核心业务系统服务器（A1机）进行防火墙配置

问题描述：

 案例：核心业务系统服务器（A1机）进行防火墙配置。

 要求：1、只允许特定的ip（B1、B2、B3机）访问A1机的80端口（业

务访问）

       2、只允许特定的ip（C1机）访问A1机的22端口（运维管理）

       3、只允许A1机访问特定的ip（D1、D2、D3）（业务架构需要）

 环境：中标麒麟高级服务操作系统v7.2

A1机ip：192.168.66.10  网关：192.168.66.254

B1机ip：192.168.55.10

B2机ip：192.168.55.20

B3机ip：192.168.55.30

C1机ip：192.168.44.10

D1机ip：192.168.33.10

D2机ip：192.168.33.20

D3机ip：192.168.33.30

解决思路：

本案例的关键是只允许A1机访问特定的ip，在默认情况下A1机向外访问是不受限制的，所以要满足客户的要求，就要先把A1机的向外访问全部禁止，然后在允许指定的ip可以向外访问，这需要在output链上配置策略，这里也涉及到了策略的优先级问题。

解决方法：

1.3.1、开启防火墙并设置开机自启动。

命令： systemctl start firewalld

       systemctl enable firewalld

1.3.2、查看当前当前防火墙使用的域 ，配置都要写到使用的域里面。

命令： firewall--cmd --get-default-zone

设置B1、B2、B3可以访问A1的80端口。

命令：

firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.55.10" destination address="192.168.66.10" port protocol="tcp" port="80" accept"

firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.55.20" destination address="192.168.66.10" port protocol="tcp" port="80" accept"

firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.55.30" destination address="192.168.66.10" port protocol="tcp" port="80" accept"

设置C1可以访问A1的22端口。

命令：

firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="192.168.44.10"  destination address="192.168.66.10" port protocol="tcp" port="22" accept"

1.3.5、允许A1访问D1、D2、D3地址。

在output链先放行A1的网关(ip 为A1机的网关)。

命令：

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 0  -d 192.168.66.254   -j ACCEPT   

在output链上放行A1可以访问的ip（D1、D2、D3）。

命令：

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 1  -d 192.168.33.10  -j ACCEPT  

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 1  -d 192.168.33.20  -j ACCEPT  

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 1  -d 192.168.33.30  -j ACCEPT  

在output链上放行A1访问本机的ip（B1、B2、B3、C1）

命令：

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 2  -d 192.168.55.10  -j ACCEPT   

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 2  -d 192.168.55.10  -j ACCEPT  

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 2  -d 192.168.55.10  -j ACCEPT

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 2  -d 192.168.44.10  -j ACCEPT

在uotput链上禁止A1向外访问

firewall-cmd  --permanent --direct --add-rule ipv4 filter OUTPUT 3  -s 192.168.66.10   -j DROP

1.3.6加载防火墙规则

命令： 

firewall-cmd  --reload

问题总结：

在编写防火墙策略时需要认真考虑每个细节，本例中就要考虑到要先放行网关，如果网关不通肯定不行。