SuSEfirewall2是动态网络数据包筛选器,也称为防火墙。它是一个脚本,它生成存储在/ etc / sysconfig / SuSEfirewall2文件中的iptables配置规则。SuSEfirewall2通过拒绝或阻止到达网络接口的某些有害数据包来保护您免受网络攻击。对于更高级的配置,防火墙提供了三个不同的区域,您可以向它们分配网络接口。这使SuSEfirewall2还能充当三个不同网络之间的网络路由器,或者是允许屏蔽Internet(或其他网络)的LAN服务器。
SuSEfirewall2默认具有三个不同的区域:
通过将接口名称添加到FW_DEV_ 区域变量中,可以将网络接口分配给区域,其中zone是已配置区域之一。
例子:
我要评论FW_DEV_EXT =“ dsl0”
FW_DEV_EXT =“任何wlan0”
FW_DEV_INT =“ eth0 wlan1”
特殊字符串any可用于告诉SuSEfirewall将未在任何地方列出的所有接口分配给指定区域。默认情况下,所有未分配的接口都会自动分配给外部区域。
变量FW_ZONES可用于定义其他区域。例如,如果您不希望对WLAN中的外部区域进行限制性过滤,但又不完全信任WLAN,从而无法使用内部区域,则可以定义一个新区域:
FW_ZONES =“ wlan”
FW_DEV_wlan =“ ra0”
允许访问服务
每个防火墙区域都可以允许四种类型的服务
TCP- FW_SERVICES_EXT_TCP,FW_SERVICES_INT_TCP,FW_SERVICES_DMZ_TCP
UDP- FW_SERVICES_EXT_UDP,FW_SERVICES_INT_UDP,FW_SERVICES_DMZ_UDP
RPC- FW_SERVICES_EXT_RPC,FW_SERVICES_INT_RPC,FW_SERVICES_DMZ_RPC
IP- FW_SERVICES_EXT_IP,FW_SERVICES_INT_IP,FW_SERVICES_DMZ_IP
Yast2
例子:允许10.111.74.241访问所有端口;允许172.16.0.0/12访问udp50200;允许172.16.0.0/12访问tcp8445。
yast2 firewall
必须都写在一行,或者一个列表里
空格隔开例子:允许访问服务使用ssh、端口80、连续端口512到514(用冒号隔开)。
FW_SERVICES_EXT_TCP =“ ssh 80 512:514”
上面提到的允许访问服务的方式不是很严格,它允许还是不允许。可以设置参数以允许对服务进行更严格的访问。但是,当使用相同的端口时,
上面允许的服务的定义优先于下面提到的定义(优先匹配)
这些是:FW_SERVICES_ACCEPT_EXT, FW_SERVICES_ACCEPT_INT,FW_SERVICES_ACCEPT_DMZ
对源ip后目标端口进行限制。
<ip,协议,端口>(如果不写表示所有)每组之间用空格隔开
例子:允许192.168.3.0访问所有端口;允许192.168.1.1访问tcp80;允许192.168.2.0/24访问udp123。
FW_SERVICES_ACCEPT_EXT="192.168.3.0 192.168.1.1,tcp,80 192.168.2.0/24,udp,123 "
本文地址:https://blog.csdn.net/ZhouGuo520/article/details/107333402
如对本文有疑问, 点击进行留言回复!!
网友评论