RHEL防火墙

于 2023-12-13 17:39:15 发布
阅读量191 收藏
点赞数 7
文章标签: 网络 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76975583/article/details/134967021
版权

firewalld中的名词介绍

firewalld的规则添加

fire的基本配置

firewalld的富规则

1.了解firewalld

        在RHEL8中用的防火墙是firewalld,在 firewalld中又涉及zone的概念。首先来了解一下什么是zone。

如在进地铁或高铁时需要安检,安检有不同的入口,如图所示。

 不同的入口严格度不一样,有的入口大包小包都要检测;有的入口只要检测大包即可,背包或单肩包就不用检测了;有的入口是绿色通道,不用检测直接通过。这里不同的安检入口制定了不同的规则。
        同理,firewalld中的zone我们就理解为如上的安检入口,不同的zone中制定了不同的规则。某网卡要和某一个zone进行关联,如图所示,ens160和 zone2进行关联,这样从网卡ens160进来的数据包都要使用zone2中的过滤规则。

网卡是不能同时和多个 zone关联的,最多只能和一个 zone关联。如果网卡没有和任何zone关联,则使用默认的zone中的规则。

[root@Hal55 ~]# firewall-cmd --get-default-zone 
public
[root@Hal55 ~]#

(1)查看系统中有多少个 zone,命令如下

[root@Hal55 ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt nm-shared public trusted work
[root@Hal55 ~]#

在这许多的zone中,其中 block拒绝所有的数据包通过,trusted允许所有的数据包通过。所以,如果把网卡和 trusted关联,则来自这张网卡的数据包都能通过。

(2)查看系统默认的zone,命令如下

[root@Hal55 ~]# firewall-cmd --get-default-zone 
public
[root@Hal55 ~]#

可以看到,默认的zone是public

(3)把默认的zone修改为trusted,命令如下

[root@Hal55 ~]# firewall-cmd --set-default-zone=trusted 
success
[root@Hal55 ~]# firewall-cmd --get-default-zone
trusted
[root@Hal55 ~]#
(4)再次把默认的zone改成public,命令如下
[root@Hal55 ~]# firewall-cmd --set-default-zone=public
success
[root@Hal55 ~]#
(5)查看网卡ens160和哪个zone关联,命令如下
[root@Hal55 ~]# firewall-cmd --get-zone-of-interface=ens160
public
[root@Hal55 ~]#

可以看到,网卡 ens160是和public关联的。

(6)把网卡加入某个zone,语法如下

firewall-cmd --add-interface=网卡名称 --zone=zone名

如果不指定zone名,则是默认的zone

把ens160和home这个 zone关联,命令如下。

[root@Hal55 ~]# firewall-cmd --add-interface=ens160 --zone=home 
Error: ZONE_CONFLICT: 'ens160' already bound to a zone
[root@Hal55 ~]#

一张网卡只能在一个zone中,这里可以看到ens160已经属于一个zone了,所以发生了冲突。

可以先把网卡从public中删除,然后重新添加,这里把ens160 从 public中删除,命令如下。

[root@Hal55 ~]# firewall-cmd --remove-interface=ens160 --zone=public 
success
[root@Hal55 ~]# firewall-cmd --get-zone-of-interface=ens160
no zone
[root@Hal55 ~]#

这样ens160就不属于任何zone了,如果不属于任何zone,则使用默认的zone中的规则。

然后把 ens160加入 home中,命令如下。

[root@Hal55 ~]# firewall-cmd --add-interface=ens160 --zone=home
success
[root@Hal55 ~]# firewall-cmd --get-zone-of-interface=ens160 
home
[root@Hal55 ~]#

以后ens160会使用home中的规则,不再使用public中的规则。先从 zone中删除,然后再添加到其他的zone 中,这个过程可以用一条命令替换,命令如下。

[root@Hal55 ~]# firewall-cmd --change-interface=ens160 --zone=public 
success
[root@Hal55 ~]#

这里的意思是把ens160切换到public这个zone,如果不指定zone,则是默认的zone,命令如下。        

[root@Hal55 ~]# firewall-cmd --get-zone-of-interface=ens160 
public
[root@Hal55 ~]#

3.配置firewalld的规则

网卡在哪个zone中就使用那个zone 中的规则,如果网卡不属于任何zone,则使用默认的zone中的规则。
        一个zone中的规则可以通过“firewall-cmd --list-all --zone=zone名”来查看,如果不指定zone,则是默认的zone.

现在查看public这个zone中的规则

[root@Hal55 ~]# firewall-cmd --list-all --zone=public
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 123/udp 323/udp
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[root@Hal55 ~]#

因为默认的zone就是 public,所以这里即使不加--zone=public选项,显示的也是public这个zone中的规则。

我们看一下最常用的一些设置。

1.icmp-blocks

平时测试网络通或不通是用ping进行测试的,使用的是 icmp 协议,如图所示

icmp有很多类型的数据包,ping的时候用的是以下两种。
echo-request:我ping对方时发出去的包。
echo-reply:对方回应我的包。
一共有多少种类型的icmp包,可以通过“firewall-cmd --get-icmptypes”来查看。

(1)在node01上执行 tcpdump命令进行抓包,命令如下。
 

[root@Hal55 ~]# tcpdump -i ens160 icmp
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens160, link-type EN10MB (Ethernet), capture size 262144 bytes
^C^C11:25:20.250068 IP 192.168.56.217 > Hal55: ICMP echo request, id 2980, seq 8, length 64

1 packet captured
32 packets received by filter
0 packets dropped by kernel

这里另一台主机往主机1发送了八个echo-request包,主机一均回应了echo-reply包。

(4)在node01上用防火墙设置拒绝别人发过来的echo-request包,命令如下。
[root@Hal55 ~]# firewall-cmd --add-icmp-block=echo-request  //拒绝请求
success
[root@Hal55 ~]# firewall-cmd --list-all                  //查看是否添加成功
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 123/udp 323/udp
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules: 
[root@Hal55 ~]#

(5)此时,node01就不再接收别人发过来的echo-request包了,然后到node03再次 ping,命令如下。

[root@localhost ~]# ping 192.168.56.55 -c2
PING 192.168.56.55 (192.168.56.55) 56(84) bytes of data.
From 192.168.56.55 icmp_seq=1 Packet filtered
From 192.168.56.55 icmp_seq=2 Packet filtered

--- 192.168.56.55 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1002ms

[root@localhost ~]#

可以看到,在node03已经ping不通node01了

(6)如果要想继续ping操作,就取消对应的设置,命令如下

[root@localhost ~]# firewall-cmd --remove-icmp-block=echo-request
success
[root@localhost ~]#
2.services

        两台主机通信必须使用某个协议,例如,浏览器访问网站用的是http,远程登录到Linux 服务器用的是ssh 协议等。

1)默认情况下,public这个 zone只允许很少的服务通过,如下所示。
[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: no
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[root@localhost ~]#

可以看到,这里没有允许http通过

(2)如果要查看防火墙是否开放了某个协议,也可以通过如下语法来查看

[root@localhost ~]# firewall-cmd --get-services
RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
[root@localhost ~]#

(4)再次验证http是否被firewall允许,命令如下。

[root@localhost ~]# firewall-cmd --query-service=http
no
[root@localhost ~]#

(5)在node01上通过yum install httpd -y安装httpd包,启动服务并写一些测试数据,命令如下。

[root@Hal55 ~]# systemctl start httpd
[root@Hal55 ~]# echo "hello ls" > /var/www/html/index.html
[root@Hal55 ~]# 
[root@Hal55 ~]# cat /var/www/html/index.html 
hello ls
[root@Hal55 ~]#
(6)然后在宿主机上用浏览器访问主机1(IP地址是192.168.56.55),

7)  可以看到,现在根本访问不了,这是因为node01上的防火墙并不允许http的数据包通过,然后在防火墙中开放http,命令如下。
[root@Hal55 ~]# firewall-cmd --add-servic=http
success
[root@Hal55 ~]# firewall-cmd --query-servic=http
yes

(8)再次打开浏览器验证,结果如图。

​(9)此时可以正常打开了。如果要从防火墙中把此服务删除,则可用--remove-service选项,命令如下。

[root@Hal55 ~]# firewall-cmd --remove-service=http
success
[root@Hal55 ~]# firewall-cmd --query-service=http
no
[root@Hal55 ~]#

此时浏览器是访问不了192.168.56.55的

3.ports
        前面介绍了对服务进行过滤与放行,这些服务使用的都是标准端口,例如,http对应的是端口80,ssh对应的是端口22等。
        但有时服务使用的是一个非标准端口,例如,把服务httpd的端口更改为8080。如果在防火墙中只是放行http这个服务,本质上就是放行了端口80,此时用户肯定是访问不到Web服务的,因为只能通过端口8080才能访问到Web 服务。下面做一下这个实验。

(1)先临时关闭SELinux,命令如下。

[root@Hal55 ~]# setenforce 0
[root@Hal55 ~]# getenforce 
Permissive
[root@Hal55 ~]#

确保SELinux是处在Permissive模式的。

(2)用如下命令把 httpd的端口替换为8080,并重启httpd服务,命令如下

[root@Hal55 ~]# sed -i '/^Listen/clisten 8080' /etc/httpd/conf/httpd.conf 
[root@Hal55 ~]#

systemctl restart httpd         重启该服务

(3)首先在防火墙中放行http,命令如下

[root@Hal55 ~]# firewall-cmd --add-service=http
success
[root@Hal55 ~]#

4)在浏览器中访问192.168.56.55:8080,结果如图所示。

可以看到,无法访问,因为放行端口允许端口80而非端口8080

(5)把http服务从防火墙中删除,命令如下

[root@Hal55 ~]# firewall-cmd --remove-service=http
success
[root@Hal55 ~]#

下面开始放行端口,常用的语句如下:
firewall-cmd --query-port=N/协议:查询是否开放了端口N
firewall-cmd --add-port=N/协议:开放端口N。
firewall-cmd --remove-port=N/协议:删除端口N。这里的协议包括TCP、UDP等。

(6)在防火墙中添加端口,也可以添加一个范围。例如,要在防火墙中开放1000~-2000范围 的端口,可以用如下命令

[root@Hal55 ~]# firewall-cmd --add-port=1000-2000/tcp
success
[root@Hal55 ~]#

这里“-”表示到的意思

(7)下面把端口8080放行,命令如下

[root@Hal55 ~]# firewall-cmd --add-port=8080/tcp
success
[root@Hal55 ~]# firewall-cmd --query-port=8080/tcp
yes
[root@Hal55 ~]#

systemctl restart httpd

这里修改完毕后一定要记得重启,否则访问不了

(8)然后再次在浏览器中访问,结果如图

(9)在防火墙中删除此端口,命令如下

[root@Hal55 ~]# firewall-cmd --remove-port=8080/tcp
success
[root@Hal55 ~]# firewall-cmd --query-port=8080/tcp
no
[root@Hal55 ~]#

(10)下面把环境还原,再次开启SELinux,确保状态为Enforcing模式,命令如下。

[root@Hal55 ~]# setenforce 1
[root@Hal55 ~]# getenforce 
Enforcing
[root@Hal55 ~]#

(11)再次把httpd的端口改为80,并重启服务,命令如下。

[root@Hal55 ~]# sed -i '/^Listent/cListent 80' /etc/httpd/conf/httpd.conf 
[root@Hal55 ~]# systemctl restart httpd
[root@Hal55 ~]#

4.富规则
        前面不管是对端口放行还是对服务放行,都会遇到一个问题就是,如果允许则是允许所有的客户端,如果拒绝则是拒绝所有的客户端,有种一刀切的感觉。
        有时需要设置只允许特定的客户端访问,其他客户端都不能访问,此时就需要使用到富规则。
富规则可以对服务进行限制,也可以对端口进行限制。放行服务的语法如下。

[root@node01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=源网段 service name=服务名 accept'

这里用单引号或双引号均可,先查看现在是否有富规则。

[root@Hal55 ~]# firewall-cmd --list-rich-rules

[root@Hal55 ~]#

现在还没有任何富规则,下面开始创建富规则

1.练习:允许192.168.26.1访问本机的 http服务,其他客户端都不能访问。
(1)先确保在防火墙的services中没有添加 http,否则所有的客户端都能访问了。
[root@Hal55 ~]# firewall-cmd --query-service=http
no

现在确定在services中是没有添加 http的,所以现在所有客户端都是被拒绝访问的

(2)下面开始添加富规则,命令如下。
[root@Hal55 ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.56.55 service name=http accept"
success
[root@Hal55 ~]#
(3)在(笔记本电脑)上用浏览器 访问node01(P地址是192.168.56.55),结果如图。

(4)可以看到,现在是正常的,然后在192.168.56.60(node03机器)上用浏览器访问node01(IP地址是192.168.56.55)

可以看到访问不了

(5)查看现有富规则,命令如下。
[root@Hal55 ~]# firewall-cmd --list-rich-rules
rule family="ipv4" source address="192.168.56.55" service name="http" accept
[root@Hal55 ~]#
(6)富规则的命令只要把添加时的add换成remove即可删除此富规则,命令如下
[root@Hal55 ~]# firewall-cmd --remove-rich-rule="rule family=ipv4 source address=192.168.56.55 service name=http accept"
success
[root@Hal55 ~]#
(7)放行端口的语法如下。
[root@node01 ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=源网段 port port=M-N protocol=协议 accept'

黄润程
关注
配置RHEL8网卡服务及防火墙相关内容
weixin_53722371的博客
02-12 725
linux
RHEL 7 防火墙
SKY的专栏
12-21 302
在CentOS 7或RHEL 7或Fedora中防火墙由firewalld来管理, RHEL7 中使用了firewalld代替了原来的iptables,操作设置和原来有点不同:查看防火墙状态:systemctl status firewalld启动防火墙:systemctl start firewalld停止防火墙:systemctl stop firewalld
RHEL8_Linux防火墙
最新发布
ls041224的博客
12-12 1568
本章树妖介绍RHEL8中的firewalld的配置。
关闭RHEL防火墙
在路上
05-20 1万+
关闭rhel5.x 和 rhel 6.x的防火墙 service iptables stop chkconfig iptables off rhel7.1 systemctl stop firewalld systemctl disable firewalld
Redhat7(centos7)及以上防火墙完整介绍
崔崇鑫的博客,你linux/云运维工作中的百科全书。
12-19 1万+
文章目录防火墙tcpwraps的配置firewalld的概念配置防火墙(服务、接口、端口)图形化配置防火墙服务:添加开放端口:命令行配置防火墙服务:ICMP过滤器图形化:命令行操作:来源图形化:命令行:伪装、端口转发伪装配置:1、 通过交换机处理(弊端:互联网上能看到私网地址):2、 通过伪装端口转发:图形化配置:命令行配置:富规则图形化配置:命令行配置: 防火墙 tcpwraps的配置 涉及两个...
firewall防火墙--rhel8
识途老码
09-03 3268
firewall-cmd防火墙--Centos7.3+防火墙的几种策略ACCEPTREJECTDROPLOGfirewall-cmd防火墙特性防火墙区域查看防火墙状态查看当前区域设置当前区域当前生效(默认模式)和永久生效Runtime(当前生效,默认模式)Premanent(永久生效)panic(紧急模式)策略查看和配置查看区域当中是否放行指定服务在指定区域中添加服务在指定区域中添加服务并永久生效添加80端口到当前区域--永久生效添加一组端口号到指定区域查看区域中的端口号策略策略删除从区域中删除策略端口转发
Redhat防火墙
hahaxixi131的博客
08-09 3145
Redhat防火墙 什么防火墙防火墙防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 ​ 防火墙又可以分为硬件防火墙与软件防火墙。硬件防火墙是由厂商设计好的主机硬件,这台硬件防火墙的操作系统主要以提供数据包数据的过滤机制为主,并将其他不必要的功能拿掉。软件防火墙就是保护系统网络安全的一套软件(或称为机制),例如Netfilter与TCP Wrappers都可以称为软件防火墙。这儿主要介绍linux系统本身提供的软件防火墙的功能,那就是Netfil
RHEL 7中防火墙的配置和使用
小单的博客专栏
08-22 2万+
RHEL7 中使用了firewalld代替了原来的iptables,操作设置和原来有点不同:查看防火墙状态:systemctl status firewalld启动防火墙:systemctl start firewalld停止防火墙:systemctl stop firewalld防火墙中的一切都与一个或者多个区域相关联,下面对各个区进行说明:Zone
LinuxRHEL7及CentOS7)最简单的firewalld防火墙操作流程
晨曦蜗牛
11-14 4494
经常看到网上的一些文章,遇到防火墙就关闭,禁用,好low!从Redhat7或者CentOS7开始,系统默认防火墙已经变更为firewalld,本着存在即合理的原则,经过几天的摸索,总结了一个简单的防火墙规则操作流程,跟大家分享一下。鉴于鄙人才疏学浅,若有纰漏之处,敬请多多指教! 1、看一下所有配置情况。 [root@Geeklp201 ~]# firewall-cmd --list-all p
rhel7.2 关闭防火墙
weixin_43570089的博客
06-18 523
查看防火墙状态 systemctl status firewalld 关闭防火墙(重启后维持原状态) systemctl stop firewalld 禁用防火墙(永久关闭) systemctl disable firewalld 启用防火墙 systemctl enable firewalld ...
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2416
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
linux关闭防火墙或者修改防火墙配置的命令
赵旭的博客
06-16 2421
linux关闭防火墙或者修改防火墙配置的命令1. 重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2.即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 在开启了防火墙时,如果想要访问其他端口,可以做如下设置,开启相关端口,
RHEL 7中的防火墙(1) ---- iptables
RangerV3的博客
10-22 830
RHEL7系统中存在两种类型的防火墙: iptables和firewalld,严格意义上讲,iptables和firewalld都不是真正的防火墙,它们只是用来定义防火墙策略的管理工具而已。 iptables会把配置好的防火墙策略交给内核层面的 netfilter 处理;firewalld把配置好的防火墙策略交给内核层层面的nftables包过滤框架处理。 防火墙以从上向下的顺序来读取配置的策略...
redhat7中防火墙的配置和使用
AoLuo的博客
07-02 1万+
1.redhat7中使用了firewalld代替了原来的iptables 查看防火墙状态:systemctl status firewalld 启动防火墙:systemctl start firewalld 停止防火墙:systemctl stop firewalld 2.防火墙常用命令: 设置黑/白名单 firewall-cmd --permanent --zone=trusted...
Linux命令查看和关闭防火墙
热门推荐
WxyangID的博客
03-19 5万+
一、service方式查看防火墙状态: [root@cluster1 ~]# service iptables statusiptables:未运行防火墙。开启防火墙:[root@cluster1 ~]# service iptables start关闭防火墙:[root@cluster1 ~]# service iptables stop二、iptables方式先进入init.d目录,命令如下:...
RedHat Enterprise7.1如何关闭防火墙
ccscu的专栏
12-07 1万+
RHEL5、6(Redhat Enterprise Linux)的时候,检查防火墙是否开启常用的如下命令: 1.1、永久关闭,重启后生效: 开启:chkconfig iptables on 关闭:chkconfig iptables off 1.2、临时开启,重启后失效: 开启:service iptables start 关闭:service iptables stop
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值