Liunx防火墙————firewalld

最新推荐文章于 2023-10-27 05:30:00 发布
最新推荐文章于 2023-10-27 05:30:00 发布
阅读量598 收藏
点赞数
文章标签: 服务器 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_Xiao_CaiJI/article/details/126900792
版权

目录

一、Firewalld概述

二、Firewalld和iptables的关系

三、Firewalld网络区域

3.1区域介绍

3.2firewalld数据处理流程

3.3firewalld防火墙预定了九个区域

四、Firewalld防火墙的配置方法

五、firewalld常用命令

六、Firewalld防火墙案例

获取和修改默认区域

获取区域详细信息 

区域源地址操作

区域服务操作

获取区域名

区域网卡接口操作

区域icmp类型操作 

七、将修改的防火墙策略设为永久生效

八、firewalld设置NET地址转换

设置SNAT

设置DNAT

一、Firewalld概述

        firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
        firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
        firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具
它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),并且拥有两种配置模式:运行时配置与永久配置

二、Firewalld和iptables的关系

        iptables主要是基于接口,来设置规则,从而判断网络的安全性。
        firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
        iptables 在/etc/ sysconfig/ iptables 中储存配置,
        firewalld 将配置储存在/etc/firewalld/ (优先加载)和/usr/lib/ firewalld/ (默认的配置文件)中的各种XML文件里。
使用iptables每--个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。
使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。

Firewalldiptables
配置文件/usr/ib/firewalld/   /etc/firewalld//etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失连接
防火墙类型动态防火墙静态防火墙
作用类型基于区域基于接口

三、Firewalld网络区域

3.1区域介绍

        fireval1d防火墙为了简化管理,将所有网络流量分为多个区域(zone ),然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定服务列表。

  • 区域如同进入主机的安全门,每个区域都具有不同的限制程度的规则
  • 可以使用一个或多个区域,但是任何一个活跃区域都至少需要关联源地址或接口
  • 默认情况下,public区域时默认区域,包含所有的接口(网卡)          

3.2firewalld数据处理流程

        firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。

检查数据来源的源地址

  • 若源地址关联到特定的区域,则执行该区域所指定的规则
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则.
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

检查数据来源的源地址

  •  若源地址关联到特定的区域,则执行该区域所指定的规则
  •  若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的区域
  •  若网路接口未关联到特定的区域,则使用默认区域并执行该区域所所指定的规则。

3.3firewalld防火墙预定了九个区域

drop (丟弃)任何接收的网络数据包都被丟弃,没有任何回复.仅能有发送出去的网络连接
block (限制)任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm- prohibited 信息所拒绝
public (公共)在公共区域内使用,不能相信网络内的其他计算机不会对您的计篝机造成危害,只能接收经过选取的连接
external (外部)特别是为路由器启用了伪装功能的外部网.您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接
dmz (非军事区)用于您的非军事区内的电脑,此区域内可公开访问,可以有限地逬入您的内部网络,仅仅接收经过选择的连接
work (工作)用于工作区.您可以基本相信网络内的其他电脑不会危害您的电脑.仅仅接收经过选择的连接
home(家庭)用于家庭网络.您可以基本信任网络内的其他计算机不会危害您的计算机.仅仅接收经过选择 的连接
internal (内部)用于内部网络.您可以基本上信任网络内的其他计算机不会威胁您的计算机.仅仅接受经过选择的连接
trusted (信任)可接受所有的网络连接

四、Firewalld防火墙的配置方法

4.1运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置

4.2永久配置

  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

五、firewalld常用命令

常用的firewall-cmd命令选项
--get-default-zone :显示当前默认区域
--set-de fault-zone=<zone> :设置默认区域
--get-active-zones:显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=< interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
-- zone=<zone>
--change-. interface=<interface> :为指定的区域更改绑定的网络接口
-- zone=<zone> --remove- interface=<interface> :为指定的区域删除绑定的网络接口
-- zone=<zone> -- add-source=<source> [/<mask> ]
为指定源地址绑定区域
-- zone=<zone> --change-source=<source> [/ <mask>j :为指定的区域更改绑定的源地址
--zone=<zone> -- remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址
--list-all-zones :显示所有区域及其规则
[--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略-- zone=<zone>时表示仅对默认区域操作
显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] -- remove-service=<service> :删除指定区域已设置的允许访问的某项服务
[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid> [-<portid>] /<protocol> :为指定区域设置允许访问的某个/某段端口号( 包括协议名)
[--zone=<zone>] --remove-port=<portid> [-<portid>j /<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
[-- zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有ICMP 类型.
[--zone=<zone>] --add- i cmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP 类型
[--zone=<zone>] -- remove-icmp-block=<i cmptype> :删除指定 区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有ICMP 类型
 

六、Firewalld防火墙案例

获取和修改默认区域

//1.获取默认区域
[root@localhost1 ~]#firewall-cmd --get-default-zone
public
 
//2.设置默认确认区域
[root@localhost1 ~]#firewall-cmd --set-default-zone=work
success

获取区域详细信息 

//1.列出所有区域信息
[root@localhost1 ~]#firewall-cmd --list-all-zones

 
//2.列出默认区域的信息
[root@localhost1 ~]#firewall-cmd --list-all

 
//3.列出指定区域的信息
[root@localhost1 ~]#firewall-cmd --list-all --zone=public

区域源地址操作

//1.为指定区域添加源地址(网段)
[root@localhost1 ~]#firewall-cmd --zone=home --add-source=2.2.2.2

[root@localhost1 ~]#firewall-cmd --zone=public --add-source=192.168.116.0/24

//2.修改指定区域源地址
[root@localhost1 ~]#firewall-cmd --zone=public --change-source=2.2.2.2

//3.移除指定区域源地址
[root@localhost1 ~]#firewall-cmd --zone=public --remove-source=2.2.2.2

区域服务操作

//1.列出默认区域的服务
[root@localhost1 ~]#firewall-cmd --list-services

 
//2.列出指定区域的服务
[root@localhost1 ~]#firewall-cmd --list-services --zone=home

 
//3.为指定区域添加服务
[root@localhost1 ~]#firewall-cmd --zone=work --add-service=http

 
//4.移除指定区域服务
[root@localhost1 ~]#firewall-cmd --zone=work --remove-service=http

获取区域名

//1.获取所有区域
[root@localhost1 ~]#firewall-cmd --get-zones

 
//2.获取已激活的区域
[root@localhost1 ~]#firewall-cmd --get-active-zones

区域网卡接口操作

//1.指定区域添加接口
[root@localhost1 ~]#firewall-cmd --add-interface=ens35 --zone=home

 
//2.获取指定区域的接口
[root@localhost1 ~]#firewall-cmd --get-zone-of-interface=ens33

[root@localhost1 ~]#firewall-cmd --get-zone-of-interface=ens35

 
//3.指定区域修改接口
[root@localhost1 ~]#firewall-cmd --zone=home --change-interface=ens36

 
//4.为指定区域添加接口
[root@localhost1 ~]#firewall-cmd --add-interface=ens33 --zone=home
 
//5.为指定区域移除接口
[root@localhost1 ~]#firewall-cmd --remove-interface=ens35 --zone=home

区域icmp类型操作 

//1.获取所有icmp类型
[root@localhost1 ~]#firewall-cmd --get-icmptypes

//2.为指定区域添加icmp类型
[root@localhost1 ~]#firewall-cmd --zone=work --add-icmp-block=echo-request
 
//3.获取指定区域icmp类型
[root@localhost1 ~]#firewall-cmd --zone=work --list-icmp-blocks
 
//4.删除指定区域icmp类型
[root@localhost1 ~]#firewall-cmd --zone=work --remove-icmp-block=echo-request

七、将修改的防火墙策略设为永久生效

  • 在操作 firewall-cmd 命令行时最后加上 --permanent 选项,再重启(systemctl restart firewalld)或重载(firewall-cmd --reload)服务。
  • 直接在操作完 firewall-cmd 命令行后,使用 firewall-cmd --runtime-to-permanet,将当前的运行时配置写入规则配置文件中,使之成为永久性配置。

八、firewalld设置NET地址转换

设置SNAT

firewall-cmd --zone=区域名 --direct --passthrough ipv4 -t nat -A POSTROUTING -s 私网地址(网段) -j SNAT --to-source 公网地址

[root@localhost1 ~]#firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.98.0/24 -j SNAT --to-source 12.0.0.1
 
[root@localhost1 ~]#iptables -t nat -nL |grep SNAT
SNAT       all  --  192.168.98.0/24     0.0.0.0/0            to:12.0.0.1

设置DNAT

firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 公网地址 -p tcp --dport 80 -j DNAT --to-destination 私网地址(网段)

[root@localhost1 ~]#firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.98.105
 
[root@localhost1 ~]#iptables -t nat -nL |grep DNAT
DNAT       tcp  --  0.0.0.0/0            12.0.0.1             tcp dpt:80 to:192.168.98.105

不过些许风霜罢了.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FirewallD is not running 原因与解决方法
zhengxiaoguo的博客
06-22 5万+
关于linux系统防火墙防火墙导致服务不正常的问题:在服务器安装某些服务之后,服务无法连接、无法正常启动等情况。查看下系统防火墙有没开放相关的服务端口。(linux系统防火墙开放相关端口后还要重启防火墙,重启防火墙防火墙规则才会生效)。以我的 centos7 为例,具体解决方法如下:1、启动FirewallD服务命令: 2、查看FirewallD防火墙状态: 3、现在防火墙 FirewallD 就已经正常运行了。想知道更多FirewallD知识请参考:https://www.fujieace.c
Linux系统防火墙——firewalld
DY_man的博客
04-25 5512
firewalld概述 firewalld防火墙是CentOS 7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfiler网络过滤子系统(属于内核态)来实现包过滤防火墙功能 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPV4、IPV6防火墙设置以及以太网桥(在某些高级服务可能会
linux系统中的防火墙(iptables与firewalld)——firewalld
gd0306的博客
11-07 1119
防火墙 防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalld与iptables centos7/redhat7已经默认使用firewalld作为防火墙,其使用的方式已经变化,基于iptables的防火墙...
Linux防火墙firewalld不生效,无法拦截Docker映射端口
qq_30665009的博客
03-09 8387
今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问服务器开放的端口如下:可以看出并没有开放8103端口开放的服务如下:也没有开放某三维系统,但可以正常访问重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼啊!!!执行 systemctl status firewalld 时突然发现了这么一条警告WARNING: COMMAND_F...
服务器防火墙无法生效问题解决方案以及前端绝对定位写法
weixin_47777564的博客
04-01 1227
前两天在服务器中安装宝塔的过程中,使用管理员命令修改端口可是并未生效; 显示为服务器本身并未生效防火墙; 我怀疑是端口未开启的问题,于是敲入命令行执行; 结果还是显示防火墙未开启; 那我们查看一下防火墙状态,写入命令行: systemctl status firewalld 可以看到,防火墙的状态为“dead” 首先我们的怀疑理由为,防火墙内置的文件存在缓存,并未更新,于是我们写入命令行清除缓存: systemctl unmask firewalld 缓存清除之后,我们继续尝试开启防火墙, 输入防火
Linux - firewall-cmd 命令添加端口规则不生效排查
最新发布
小工匠
10-27 7241
命令中的区域名称和端口号是正确的。如果你有更多的详细信息或特定的错误消息,可以提供它们以便更好地帮助你解决问题。:有时候,防火墙规则之间可能存在冲突。:在添加或更改规则后,需要重新加载防火墙规则以使更改生效。如果你仍然遇到问题,可能需要检查系统日志以获取更多信息,以便进一步诊断问题。:确保你正在为正确的防火墙区域(zone)添加端口规则。最后,如果你使用的是特定的防火墙区域或有定制需求,确保你的。命令查看所有规则,检查是否存在任何与所需规则冲突的规则。区域,请将区域名称更改为适合你的情况。
2021年CentOS7关于Firewalld防火墙失效报错问题处理
热门推荐
Insupport的博客
02-23 1万+
今天发现了一个问题,就是在我进行firewalld防火墙增加指定端口访问的策略时 出现了报错问题,firewalld命令用不了,提示什么没有GI模块: Traceback (most recent call last): File "/usr/bin/firewall-cmd", line 24, in <module> from gi.repository import GObject ImportError: No module named repository 咱也不知道是什么
Linux防火墙——iptabels防火墙(一)
橘子的博客
05-02 1265
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np impo.
Linux网络——shell编程之firewalld防火墙
nwp0611的博客
06-01 735
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。
Linux————设置网关
AmourHaiti的博客
07-21 1190
###网关### 1、把真实主机变成路由器,手机wifi为外网,虚拟机的网关设置为主机ip通过主机的网络进行对网络(外网)的访问; 步骤: systemctl stop libvirtd systemctl restart firewalld 重启防火墙 systemctl start libvirtd firewall-cmd --list firewall-cmd --perma...
毕设日记3.17 ——启动elasticsearch报错(查看日志已成功解决)
caicai_yuan的博客
03-18 4315
昨天把项目代码导入进去了,今天准备跟着视频运行 但是第一步就出错了。 启动elasticsearch,发现没有反应 1.看看是否是防火墙的原因 执行sudo systemctl status firewalld 报错systemctl: command not found 原因:centos6不支持systemctl命令,故使用service命令代替systemctl service iptables stop//临时关闭防火墙 发现启动成功了,但是curl http://linux:92
nginx, firewalld关闭防火墙不管用
qq_21277357的博客
09-14 569
CentOS 7 当你firewalld防火墙停止不管用的话, 尝试用这个命令解决 systemctl stop iptables.service 然后在打开浏览器访问下地址。 例如打开nginx的路径http://192.168.182.141/ ...
linux关闭端口重启不生效,Linux 防火墙开放端口(有时不生效可能是没有保存、重启导致)...
weixin_42467533的博客
05-06 609
Centos7默认安装了firewalld,如果没有安装的话,则需要YUM命令安装;firewalld真的用不习惯,与之前的iptable防火墙区别太大。安装Firewall命令:yum install firewalld firewalld-configFirewall开启常见端口命令:firewall-cmd --zone=public--add-port=80/tcp --permanent...
CentOS7系统的Firewalld防火墙基础详解
weixin_45409403的博客
11-11 793
Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,支持IPv4、IPv6防火 墙设置以及以太网桥,支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式 1.运行时配置 2.永久配置 Firewalld和iptables的关系 netfilter: 位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态” Firewalld/iptable...
firewalld防火墙总结
weixin_45190065的博客
09-06 3617
最全firewalld总结
Centos 7 配置防火墙
会走路的蜗牛
09-11 3039
1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 # 开启 service firewalld start # 重启 service firewalld restart # 关闭 service firewalld sto...
浅谈linux防火墙Firewalld服务
黑白一戒
12-23 442
浅谈linux防火墙Firewalld服务1️⃣ Firewalld服务简介2️⃣ Firewalld服务配置▶1 Firewalld预定义服务配置▶2 Firewalld 三种配置方法▶3 Firewall-cmd 命令选项3️⃣ rich规则▶1 rich规则简介▶2 rich规则实施顺序:▶3 rich规则选项▶4 rich日志规则▶5 伪造和端口转发 1️⃣ Firewalld服务简介...
按上述命令配置后 防火墙未生效
weixin_42576467的博客
12-22 1464
在配置防火墙后未生效的情况下,可能是由于以下几种原因造成的: 防火墙服务没有启动。在大多数系统中,防火墙服务默认是关闭的,因此需要在命令行中输入相应的命令来启动服务。 防火墙规则没有生效。在某些情况下,你可能会在防火墙中添加规则,但是由于某些原因,这些规则并没有生效。这时你可以尝试重新加载防火墙规则或者重启防火墙服务来解决问题。 其他软件或者服务正在使用相同的端口。如果你在防火墙中指定了某个...
Linux firewalld 防火墙使用
昭大人的博客
07-22 1335
Linux firewalld 防火墙使用
liunx 防火墙关闭
06-08
Linux 中关闭防火墙的方法取决于你所使用的 Linux 操作系统和防火墙软件。以下是两种常见的关闭防火墙的方法: 1. 如果你使用的是 CentOS 或者 RHEL 操作系统,可以使用以下命令关闭防火墙: ``` systemctl ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值