firewall 服务

最新推荐文章于 2024-07-03 17:07:26 发布
最新推荐文章于 2024-07-03 17:07:26 发布
阅读量1k 收藏 16
点赞数 9
文章标签: 大数据 数据库 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yong_LQ/article/details/139309297
版权

一、firewall 服务介绍

firewalld是Rhel 7.0新推出的管理netfilter的用户空间软件工具 firewalld是配置和监控防火墙规则的系统守护进程。

可以实现iptables,ip6tables,ebtables的功能。

firewalld服务由firewalld包提供。

firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则。

Firewalld会检查进入系统的每个数据包的源地址。如果该源地址被分配给特定区域,则应用该区域的规则。如果该源地址未分配给某个区域,firewalld就会将数据包与传入网络接口的区域相关联,并应用该区域的规则。如果出于某种原因,网络接口未与某个区域关联,则firewalld 会将数据包与默认区域相关联。

默认区域不是一个单独的区域,而是指代现有的区域。最初,firewalld指定public区域为默认区域,并将lo回环接口映射至trusted区域。

1、归入zone顺序:

  • 先根据数据包中源地址,将其纳为某个zone
  • 纳为网络接口所属zone
  • 纳入默认zone,默认为public zone,管理员可以改为其它zone

网卡默认属于public zone,lo网络接口属于trusted zone

2、firewalld zone分类

Firewalld上有一些预定义区域,可分别进行自定义。默认情况下,如果传入流量属于系统启动的通信的一部分,则所有区域都允许这些传入流量和所有传出流量。下表详细介绍了这些初始区域配置。

3、预定义服务

0

4、firewalld预定义服务配置

  • firewall-cmd --get-services 查看预定义服务列表
  • /usr/lib/firewalld/services/*.xml预定义服务的配置

5、firewalld 三种配置方法

  • firewall-config (firewall-config包)图形工具
  • firewall-cmd (firewalld包)命令行工具
  • /etc/firewalld 配置文件,一般不建议

6、firewall-cmd 命令

# firewall-cmd 格式 firewall-cmd [OPTIONS...] # 常用选项 --get-zones 列出所有可用区域 --get-default-zone 查询默认区域 --set-default-zone=<ZONE> 设置默认区域 --get-active-zones 列出当前正使用的区域 --add-source=<CIDR>[--zone=<ZONE>] 添加源地址的流量到指定区域,如果无--zone= 选项,使用默认区域 --remove-source=<CIDR> [--zone=<ZONE>] 从指定区域删除源地址的流量,如无--zone= 选项,使用默认区域 --add-interface=<INTERFACE>[--zone=<ZONE>] 添加来自于指定接口的流量到特定区域,如果无--zone= 选项,使用默认区域 --change-interface=<INTERFACE>[--zone=<ZONE>] 改变指定接口至新的区域,如果无--zone=选项,使用默认区域 --add-service=<SERVICE> [--zone=<ZONE>] 允许服务的流量通过,如果无--zone= 选项,使用默认区域 --add-port=<PORT/PROTOCOL>[--zone=<ZONE>] 允许指定端口和协议的流量,如果无--zone= 选项,使用默认区域de --remove-service=<SERVICE> [--zone=<ZONE>] 从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默认区域 --remove-port=<PORT/PROTOCOL>zone=<ZONE>] 从区域中删除指定端口和协议,禁止该端口的流量,如果无--zone= 选项,使用默认区域 --reload 删除当前运行时配置,应用加载永久配置 --list-services 查看开放的服务 --list-ports 查看开放的端口 --list-all [--zone=<ZONE>] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone= 选项,使用默认区域 # 案例演示 #查看默认zone firewall-cmd --get-default-zone #默认zone设为dmz firewall-cmd --set-default-zone=dmz #在internal zone中增加源地址192.168.0.0/24的永久规则 firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24 #在internal zone中增加协议mysql的永久规则 firewall-cmd --permanent --zone=internal --add-service=mysql #加载新规则以生效 firewall-cmd --reload

  • 配置firewalld

systemctl enable firewalld systemctl start firewalld firewall-cmd --get-default-zone firewall-cmd --set-default-zone=public firewall-cmd --permanent --zone=public --list-all firewall-cmd --permanent --zone # 移除源 firewall-cmd --per --remove-sources=ip --zone=work

二、其他规则

当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则:

  • rich-rules 富规则,功能强,表达性语言
  • Direct configuration rules 直接规则,灵活性差, 帮助:man 5 firewalld.direct

1、管理rich规则

rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和 auditd,也可以实现端口转发,伪装和限制速率。

  • 规则实施顺序:
    • 该区域的端口转发,伪装规则
    • 该区域的日志规则
    • 该区域的允许规则
    • 该区域的拒绝规则
  • 每个匹配的规则生效,所有规则都不匹配,该区域的默认规则生效。

2、rich 语法

rule [source] ##来源 [destination] ###目的 service|port|protocol|icmp-block|masquerade|forward-port [log] [audit] [accept|reject|drop] ##接受/拒绝/放弃

  • man 5 firewalld.richlanguage
  • rich 规则选项

0

选项: family : 制定规则仅应用ipv4数据包 source address: 提供的数据包具有源地址 service: 服务类型

3、rich 规则实现

  • 拒绝从192.168.0.11的所有流量,当address 选项使用source 或 destination时,必须用family= ipv4 |ipv6

firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.0.11/32 reject'

  • 限制每分钟只有两个连接到ftp服务

firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’

  • 抛弃esp( IPsec 体系中的一种主要协议)协议的所有数据包

firewall-cmd --permanent --add-rich-rule='rule protocol value=esp drop'

  • 接受所有192.168.1.0/24子网端口5900-5905范围的TCP流量

firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'

4、端口的SELinux

主体为进程,客体为端口.

正常情况下,无法随意修改服务的端口,服务有自己的selinux标签的端口,标签不对,启动服务就会失败.

4.1、查看端口selinux标签类型

semanage prot -l 范例: [root@serverb ~]# semanage port -l | grep 80 amanda_port_t tcp 10080-10083 amanda_port_t udp 10080-10082 conntrackd_port_t udp 3780 cyphesis_port_t tcp 6767, 6769, 6780-6799 geneve_port_t tcp 6080 hadoop_namenode_port_t tcp 8020 hplip_port_t tcp 1782, 2207, 2208, 8290, 8292, 9100, 9101, 9102, 9220, 9221, 9222, 9280, 9281, 9282, 9290, 9291, 50000, 50002 http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000

4.2、在selinux标签中添加端口

semanage port [port] -a -t [type] -p [tcp/udp] 范例: [root@serverb ~]# semanage port 8800 -a -t http_port_t -p tcp [root@serverb ~]# semanage port -l | grep 8800 http_port_t tcp 8800, 80, 81, 443, 488, 8008, 8009, 8443, 9000

Yong_LQ
关注
  • 9
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一个win10 Windows Defender Firewall 服务无法启动问题
蛐蛐的博客
09-29 4078
1.简介 控制面板防火墙打不开,Windows Defender Firewall 服务禁用,而且是灰色无法更改状态 2.解决 修改注册表 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mpssvc start改成2,重启即可
Shell脚本一键部署DNS-FTP-DHCP-Firewall服务
qq_42476887的博客
02-01 811
阶段一项目实战 场景 初创公司是一家新成立的创业公司,公司根据业务需求准备部署一个小型网络,包含四台服务器和若干客户机。工程师规划的网络拓扑如图 1 所示。考虑到后期需要在全国多个城市开分公司,公司希望通过 Shell 的方式,可以在不同的分支机构进行快速复制现有网络。 在管理员PC上编写shell脚本,实现一键部署,实现以下项目需求: 分别部署防火墙、DHCP 服务器、DNS 服务器和 ...
Linux中的防火墙服务firewall
weixin_45426401的博客
08-16 218
1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 : systemctl enable firewalld ...
Linux之iptables(五、firewall命令及配置)
Phyllostachys
10-26 232
Linux之iptables(五、firewall命令及配置) firewalld服务 firewalld是CentOS 7.0新推出的管理netfilter的工具 firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,ip6tables,ebtables的功能 firewalld服务firewalld包提供...
Firewalld 防火墙基础
最新发布
m0_71548847的博客
07-03 1791
firewalld 简介frewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewald 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接日。firewalld和iptables 的关系。
firewalld服务
xixlxl的博客
03-01 2084
firewalld服务在企业7以上的版本,,是一款类似于windows界面的可以图形化设置防火墙策略的工具。 一.firewalld服务的安装与启用 yum install firewalld ##安装firewalld服务 systemctl start firewalld ##启用firewalld服务 systemctl enable fir...
linux中iptables与firewall
qq_23898493的博客
11-15 1969
学习目标: iptables与firewall常用命令以及区别 内容: iptables ##基本介绍 iptables只是Linux防火墙的管理工具,位于/sbin/iptables。真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构。 ##常用命令 ##修改防火墙操作方法 vi /etc/sysconfig/iptables #添加以下内容 -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACC
Linux系统的firewalld服务
zxj_1102的博客
08-20 315
一、firewalld 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成
win7系统无法启动windows firewall服务的解决方法.docx
09-27
Windows 7系统无法启动Windows Firewall服务的解决方法 在Windows 7系统中,Windows Firewall服务是一个非常重要的安全组件,它可以保护操作系统免受恶意攻击和未经授权的访问。但是,有些用户在使用Windows 7系统...
firewall服务
m0_55885185的博客
09-29 443
查看firewall服务当前所使用的区域:firewall-cmd --get-default-zone(get是获取default是默认值zone是区域) 查询public区域是否允许请求服务(ssh)协议的流量:firewall-cmd --zone=public --query-service=ssh(--query-service要查询的服务) 把firewall服务中请求HTTPS协议流量设置为永久允许:firewall-cmd --zone=public --add-servic..
windows firewall服务不能启动解决方案
10-10
- 通过事件查看器可以发现系统日志中存在ID为7024的错误记录,表明Windows Firewall服务因拒绝访问或服务特定错误而停止。 #### 解决方案步骤详解 针对上述问题,以下是一种有效的解决方案: 1. **打开注册表编辑...
Linux 防火墙配置(iptables和firewalld)详细教程。
高性价比服务器就选:蓝易云
06-14 530
以上只是一些常见的iptables和firewalld命令示例,你可以根据自己的需求进行修改和扩展。请注意,在配置防火墙时务必小心,确保不会阻塞你所需要的合法流量,并确保保存和加载配置以使其永久生效。另外,建议在配置防火墙之前备份现有的防火墙规则以防止意外情况发生。iptables是Linux上最常用的防火墙工具之一,而firewalld是CentOS 7及其衍生版本中默认使用的防火墙管理工具。下面是一个简要的 Linux 防火墙配置教程,涵盖了iptables和firewalld两种常用的防火墙工具。
Linux之iptables及firewall超详解
热门推荐
weixin_64051859的博客
07-31 2万+
Linux之iptables及firewall超详解
firewalld服务讲解
Liang_GaRy的博客
10-19 1379
Linxu-firewalld服务讲解
Linux防火墙——iptables以及firewalld的使用介绍
树下一少年的博客
01-22 2729
本文基于Linux上CentOS 7版本配合iptables、iptables-services、firewalld等服务进行演示 Linux防火墙——iptables以及firewalld的使用介绍 一.防火墙概念以及Netfilter机制介绍 二..iptables原理 三.firewalld(区域)简介 含端口转发
linux防火墙(firewalld和iptables)
肥猫警长的博客
11-01 5304
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
Linux防火墙firewall命令和iptables命令
qq_32486597的博客
11-29 279
Linux防火墙和端口的查看 firewall命令: systemctl status firewalld #查看firewall防火墙状态 firewall-cmd --list-ports #查看firewall防火墙开放端口 systemctl start firewalld.service #打开firewall防火墙 systemctl stop firewalld.service #关闭firewall防火墙 firewall -cmd --reloa..
Linux系统的防火墙——firewalld与iptables
kxbdys的博客
09-20 288
1、防火墙主要目的:防止外部黑客对内网的渗透和对内网的攻击 2、防火墙匹配规:从上往下匹配,越往上的规则与策略优先级越高。 3、当防火墙的默认策略为拒绝时,就要设置允许规则,否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝策略,否则谁都可以进来。 4、firewalld支持动态更新技术并加入了区域的概念,用户可以根据生产环境的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。 5、 firewalld中常用的区域名称及策略规则 区域 ...
Windows无法启动Windows firewall服务
06-10
这个问题可能是由于多种原因引起的,比如防火墙服务被禁用、服务出现故障等等。你可以尝试以下解决方法: 1. 检查防火墙服务是否被禁用。打开“服务”应用程序,找到“Windows 防火墙”服务,确保其状态为“正在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值