get-all-rules

 

2,添加一条规则:

[root@blog ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.210 -j REJECT
success

查看已添加的规则:

[root@blog ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.210 -j REJECT

说明:direct规则就是iptables的规则,所以可以通过iptables命令查看:

[root@blog ~]# iptables -L -v -n
Chain INPUT (policy ACCEPT 5595K packets, 1759M bytes)pkts bytes target     prot opt in     out     source               destination0     0 REJECT     tcp  --  *      *       172.25.254.210       0.0.0.0/0            tcp dpt:22 reject-with icmp-port-unreachable

3,删除一条规则:

[root@blog ~]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.210 -j REJECT
success

查看删除后的规则:

[root@blog ~]# firewall-cmd --direct --get-all-rules

4,添加规则时写入文件:

[root@blog ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.210 -j REJECT
success

写入的文件在哪里?

[root@blog ~]# more /etc/firewalld/direct.xml
<?xml version="1.0" encoding="utf-8"?>
<direct><rule ipv="ipv4" table="filter" chain="INPUT" priority="1">-p tcp --dport 22 -s 172.25.254.210 -j REJECT</rule>
</direct>

查看是否生效:无效果

[root@blog ~]# firewall-cmd --direct --get-all-rules

重新加载:

[root@blog ~]# firewall-cmd --reload
success

查看是否生效:已生效:

[root@blog ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.210 -j REJECT

四,direct规则和zone规则的优先级

直接规则→富规则→区域规则

直接规则的执行优先级最高

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/787131.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

反汇编动态调试器之x64dbg

转载:https://cloud.tencent.com/developer/article/2337843x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序的反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编…

Selenium实现元素定位

Selenium提供了定位元素的方法find_element(),该方法被定义在WebDriver类中。一、参数 1、两个参数,参数1根据不同定位方法确定,定位方法如下: (1)通过id定位:使用参数By.ID定位元素的ID属性; (2)通过元素名定位:使用参数By.NAME定位元素的NAME属性; (3)通过标签…

idea创建spring boot项目慢()

将server url改成https://start.aliyun.com 改了阿里镜像,后来看到说改这里也能块点 怎么说呢……快,又好像没快,如快() 就离谱

新质生产力六大核心细分赛道

新质生产力六大核心细分赛道

Graphics2D绘图方法总结

使用Java的Graphics2D类,绘制业务需要的图形模板,然后在具体流程中填充数据,并且将图形存储起来。一、简介 在开发中可能会遇到这样一类场景,业务复杂度不算太高,技术难度不算太深,但是做起来就很容易把人整破防,伤害很高侮辱性很强的:绘图。 绘图最怕有人挑刺:这里变…

【Linux】制作u盘启动盘

1、下载rufus工具 https://rufus.ie/zh/ 2、在设备中选中u盘和镜像3、点击开始4、等待制作完毕即可

用空间清理调理风水7放手8风水八卦9杂乱区域

7 放手 清理杂物的过程就是放手的过程。不仅仅是放下你的物品--那只是最终的结果。最重要的是学会放下恐惧,这种恐惧会让你在该把东西搬走的时候还久久拽着不放。 7.1 只是过客 生活是不断变化的。因此,当一件物品进入你的生活时,享受它,好好利用它,到了该放手的时候,就让…

聊一聊 C# 中让人惶恐的 Bitmap

一:背景 1. 讲故事 在.NET高级调试的旅程中,我常常会与 Bitmap 短兵相接,它最大的一个危害就是会让程序抛出匪夷所思的 OutOfMemoryException,也常常会让一些.NET开发者们陷入其中不能自拔,痛不欲生,基于此,这一篇我从dump分析的角度给大家深挖一下 Bitmap 背后的故事。…

计算机组成原理【3】:数据的表示和运算-下

概述浮点数的表示和运算浮点数的表示;IEEE 754标准;浮点数的加/减运算浮点数的表示与运算 浮点数的表示浮点数表示法是指以适当的形式将比例因子表示在数据中,让小数点的位置根据需要而浮动。这样在位数有限的情况下,既扩大了数的表示范围,又保持数的有效精度。 浮点数的表…

RabbitMQ 相关概念及简述

总结自:BV15k4y1k7EpRabbitMQ 是一款常用的消息队列(MQ)。 什么是消息队列 MQ 全称为 Message Queue,消息队列(MQ)是一种应用程序对应用程序的通信方法。应用程序通过读写出入队列的消息(针对应用程序的数据)来通信。 消息队列中间件是分布式系统中重要的组件,主要解决…