firewalld 详解

已于 2025-04-25 16:36:24 修改
阅读量677 收藏 12
点赞数 24
文章标签: linux
于 2025-04-25 16:12:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Suger999/article/details/147515433
版权

firewalld 详解

firewalld 是 Linux 系统中一个动态防火墙管理工具,取代了传统的 iptables,提供更灵活、动态的规则配置,支持运行时修改且无需重载服务。以下是其核心概念、常用操作及示例指南:

一、核心概念

  1. 区域(Zone)
    定义网络环境的信任级别,不同区域绑定不同规则。常用预置区域:

    • public:默认区域,适用于不信任的公共网络。
    • home:家庭网络,允许部分服务(如SSH、打印机)。
    • internal:内部网络,信任度高于 home
    • trusted:允许所有流量。

  2. 服务(Service)
    预定义规则集合(如 httpssh),包含端口和协议,简化配置:

    sudo firewall-cmd --list-services  # 查看允许的服务

  3. 端口与协议
    支持手动开放端口(TCP/UDP):

    sudo firewall-cmd --add-port=8080/tcp  # 开放TCP 8080端口

  4. 富规则(Rich Rules)
    复杂规则配置,支持IP、端口范围、限速等:

    sudo firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="3306" protocol="tcp" accept'

  5. 直接规则(Direct Rules)
    直接调用底层 iptables/ip6tables 命令(高级使用):

    sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 9090 -j ACCEPT
二、常用命令
功能命令示例
查看状态sudo firewall-cmd --state
默认区域sudo firewall-cmd --get-default-zone
修改默认区域sudo firewall-cmd --set-default-zone=internal
列出所有区域sudo firewall-cmd --list-all-zones
添加服务sudo firewall-cmd --zone=public --add-service=http
开放端口sudo firewall-cmd --zone=public --add-port=443/tcp
重载配置sudo firewall-cmd --reload
永久生效添加 --permanent 参数,随后重载:
sudo firewall-cmd --permanent --add-port=8080/tcp
三、配置示例

  1. 允许 HTTP/HTTPS 流量

    sudo firewall-cmd --zone=public --add-service=http --permanent
sudo firewall-cmd --zone=public --add-service=https --permanent
sudo firewall-cmd --reload

  2. 限制 SSH 访问(仅允许 192.168.1.0/24 网段)

    sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept' --permanent
sudo firewall-cmd --reload

  3. 转发端口(将80端口转发到内部8080)

    sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080 --permanent
sudo firewall-cmd --reload
四、注意事项

  1. 防止锁定
    测试规则前确保允许当前SSH连接,或设置宽限期:

    sudo firewall-cmd --panic-on   # 紧急模式(阻断所有流量)
sudo firewall-cmd --panic-off  # 恢复

  2. 备份配置
    备份 /etc/firewalld/ 目录下的配置文件(如 zones/services/)。

  3. 日志与监控
    查看防火墙日志(通常位于 /var/log/messagesjournalctl -u firewalld)。

五、总结

firewalld 通过动态管理、区域划分和预定义服务简化了防火墙配置,适合需要灵活调整规则的场景(如服务器、多网络环境)。掌握核心概念与常用命令后,可高效保障系统安全,避免网络攻击。

👉 提示: 使用 man firewall-cmdfirewall-cmd --help 获取更多参数细节。

以下是对 firewalld 常用命令的详细解析,涵盖基础配置、服务管理、端口操作及高级规则的定义。通过这些命令可以高效管理 Linux 系统的防火墙策略。

firewalld 常用命令

一、基础状态与配置

1. 查看防火墙状态
firewall-cmd --state
  • 功能:检查 firewalld 是否正在运行。
  • 输出:running(运行中)或 not running(未运行)。
2. 查看默认区域
firewall-cmd --get-default-zone
  • 功能:显示当前默认的防火墙区域(如 publichomeinternal)。
  • 典型场景:确认新网络接口自动绑定的区域。
3. 修改默认区域
firewall-cmd --set-default-zone=internal
  • 功能:将默认区域更改为 internal(或其他预定义区域)。
  • 注意:修改会立即生效,但不影响已绑定的接口
4. 列出所有区域详情
firewall-cmd --list-all-zones
  • 功能:显示所有区域(zones)的详细配置(服务、端口、来源IP等)。
  • 简化版:使用 --zone=public --list-all 查看特定区域。

二、服务与端口管理

1. 允许服务通过防火墙
firewall-cmd --zone=public --add-service=http
  • 功能:在 public 区域允许 http 服务(预定义端口80/tcp)。
  • 永久生效:添加 --permanent 参数,并执行 firewall-cmd --reload
2. 移除已允许的服务
firewall-cmd --zone=public --remove-service=ssh
  • 功能:在 public 区域移除对 ssh 服务的放行。
  • 紧急场景:若误封了SSH,通过物理控制台或KVM恢复。
3. 开放自定义端口
firewall-cmd --zone=public --add-port=8080/tcp
  • 功能:手动开放TCP端口 8080
  • 多端口:支持范围 3000-4000/udp
4. 查看已开放的端口
firewall-cmd --zone=public --list-ports

三、IP与网络规则

1. 允许特定IP访问
firewall-cmd --zone=public --add-source=192.168.1.10
  • 功能:允许来自 192.168.1.10 的所有流量通过 public 区域。
  • 网段支持:使用 192.168.1.0/24 表示整个子网。
2. 拒绝某IP的流量
firewall-cmd --zone=public --add-source=10.0.0.5 --set-target=DROP
  • 功能:将来自 10.0.0.5 的流量全部丢弃。

四、高级规则(Rich Rules)

适用于复杂场景,支持端口、IP、协议等多条件组合。

1. 限速规则(如每秒允许2个连接)
firewall-cmd --zone=public --add-rich-rule='
  rule family="ipv4"
  source address="192.168.1.0/24"
  port port="22" protocol="tcp"
  limit value="2/s" accept'
2. 拒绝某个IP访问特定端口
firewall-cmd --zone=public --add-rich-rule='
  rule family="ipv4"
  source address="203.0.113.50"
  port port="80" protocol="tcp"
  reject'

五、端口转发与NAT

1. 将外部80端口转发到内部8080
firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080
  • 要求:启用IP伪装(masquerade)以实现NAT:
firewall-cmd --zone=public --add-masquerade

六、临时与永久规则

1. 临时规则(测试用)
  • 若不添加 --permanent,规则将在重启后失效。
  • 示例:临时允许MySQL端口:
firewall-cmd --zone=public --add-port=3306/tcp
2. 永久规则(需重载生效)
firewall-cmd --permanent --zone=public --add-port=3306/tcp
firewall-cmd --reload
  • 注意:直接修改配置文件(/etc/firewalld/)后也需重载。

七、应急操作

1. 紧急阻断所有流量
firewall-cmd --panic-on
  • 恢复命令:
firewall-cmd --panic-off

八、命令总结表

类别命令示例
服务管理firewall-cmd --add-service=ftp --permanent
端口管理firewall-cmd --remove-port=9090/udp
IP规则firewall-cmd --add-source=172.16.0.0/16 --zone=trusted
富规则firewall-cmd --add-rich-rule='rule family="ipv6" drop' --permanent
重载配置firewall-cmd --reload

九、注意事项

  1. 操作顺序:建议先测试临时规则,确认无误后再保存为永久规则。
  2. 防锁定:修改远程服务(如SSH)规则时,确保留有恢复途径。
  3. 日志监控:通过 journalctl -u firewalld 跟踪防火墙行为。

掌握这些命令后,可灵活应对服务器部署、网络隔离、端口转发等典型场景。

Suger999
关注
Firewalld详解
tallercc的博客
11-08 3575
firewall概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙 设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewal
Linux系统-centos防火墙firewalld详解
u013015301的博客
02-08 787
CentOS 7.6默认的防火墙管理工具是firewalld,它取代了之前的iptables防火墙。firewalld属于典型的包过滤防火墙或称之为网络层防火墙,与iptables一样,都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。
firewalld与iptables
记事本
12-07 1050
firewalld与iptables
firewalld防火墙
最新发布
2501_91112123的博客
04-20 835
firewalldLinux 系统中一款功能强大且灵活的防火墙管理工具,它以动态方式管理防火墙规则,无需重启系统即可实时应用新规则,极大提升了网络管理的便捷性与效率。其基于区域(zone)、服务(service)和端口(port)的管理模式,为网络安全策略的制定与实施提供了清晰、层次分明的框架。firewalldLinux 系统中用于管理防火墙的工具,它基于区域来定义不同网络环境与安全级别,如 public、private 等区域,各区域有预定义规则控制流量。
信创服务器上firewalld命令详解 _ 统信 _ 麒麟 _ 中科方德
鹏大圣运维
07-21 1452
Hello,大家好啊!今天给大家带来一篇关于在信创服务器上使用firewalld命令详解文章。firewalldLinux系统中常用的防火墙管理工具,它提供了一种动态管理防火墙的方式,可以在不重启防火墙服务的情况下立即应用新的规则。本文将详细介绍firewalld的基本用法和常用命令,帮助大家更好地管理和配置防火墙。欢迎大家分享转发,点个关注和在看吧!
firewalld详解
king的博客
08-04 972
firewalld详解一:firewalld概述二:firewalld和iptables的关系三:firewalld网络区域3.1:区域介绍3.2:firewalld数据处理流程四:firewalld防火墙的配置方法4.1:运行时配置4.2:永久配置4.3:firewall-config图形工具 一:firewalld概述 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 支持IPV4、IPV6防火墙设置以及以太网桥。 支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式:运行时配
Centos7的Firewalld防火墙基础命令详解
01-10
一、Linux防火墙的基础 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。 netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系; firewalld:指用来管理Linux防护墙的命令程序,属于“用户态”的防火墙管理体系; 1、firewalld概述 firewalld的作用是为包
centos7 firewalld详解,添加删除策略.docx
12-23
centos7 firewalld详解,超级详细
运维iptables与firewalld详解
专注于输出大概有用的软硬件技术!
06-21 2359
关于iptables 与firewalld 的关键概念、常用操作、各自优势特点的详细记录。
firewalld命令小解
weixin_45436497的博客
08-02 313
firewalld
Linux】—管理、设置防火墙规则(firewalld详解
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-18 1万+
Linux】—管理、设置防火墙规则(firewalld详解
Linux安全管理】Firewalld详解
m0_59598029的博客
01-30 1222
1、与iptables不同2、配置防火墙3、firewalld区域概念4、filewalld 配置生效5、firewalld服务firewalld 端口映射富规则 rich-rule。
firewall
chiliwa0464的博客
06-13 477
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, I...
linux命令-iptables与firewalld 命令详解
鸭梨山大。
03-08 2494
iptables是一个在 Linux 中的管理防火墙规则的命令行工具,它作为 Linux 内核的 netfilter 框架的一部分运行,以控制传入和传出的网络流量。与firewalld相比iptables是基于规则的,每个规则必须独立定义,firewalld是基于区域的,规则适用于预定义或自定义区域。iptables适合高度精细和手动的配置,firewalld动态规则更简单且更加用户友好。iptables需要刷新或重新启动才能应用更改,firewalld支持不间断的即时更改。iptables。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值