liunx防火墙

已于 2023-03-31 14:35:27 修改
阅读量279 收藏
点赞数
文章标签: 服务器 网络 linux
于 2023-03-31 14:32:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tina00122/article/details/129876261
版权

liunx防火墙

对于firewalld的理解

Centos7中有两个位置存放了firewall的配置文件,一个是/etc/firewalld,一个是/usr/lib/firewalld,前者是用户配置目录,后者是系统配置目录。/usr/lib/firewalld目录中存放的是firewalld提供的一些默认和备份的配置文件,一般不随意改变,/etc/firewalld目录下才是用户配置的真正生效的配置文件,只有在/etc/firewalld目录不存在或该目录下不存在配置文件的情况下/usr/lib/firewalld目录下的配置文件才会生效。

zone

zone定义了防火墙对某个连接(connection)、网口(interface)或源地址(source address)的信任等级。

  1. 每个zone的防火墙规则是通过/etc/firewalld/zones目录下的xml配置文件来配置的。
  2. Centos7中firewalld为用户预定义了9个zone,分别为drop,block,public,external,dmz,work,home,internal,trusted。这9个zone的配置文件在/usr/lib/firewalld/zones目录下,通过查看他们的配置文件可以得知这9个zone的规则是怎么样的。
    在这里插入图片描述

drop–丢弃
任何传入本机的网络数据包都会被丢弃,并且不会回复,只允许本机对外访问其他服务器。

block–阻塞
任何传入本机的网络连接请求都会被拒绝,并且会回复一条拒绝访问的消息。

public–公共
用于本机处于公共网络环境的场景下,仅接受特定的连接请求,如仅接受某些特定的IP的连接请求,或仅对外部开放特定的某些端口。Centos 7 默认的public.xml文件中仅开放用于ssh连接请求的22端口和dhcpv6-client服务的546端口。

external–外部
与public类似,Centos 7 默认仅开放用于ssh连接请求的22端口。

dmz–非军事区
与external一样,Centos 7 默认也是仅开放用于ssh连接请求的22端口。

work–工作
用于工作网络环境场景下,信任大部分的其他的计算机不会对本机进行攻击。Centos 7 默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,以及IPP协议的631端口。

home–家
用于家庭网络环境,信任网络上的其他计算机不会攻击本机。Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。

internal–内部
与home一样,Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。

trusted–信任
所有对本机的网络连接请求都会被接受。

将网口interface和源地址source划分到某个zone

firewall-cmd [–permanent] [–zone=zone] --add-interface=interface
firewall-cmd [–permanent] [–zone=zone] --add-source=source

firewall-cmd --permanent --zone=block --add-interface=ens33
这条命令会将ens33这个网口划分到block这个zone,这样其他机器访问本机的ens33网口时就会默认走这个zone。
如果某个连接请求没有划分到任何一个zone,那么就会走默认的zone,Centos7 默认情况下,默认zone为public。可以通过以下命令查看或者修改默认zone。

firewall-cmd --permanent --zone=trusted --add-source=192.168.5.112
这条命令会将192.168.5.112这个网口划分到trusted这个zone,–permanent参数会将该配置写入trusted这个zone的配置文件trusted.xml中,使其永久生效,如果不加–permanent,则只会临时生效,重启防火墙或者调用firewall-cmd --reload重新加载配置文件会使得该项配置失效。

获取默认的zone:firewall-cmd --get-default-zone
修改默认的zone:firewall-cmd --permanent --set-default-zone=[zone]
其他的一些相关的命令:1. 列出该zone下绑定了哪些interface:
firewall-cmd [–zone=zone] --list-interfaces
2. 将该interface绑定到另一个zone上:
firewall-cmd [–permanent] [–zone=zone] --change-interface=interface
3. 如果该interface之前绑定到了某个zone,则取消绑定,这样就会走默认zone
firewall-cmd [–permanent] --remove-interface=interface
4. 与source相关的:
firewall-cmd [–permanent] --remove-source=source
firewall-cmd [–permanent] [–zone=zone] --list-sources
firewall-cmd [–permanent] [–zone=zone] --add-source=source

zone的配置文件

<?xml version="1.0" encoding="utf-8"?>
<zone target="DEFAULT">
  <short>Public</short>     //给该zone指定一个名字
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>     //对该zone的描述
  <service name="ssh"/>     //该zone开启的服务
  <service name="dhcpv6-client"/>   
  <port protocol="tcp" port="80"/>    //该zone打开的端口协议
  <port protocol="tcp" port="8080"/>
  <source address="192.168.5.112">     //绑定到该zone的source
  <source address="10.12.18.0/24"/>
  <rule family="ipv4">    //为该zone添加的富语言规则(对10.12.18.X网段的source开放7180至7190所有端口的tcp连接请求。)
    <source address="10.12.18.0/24"/>
    <port protocol="tcp" port="7180-7190"/>
    <accept/>
  </rule>
</zone>

每个标签的含义:
zone:给一个zone指定target

target=“ACCEPT|%%REJECT%%|DROP”

可用于接受(ACCEPT)、拒绝(%%REJECT%%)或丢弃(DROP)与任何规则(端口、服务等)都不匹配的每个数据包,即指定该zone的默认的对连接(connection)、网口(interface)或源地址(source address)的行为,如果不指定target,则默认为default,default的行为与REJECT类似。

service的概念

service是预定义的一系列的本机的协议、端口、目标ip等,service可以让我们更加方便的让防火墙限制外部对本机的某些端口的访问。

配置文件:
/etc/firewalld/services
/usr/lib/firewalld/services

查看firewalld

firewall-cmd --state

启动关闭防火墙

启动:systemctl start firewalld
重启:systemctl restart firewalld
关闭:systemctl stop firewalld
开机自启动:systemctl enable firewalld.service
查看防火墙设置开机自启是否成功:systemctl is-enabled firewalld.service

查看已开启的端口

firewall-cmd --list-ports或netstat -ntlp

查看防火墙规则

firewall-cmd --list-all

查看允许协议

firewall-cmd --list-protocols

firewall-cmd --zone=public --list-ports   查看防火墙开放端口
firewall-cmd --add-port=123/tcp --permanent    添加123
firewall-cmd --reload    重新加载
firewall-cmd --query-port=123/tcp    查看123是否添加成功
firewall-cmd --permanent --remove-port=123/tcp    移除123
Tina00122
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
linux firawll防火墙设置白名单/指定ip访问指定端口
qq_34536480的博客
06-21 8428
linux firawll防火墙设置白名单/指定ip访问指定端口
Linux中只允许某个特定的ip地址或ip段访问22端口
阿宇的博客
05-29 7321
Linux中只允许某个特定的ip地址或ip段访问22端口 想必大家看到标题,想到限制,第一方法肯定是防火墙,如下我来进行防火墙规则的尝试。环境用的是CentOS7.4 #限制ip为192.168.137.12的地址禁止访问80端口 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.137.12" port protocol="tcp" port="80" reject" 可是这样的话
centos7使用firewalld限制ip登陆22端口
爷来辣的博客
11-21 1万+
安装firewall后(LINUX7系统一般情况下默认已安装),防火墙默认配置是只打开SSH端口的,也就是22端口,就是默认放行ssh服务,不受firewalld-cmd的规则限制。如果SSH的端口已更改成别的端口了,请切记一定在启动firewall前先修改对应服务策略中SSH的端口为你的SSH端口,文件路径:/usr/lib/firewalld/services/ssh.xml 把22改成你的远...
firewalld修改默认的22端口限制ip访问
qq_41191343的博客
07-09 2239
挺简单的 就是简单记录一下 #//先移除默认开启的没有访问限制的ssh服务 firewall-cmd --permanent --remove-service=ssh #然后再按照正常的开放端口命令开放就行 firewall-cmd --permanent --add-rich-rule=‘rule family=“ipv4” source address=“10.10.1.0/24” port protocol=“tcp” port=“22” accept’ ###记得重启一下 firewalld-cmd
Linux系统通过firewall限制或开放端口
不会吉他的肌肉男不是好的挨踢男的专栏
08-27 3777
一、查看防火墙状态 1、首先查看防火墙是否开启,如未开启,需要先开启防火墙并作开机自启 systemctl status firewalld 这是关闭的状态 这是开启状态 开启防火墙并设置开机自启 systemctl start firewalld systemctl enable firewalld 二、开放或限制端口 1、开放端口 (1)比如我们需要开启XShell连接时需要使用的22端口 firewall-cmd --zone=public --add-port=22/tcp --perman
liunx防火墙配置
11-18
liunx防火墙配置,了解和学习liunx防火墙,文档简单易懂。
Liunx防火墙常用命令.pdf
12-16
Liunx防火墙常用命令
packet-filtering-firewall-master.zip_firewall_liunx——防火墙_包过滤 防火墙
09-25
应用层包过滤防火墙 一个简单的应用层包过滤防火墙实现 Qt/SQLite/NetFilter 编译过程可使用QtCreator编译,也可使用命令行 sudo qmake && make 来编译。 运行则执行 sudo ./firewall 即可。
Linux系统中防火墙的框架分析
09-16
Linux系统中防火墙的框架分析
Linux(例如CentOS 7)打开TCP 22端口,基于SSH协议
$firecat利白的代码足迹$
10-26 4万+
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。 TCP 22端口是基于linux下的SSH服务,启动可以用下面的方法: /etc/init.d/sshd start 或者 servic
信创操作系统Linux(Bclinux、龙蜥、欧拉、Rocky、Alma)
qyq88888的专栏
12-06 5万+
linux
linux7防火墙保存路径,CentOS7如何设置防火墙
weixin_34778803的博客
05-10 415
1. firewall配置在旧版本的CentOS中,是使用 iptables 命令来设置防火墙的。但是,从CentOS7开始,默认就没有安装iptables,而是改用firewall来配置防火墙。firewall的配置文件是以xml的格式,存储在 /usr/lib/firewalld/ 和 /etc/firewalld/ 目录中。1.1 系统配置目录/usr/lib/firewalld//usr/...
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2280
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
linux中防火墙配置详解之(iptables)
热门推荐
m493096871的博客
12-09 5万+
iptables 防火墙中有三张表(iptables) 名称分别是 filter   包含      input  forward    output     nat (net address transfer) 地址转换 包含       input  prerouting  postouting output mangle 包含   input prerouting  forward   ...
Nginx之静态文件服务器的搭建
wyx的博客
06-13 706
静态文件服务器是指提供HTML文件访问或客户端 可直接从中下载文件的Web服务器。对于图片、 JavaScript或CSS文件等渲染页面外观的、不会动态改 变内容的文件,大多数网站会单独提供以静态文件服 务器的方式对其进行访问,实现动静分离的架构。在以上配置中,每个server指令域等同于一个虚 拟服务器,每个location指令域等同于一个虚拟目录。
百度网盘限速解决办法
最新发布
生活在别处
06-13 672
比如可以获取下载直链后,使用IDM(Internet Download Manager)对该直链进行多线程下载,但是并不会有实际速率提升效果,因为百度网盘在服务器端进行了限速,多线程的速率总和被限制在了100KB/s左右。(现在虽然是所谓玩游戏获得会员下载体验,实际上点击后会在百度网盘内打开一个web游戏,并不需要游玩游戏,直接等待会员下载体验时间结束即可关闭web游戏窗口)所以,客户端这些改动伎俩通通没有实际效果,即使在客户端显示无限速、显示会员体验,都只是自欺欺人而已。
ASP 应用程序
csbysj2020的博客
06-09 333
ASP(Active Server Pages)是一种由微软开发的服务器端脚本环境,用于动态网页的创建。ASP允许开发者使用多种脚本语言,如VBScript或JScript,来创建交互式的网页。这些网页可以与数据库交互,处理表单数据,以及执行其他服务器端任务。ASP应用程序通常运行在Windows服务器上,并需要IIS(Internet Information Services)作为其Web服务器。
速盾:服务器cdn加速超时如何解决?
zhuguowang01的博客
06-07 359
当用户访问网站时,CDN会根据用户的地理位置,将网站内容从最近的服务器上提供给用户。然而,由于网络环境的复杂性和服务器的负载压力,服务器CDN加速超时问题经常会出现。综上所述,服务器CDN加速超时是一个常见的问题,在很大程度上影响了网站的访问速度和用户体验。通过优化网络延迟、降低服务器负载和正确配置服务器,可以解决CDN加速超时问题,并提高用户体验。这样可以减少单个服务器的负载,提高整体的性能和可靠性。增加服务器的带宽和处理能力:增加服务器的带宽和处理能力可以提高服务器的性能,减少CDN加速超时的风险。
liunx 防火墙关闭
06-08
在 Linux 中关闭防火墙的方法取决于你所使用的 Linux 操作系统和防火墙软件。以下是两种常见的关闭防火墙的方法: 1. 如果你使用的是 CentOS 或者 RHEL 操作系统,可以使用以下命令关闭防火墙: ``` systemctl ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值