firewalld服务讲解

最新推荐文章于 2025-03-25 10:24:32 发布
最新推荐文章于 2025-03-25 10:24:32 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: Linux-服务管理 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liang_GaRy/article/details/127413382
版权

1、firewalld概述

firewalld是什么?**

  • FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。

什么是动态防火墙?

  • 我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下 iptables service 管理防火墙规则的模式:用户使用命令添加防火墙的规则,如果想让规则永久保存,还需要再执行命令 service iptables reload 使变更的规则保存到配置文件里。在这整个过程的背后,iptables service 会对防火墙的规则列表全部重读一次,加载到内核.
  • 如果我们把这种哪怕只修改一条规则也要进行所有规则的重新载入的模式称为静态防火墙的话,那么 firewalld 所提供的模式就可以叫做动态防火墙,它的出现就是为了解决这一问题,任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的 iptables 即可。

firewalld和iptables的关系

  • 这里有必要说明一下 firewalld 和 iptables 之间的关系, firewalld 提供了一个 daemon 和 service,还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。

什么是区域(zone)?

  • 过滤规则集合:zone
    • 一个zone就是一套过滤规则,数据包必须要经过某个zone才能入站或出站。不同zone中规则粒度粗细、安全强度都不尽相同。可以把zone看作是一个个出站或入站必须经过的安检门,有的严格、有的宽松、有的检查的细致、有的检查的粗略。
  • firewalld将网卡对应到不同的区域(zone),zone 默认共有9个;
    • block :限制,任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
    • dmz :非军事区,用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
    • drop :丢弃,任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
    • external:外部,特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接;
    • home:家庭,用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
    • internal:内部,用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接;
    • public:公共,在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
    • trusted:信任,可接受所有的网络连接。
    • work:工作,用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
  • 不同的区域之间的差异是其对待数据包的默认行为不同,根据区域名字我们可以很直观的知道该区域的特征,在CentOS7系统中,默认区域被设置为public.
  • 指定其中一个区域为默认区域是可行的。当接口连接加入了 NetworkManager,它们就被分配为默认区域。安装时,firewalld 里的默认区域被设定为公共区域。
  • 简单来讲就是为用户预先准备了几套规则集合,我们可以根据场景的不同选择合适的规矩集合,而默认区域是public。

什么是服务?

在 /usr/lib/firewalld/services/ 目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,如 ssh 服务等.

与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口,在最新版本的 firewalld 中默认已经定义了 70多 种服务供我们使用.

当默认提供的服务不够用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在 /etc/firewalld/services/ 目录中.

  • /etc/firewalld/ 存放修改过的配置(优先查找,找不到再找默认的配置)
  • /usr/lib/firewalld/ 默认的配置

修改配置的话只需要将/usr/lib/firewalld中的配置文件复制到/etc/firewalld中修改。恢复配置的话直接删除/etc/firewalld中的配置文件即可。

  • 比如:ssh服务默认运行在22端口,如果你的ssh服务运行在220端口(不是默认),此时需要放行220端口,就需要把/usr/lib/firewalld/ssh.xml 文件拷到 /etc/firewalld/services/ 目录下,修改文件端口为220
[root@node0 ~]# ls /usr/lib/firewalld/services/
[root@node0 ~]# ls /usr/lib/firewalld/services/
amanda-client.xml        https.xml         nfs3.xml                  sip.xml
...................

2、firewalld的命令展示

service配置的好处

  • 通过服务名字来管理规则更加人性化,
  • 通过服务来组织端口分组的模式更加高效
  • 如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
  • 每加载一项 service 配置就意味着开放了对应的端口访问,使用下面的命令分别列出所有支持的 service 和查看当前 zone 种加载的 service:
#列出所有支持的service
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry docker-swarm dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls managesieve mdns minidlna mongodb mosh mountd ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

#查看当前zone加载的service
[root@node0 ~]# firewall-cmd  --list-services 
ssh dhcpv6-client

常用的firewalld命令展示

#安装firewalld
[root@node0 ~]# yum -y install firewalld

#启动
[root@node0 ~]# systemctl start firewalld
#查看状态
[root@node0 ~]# systemctl status firewalld

#停止
[root@node0 ~]# systemctl disable firewalld

#禁用
[root@node0 ~]# systemctl stop firewalld

#查看版本
[root@node0 ~]# firewall-cmd --version 
0.5.3
#查看帮助
[root@node0 ~]# firewall-cmd --help

#显示状态
[root@node0 ~]# firewall-cmd --state
running

#查看区域信息
[root@node0 ~]# firewall-cmd --get-active-zones 
public
  interfaces: ens32

#查看指定接口所属的区域
[root@node0 ~]# firewall-cmd --get-zone-of-interface=ens32
public

#拒绝所有的包
[root@node0 ~]# firewall-cmd  --panic-on 

#取消拒绝状态
[root@node0 ~]# firewall-cmd --panic-off 

#查看是否拒绝
[root@node0 ~]# firewall-cmd --query-panic 

#更新防火墙规则
[root@node0 ~]# firewall-cmd --reload 
	#或者是
[root@node0 ~]# firewall-cmd --complete-reload 
success

#列出所有支持的zone
[root@node0 ~]# firewall-cmd --get-zones 
block dmz drop external home internal public trusted work

#查看当前默认的zone
[root@node0 ~]# firewall-cmd --get-default-zone 
public

#设置默认接口区域--->这里是立即生效的,不用重启
[root@node0 ~]# firewall-cmd --set-default-zone=public
Warning: ZONE_ALREADY_SET: public
success

#把接口添加到区域,默认接口都在public
[root@node0 ~]# firewall-cmd --zone=public --add-interface=ens32
The interface is under control of NetworkManager, setting zone to 'public'.
success

#如果需要永久生效-->加上--permanent -->然后在reload防火墙
[root@node0 ~]# firewall-cmd --zone=public --add-interface=ens32 --permanent 
The interface is under control of NetworkManager and already bound to 'public'
The interface is under control of NetworkManager, setting zone to 'public'.
success
[root@node0 ~]# firewall-cmd --reload 
success

#查看打开的所有端口
[root@node0 ~]# firewall-cmd --zone=dmz --list-ports 

#添加一个端口到指定区域
[root@node0 ~]# firewall-cmd --zone=dmz --add-port=8080/tcp
success
	#如果要永久生效就必须加上参数--permanent 然后reload

#添加某个服务到规则
[root@node0 ~]# firewall-cmd --zone=work --add-service=smtp
success

#移除服务
[root@node0 ~]# firewall-cmd  --zone=work  --remove-service=smtp
success

#输出某个区域全部启用的特性,如果省略区域,将显示默认区域
[root@node0 ~]# firewall-cmd  --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens32
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

#获取活动的区域
[root@node0 ~]# firewall-cmd --get-active-zones 
public
  interfaces: ens32

#根据接口获取区域
[root@node0 ~]# firewall-cmd --get-zone-of-interface=ens32
public

#把接口添加到区域当中
[root@node0 ~]# firewall-cmd --zone=public --add-interface=ens34
success

#修改接口所在的区域
[root@node0 ~]# firewall-cmd --zone=public --change-interface=ens34
success

#从区域中删除一个接口
[root@node0 ~]# firewall-cmd --zone=public --remove-interface=ens34
success

#查询区域中是否包含接口
[root@node0 ~]# firewall-cmd --zone=dmz --query-interface=ens32
no

#查看该区域中启用的服务
[root@node0 ~]# firewall-cmd --zone=public --list-services 
ssh dhcpv6-client

#启用应急模式阻断所有网络连接,以防出现紧急状况
[root@node0 ~]# firewall-cmd --panic-on 
[root@node0 ~]# firewall-cmd --panic-off

#查询应急模式
[root@node0 ~]# firewall-cmd --query-panic 
no

3、firewalld的手工调试实验

通过配置文件来使用firewalld的方法

  • 系统本身已经内置了一些常用服务的防火墙规则,存放在/usr/lib/firewalld/services/
    注意!
  • 请勿编辑/usr/lib/firewalld/services/ ,只有 /etc/firewalld/services 的文件可以被编辑。
#查看
[root@node0 ~]# ls /usr/lib/firewalld/services/

#动态添加一条防火墙规则如下;以下例子均以系统自带的public zone为例子;
	#假设自定义的 ssh 端口号为123,使用下面的命令来添加新端口的防火墙规则:
	#如果需要使规则保存到 zone 配置文件,则需要加参数 –permanent
[root@node0 ~]# firewall-cmd --add-port=123/tcp
success

[root@node0 ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
</zone>

#如果加上--permanent的话
[root@node0 ~]# firewall-cmd --add-port=123/tcp --permanent 

[root@node0 ~]# cat /etc/firewalld/zones/public.xml
..............
  <port protocol="tcp" port="123"/>
.........

防火墙的配置文件也是可以手动修改,修改后记得重载

  • 如果想要开放80端口供外部访问http㐏
  • 把http.xml文件复制到/etc/firewalld/services/下面
  • 这个cp命令其实是可以省略的,系统会优先去读取 /etc/firewalld 里面的文件,读取完毕后,会去/usr/lib/firewalld/services/ 再次读取.为了方便修改和管理,建议复制到/etc/firewalld
[root@node0 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/
[root@node0 ~]# ls /etc/firewalld/services/
http.xml

#首先修改一下默认的规则
[root@node0 ~]# cp /etc/firewalld/zones/public.xml{,.bak}
[root@node0 ~]# 
	#在这个文件中添加一下http服务
......
  <service name="ssh"/>=
	#添加这一行
  <service name="http"/>

#重启防火请就能完成
[root@node0 ~]# firewall-cmd --reload 
success

修改ssh.xml文件的123为ssh的端口

#还是老规矩,复制一下配置 文件
[root@node0 ~]#  cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/

#然后修改一下配置文件的默认端口
[root@node0 ~]# cat /etc/firewalld/services/ssh.xml 
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="123"/>		#修改这个默认的
</service>

#然后重载配置文件就ok了
[root@node0 ~]# firewall-cmd --reload 
success

设置指定ip访问ssh端口

  • 修改/etc/firewalld/zones/中的rule字段内为要限制的ip和使用的服务
[root@node0 ~]# vim /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your compu
ter. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="http"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="123"/>
  #在这里面添加如下几行
  <rule family="ipv4">
  <source address="192.168.75.131"/>
  <service name="ssh"/>
  <accept/>
  </rule>  
  ---------------
</zone>

#然后重启服务
[root@node0 ~]# firewall-cmd --reload
linux的Firewalld防火墙概述
weixin_51725822的博客
02-25 1327
linux防火墙之firewalld一、Firewalld概述1.1 firewalld防火墙1.2 firewalld 与 iptables 的区别(1)作用点(2)存储位置(3)新规则的使用(4)防火墙类型1.3 firewalld 区域的概念firewalld防火墙预定义了9个区域1.4 firewalld数据处理流程二、firewalld防火墙的配置2.1 firewalld防火墙的配置方法2.2 区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应
[RHCE 学习笔记]RedHat 防火墙服务iptables和firewalld详解
Xiaoyintongxue1的博客
02-11 955
基于RedHat9 整理的一篇关于RHCE红帽中级课程防火墙服务章节的学习笔记。详细讲解了防火墙软件iptables和firewalld的工作原理和基本语法、配置以及一些实验
firewalld学习--service
weixin_30585437的博客
08-05 383
servicefirewalld中另外一个非常重要的概念。还是拿门卫的例子来解释。 在iptables的时代我们给门卫下达规则时需要告诉他“所有到22号楼的人全部予以放行”、“所有到80号楼的人全部予以放行”等等, 不过到了firewalld的时代就不需要这样了, 而是可以直接下达像“到销售部的全部予以放行”这样的命令,然后门卫再一查发现销售部在80号楼,那么所有到80号楼的人门...
Linux防火墙基础部分Firewalld防火墙(小白入门级别)
最新发布
博客之路,前途漫漫
03-25 1190
轻松配置防火墙规则来阻止 ping 请求限制特定 IP 地址的 SSH 访问,提高服务器安全性开放 HTTP 服务,让网站正常对外提供服务记住,防火墙配置不是一成不变的,你可以根据实际需求随时调整规则。最重要的是理解每个配置背后的原理,这样才能灵活应对各种场景。希望这篇文章能帮助你在实际工作中少走弯路,轻松搞定防火墙配置!成功的路上没有捷径,只有不断的努力与坚持。你的支持是我继续前行的动力!"每一次创作都是一次学习的过程,文章中若有不足之处,还请大家多多包容。神秘泣男子。
firewalld服务
Not Found 404
08-06 700
目录firewalld服务firewalld zone分类firewalld配置firewall-cmd 命令选项rich规则管理rich规则rich规则示例rich日志规则伪装和端口转发rich转发端口:练习 firewalld服务 firewalld是CentOS 7.0新推出的管理netfilter的工具 firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,i...
CentOS 7防火墙服务FirewallD指南
热门推荐
chszs的专栏
01-16 1万+
CentOS 7防火墙服务FirewallD指南作者:chszs,未经博主允许不得转载。经许可的转载需注明作者和博客主页:http://blog.csdn.net/chszs防火墙是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙通常工作在网络层,也即IPv4或IPv6的IP包上。是否允许包通过防火墙,取决于防火墙配置的规则。这
firewalld学习--service的使用和配置
weixin_30631587的博客
08-05 483
service配置文件 firewalld默认给我们提供的ftp的service配置文件ftp.xml <?xml version="1.0" encoding="utf-8"?> <service> <short>FTP</short> <description>FTP is a protocol use...
7. Linux-RHCE-firewalld-区域讲解
firewalld是Red Hat基于iptables防火墙技术的动态管理工具,通过定义具有不同安全级别的"区域"来管理网络连接。它提供了简单易用的界面来配置和管理防火墙规则,使系统管理员能够更灵活地保护主机。 #
firewalld 防火墙常用命令,新手必看
啊醒的博客
08-31 2264
firewall防火墙常用命令,详细讲解
11. Linux-RHCE-firewalld-日志配置讲解
Firewalld使用XML配置文件来存储防火墙规则,可以为不同的网络接口和服务定义不同的防火墙 zone,从而实现更细粒度的网络安全控制。 ## 1.2 firewalld与iptables的对比 Firewalld与传统的iptables相比,具有更多的...
第七章 使用iptables与firewalld防火墙
u012616827的博客
11-18 907
在图 8-7 所示的局域网中有多台 PC,如果网关服务器没有应用 SNAT 技术,则互联网中的网站服务器在收到 PC 的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的 IP 地址,所以 PC 也就收不到响应数据包了。换句话说,Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers 服务则是能允许或禁止 Linux 系统提供服务的防火墙,从而在更高层面保护了 Linux 系统的安全运行。文件来阻止对服务的请求流量。
linux 7 services设定,centos7 firewalld.service 设定
weixin_34942785的博客
05-16 261
官方文档地址:cd /usr/lib/firewalld/services 目录中存放定义好的网络服务和端口参数,系统参数,不能修改。cd /etc/firewalld/services/systemctl status firewall查看firewall服务状态firewall-cmd –state查看firewall的状态firewall-cmd –l...
firewalld关于service的操作
乐猿
12-02 2840
firewalld关于service的操作
linux中的firewalld服务
Hguan07的博客
08-19 1027
firewalld是linux系统中的默认防火墙,也被称为动态防火墙,firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样。 firewalld
用活firewalld防火墙之service
denghe6366的博客
07-20 532
原文地址:http://www.excelib.com/article/291/show 前面学生已经给大家介绍了在firewalldservice的概念以及在zone中怎么使用service,但是service本身怎么配置我们还没讲,本节学生就来给大家介绍service本身的配置。 service配置文件 service相对于zone来说结构要简单的多,其整体配置文件结构如下 ...
firewalld的zone及firewalldservice
Linux从入门到弃坑
09-27 819
iptables规则备份和恢复 iptables备份数据到配置文件/etc/sysconfig/iptables,使用如下命令 [root@linux-001 ~]# service iptables save iptables备份规则到另外一个文件,而不是配置文件 在这里插入代码片 ...
linux禁止开机启动防火墙firewalld.service
挨踢学霸
03-17 1万+
每次重启测试环境会发现外网都无法访问80端口,用systemctl status firewalld.service检查防火墙,是开启的状态 要使firewall不开机启动,使用命令systemctl disable firewalld.service重启虚机后,再次检查firewall的状态 已经没有启动了。更多文章关注公众号“挨踢学霸”...
深入探索Linux服务安全及监控策略
6. Linux服务安全与监控_06.pdf:可能侧重于日志管理和监控系统的实施,讲解如何使用各种日志工具和监控解决方案来持续监控服务状态和系统表现。 通过对这些文件内容的学习,可以全面了解Linux服务安全与监控的相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Liang_GaRy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值