【Linux】—管理、设置防火墙规则（firewalld详解）

💝💝💝欢迎来到我的博客，很高兴能够在这里和您见面！希望您在这里可以感受到一份轻松愉快的氛围，不仅可以获得有趣的内容和知识，也可以畅所欲言、分享您的想法和见解。

推荐:Linux运维老纪的首页,持续学习,不断总结,共同进步,活到老学到老
导航剑指大厂系列:全面总结 运维核心技术:系统基础、数据库、网路技术、系统安全、自动化运维、容器技术、监控工具、脚本编程、云服务等。
常用运维工具系列:常用的运维开发工具, zabbix、nagios、docker、k8s、puppet、ansible等
数据库系列:详细总结了常用数据库 mysql、Redis、MongoDB、oracle 技术点,以及工作中遇到的 mysql 问题等
懒人运维系列:总结好用的命令,解放双手不香吗?能用一个命令完成绝不用两个操作
数据结构与算法系列:总结数据结构和算法,不同类型针对性训练,提升编程思维,剑指大厂
非常期待和您一起在这个小小的网络世界里共同探索、学习和成长。💝💝💝 ✨✨ 欢迎订阅本专栏 ✨✨

【Linux】—管理、设置防火墙规则（firewalld详解）

• 一、firewalld
• 1.1 服务的启动、停止
• 1.2 查看和设置默认区域
• 1.3 使用firewalld进行规则配置
• 1.4 重新加载防火墙配置
• 1.5 查询已开放的端口、已允许的服务

在Linux系统中，你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具，而iptables是一个更底层的工具，可以直接配置Linux内核的防火墙规则。

在RHEL 6.9及更早版本中，使用的是iptables作为防火墙管理工具，而在RHEL 7及更新版本中则使用Firewalld。

一、firewalld

1、firewalld是Red Hat系列Linux发行版（如Fedora、CentOS等）引入的一种动态防火墙管理工具，它使用iptables作为底层实现。

2、firewalld提供了一个基于区域（zone）和服务（service）的简化配置界面，使得管理防火墙规则更加容易。

3、它支持动态更新防火墙规则，可以在运行时添加、删除、修改规则，而不需要重新加载整个防火墙配置。

4、firewalld的配置文件位于 /etc/firewalld/ 目录下，主要是一些XML格式的文件，如 zones、services、richrules 等。

5.Firewalld 是一种简单、‌有状态的防火墙，‌基于区域的概念来组织和管理防火墙规则。‌ 它允许管理员根据不同的网络环境（‌如公共、‌内部、‌隔离等）‌设置不同的安全策略，‌从而提供灵活且细粒度的控制。‌Firewalld 支持 IPv4 和 IPv6 防火墙设置，‌并提供了命令行和图形用户界面（‌GUI）‌两种操作方式，‌使得配置和管理更加便捷。‌

Firewalld 的主要特点包括：‌

• 区域（‌Zones）‌：‌Firewalld 将网络划分为不同的区域，‌每个区域都有自己的安全策略和防火墙规则。‌这些区域可以根据网络环境的需求进行配置，‌如公共区域可能更加开放，‌而内部区域则更加安全。‌
• 服务（‌Services）‌：‌Firewalld 使用服务来表示特定的应用程序或服务的网络需求，‌如 HTTP、‌SSH、‌FTP 等。‌每个服务都定义了一组端口和协议，‌以及与之关联的防火墙规则。‌
• 动态管理：‌与传统的静态防火墙不同，‌Firewalld 支持动态管理防火墙规则，‌无需重启整个防火墙即可应用更改。‌
• 配置方式：‌Firewalld 提供了命令行工具（‌firewall-cmd）‌和图形界面工具（‌firewall-config）‌，‌使得配置过程更加直观和简单。‌

此外，‌Firewalld 还支持将当前的运行时配置写入规则配置文件中，‌使之成为永久性配置，‌确保在系统或 Firewalld 服务重启后，‌配置仍然有效。‌这种设计使得 Firewalld 成为 Linux 系统中的一个强大且灵活的防火墙管理工具。

1.1 服务的启动、停止

1、启用/禁用防火墙：
systemctl start firewalld

systemctl stop firewalld

2、设置防火墙开机启动：
systemctl enable firewalld

3、禁用firewall防火墙（开机不启动）
systemctl disabled firewalld

4、防火墙状态查看
systemctl status firewalld
或者
firewall-cmd --state

5、版本查看
firewall-cmd --version

1.2 查看和设置默认区域

1、查看默认区域
firewall-cmd --get-default-zone

2、查看所有可用的区域
firewall-cmd --get-zones

3、查看当前活动区域
firewall-cmd --get-active-zones

4、查看特定区域支持的所有特性
firewall-cmd --zone=zone_name --list-all ##其中，zone_name是你要查询的区域的名称。

例如，如果你想查看"public"区域支持的所有特性，可以运行以下命令：

firewall-cmd --zone=public --list-all

这将列出"public"区域支持的所有特性，包括开放的端口、允许的服务等信息。

5、查看特定区域支持的所有服务
firewall-cmd --zone=zone_name --list-services

其中，zone_name是你要查询的区域的名称。

例如，如果你想查看"public"区域支持的所有服务，可以运行以下命令：

firewall-cmd --zone=public --list-services

这将列出"public"区域支持的所有服务。

6、设置默认区域

firewall-cmd --set-default-zone=your_zone

其中，your_zone 是你想要设置的默认区域的名称，比如 public、internal、dmz 等。

1.3 使用firewalld进行规则配置

• 1、添加规则：

1、开放端口：

firewall-cmd --zone=public --add-port=80/tcp --permanent

–zone=public：指定了要修改的防火墙区域，这里是"public"区域，你可以根据需要修改为其他区域名称。
–add-port=80/tcp：表示要开放的端口为80，使用的协议为TCP。你可以根据实际情况修改端口号和协议类型。如果你想同时开放UDP端口，可以在端口号后面加上"/udp"。
–permanent：表示将修改永久保存到防火墙配置中，使得重启后仍然生效。

这个命令的作用是将TCP端口80开放在指定的防火墙区域中，允许外部主机访问该端口。

2、允许服务：

firewall-cmd --zone=public --add-service=http --permanent

–zone=public：同样是指定要修改的防火墙区域，这里也是"public"区域。
–add-service=http：表示要允许的服务为HTTP，Firewalld提供了一系列预定义的服务名称，这里使用了"http"服务名称，代表HTTP服务。你也可以使用其他预定义服务名称，如"https"、"ssh"等。
–permanent：同样表示将修改永久保存到防火墙配置中。

这个命令的作用是允许HTTP服务在指定的防火墙区域中，允许外部主机访问HTTP服务。

• 2、删除规则：

要删除Firewalld中的规则，可以使用以下命令：

1、删除端口规则：

firewall-cmd --zone=zone_name --remove-port=port/tcp --permanent

其中：

zone_name 是要操作的防火墙区域的名称。
port 是要删除的端口号。
tcp 是要删除的协议类型，如果端口是UDP的，就使用 udp。

例如，要删除在"public"区域中永久开放的TCP端口80的规则，可以运行：

firewall-cmd --zone=public --remove-port=80/tcp --permanent

2、删除服务规则：

firewall-cmd --zone=zone_name --remove-service=service_name --permanent

其中：

zone_name 是要操作的防火墙区域的名称。
service_name 是要删除的服务名称。

例如，要删除在"public"区域中永久允许的HTTP服务规则，可以运行：

firewall-cmd --zone=public --remove-service=http --permanent

1.4 重新加载防火墙配置

无论是添加还是删除规则后，都需要重新加载防火墙配置才能使更改生效：

firewall-cmd --reload

1.5 查询已开放的端口、已允许的服务

1、查询已开放的端口：

firewall-cmd --zone=zone_name --list-ports
##其中： zone_name 是要查询的防火墙区域的名称。

例如，要查询"public"区域中已经开放的端口，可以运行：

firewall-cmd --zone=public --list-ports

这将列出该区域中已经开放的所有端口。

2、查询防火墙是否已打开特定端口：

firewall-cmd --query-port=端口/tcp

例如，要查询端口号 80 是否已打开，可以执行以下命令：

firewall-cmd --query-port=80/tcp

这将返回 yes 或 no，指示端口 80 是否已在防火墙中打开。

3、查询已允许的服务：

firewall-cmd --zone=zone_name --list-services

##其中：zone_name 是要查询的防火墙区域的名称。

例如，要查询"public"区域中已经允许的服务，可以运行：

firewall-cmd --zone=public --list-services

这将列出该区域中已经允许的所有服务

以下是一些基本的Firewalld命令和操作，用于理解和入门Firewalld防火墙的使用：

1. 启动Firewalld服务：

2. sudo systemctl start firewalld

3. 设置Firewalld服务开机自启：

4. sudo systemctl enable firewalld

5. 查看防火墙状态：

6. sudo firewall-cmd --state

7. 列出所有激活的规则：

sudo firewall-cmd --list-all

1. 添加服务到防火墙策略中：

2. sudo firewall-cmd --zone=public --add-service=http --permanent

3. 移除服务从防火墙策略中：

sudo firewall-cmd --zone=public --remove-service=http --permanent

1. 开启特定的端口：

sudo firewall-cmd --zone=public --add-port=5000/tcp --permanent

1. 重新载入防火墙以应用更改：

sudo firewall-cmd --reload

注意：以上命令中的--permanent标志用于使更改永久生效，如果不使用，更改将在下一次重新启动时丢失。

这些基本命令涵盖了Firewalld的基本用法，可以帮助开发者快速了解并开始在他们的系统上配置和管理防火墙规则。