linux上的防火墙-firewalld

最新推荐文章于 2024-07-27 00:15:00 发布
最新推荐文章于 2024-07-27 00:15:00 发布
阅读量420 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ageeklet/article/details/82988547
版权

补充说明

 firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。

firewalld跟iptables比起来至少有两大好处:

  1. firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效。
  2. firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。

firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结 构以及使用方法不一样罢了

 firewalld常见的域

区域

默认规则

trusted

默认允许所有数据包

home

拒绝流入的流量 和自反ACL很相似(也就是对我自己发出数据做回应的数据流量不做限制)除非与流出的流量相关特殊的:ssh mdns ipp-client等则允许

work

拒绝流入 与home类似(允许的服务比home少)

public

拒绝流入,与home类似(允许的服务比home少的多)ssh

internal

完全等同home

external 

拒绝流入 非常少ssh

dmz

和public和相似

非军事化管理区域---物理硬件上--DMZ接口

用于替代NAT作用

drop

拒绝流入

block

拒绝流入

 语法

 finger (选项) (参数)

实例 

# 安装firewalld

yum install firewalld firewall-config

systemctl start firewalld # 启动

systemctl status firewalld # 或者 firewall-cmd --state 查看状态

systemctl disable firewalld # 停止

systemctl stop firewalld # 禁用

# 关闭服务的方法 # 你也可以关闭目前还不熟悉的FirewallD防火墙,而使用iptables,命令如下:

systemctl stop firewalld

systemctl disable firewalld

yum install iptables-services

systemctl start iptables

systemctl enable iptables

配置firewalld

firewall-cmd --version # 查看版本

firewall-cmd --help # 查看帮助


 # 查看设置:

firewall-cmd --state # 显示状态

firewall-cmd --get-active-zones # 查看区域信息

firewall-cmd --get-zone-of-interface=eth0 # 查看指定接口所属区域

firewall-cmd --panic-on # 拒绝所有包

firewall-cmd --panic-off # 取消拒绝状态

firewall-cmd --query-panic # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则

firewall-cmd --complete-reload # 两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务


# 将接口添加到区域,默认接口都在
public firewall-cmd --zone=public --add-interface=eth0

# 永久生效再加上 --permanent 然后reload防火墙

# 设置默认接口区域,立即生效无需重启
firewall-cmd --set-default-zone=public

# 查看所有打开的端口:
firewall-cmd --zone=dmz --list-ports

# 加入一个端口到区域: 
firewall-cmd --zone=dmz --add-port=8080/tcp

# 若要永久生效方法同上 # 打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
firewall-cmd --zone=work --add-service=smtp

# 移除服务 
firewall-cmd --zone=work --remove-service=smtp

# 显示支持的区域列表
firewall-cmd --get-zones

# 设置为家庭区域
firewall-cmd --set-default-zone=home

# 查看当前区域
firewall-cmd --get-active-zones

# 设置当前区域的接口
firewall-cmd --get-zone-of-interface=enp03s

# 显示所有公共区域(public)
firewall-cmd --zone=public --list-all

# 临时修改网络接口(enp0s3)为内部区域(internal)
firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改网络接口enp03s为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=enp03s

服务管理

# 显示服务列表

Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看: firewall-cmd --get-services

# 允许SSH服务通过

firewall-cmd --enable service=ssh

# 禁止SSH服务通过

firewall-cmd --disable service=ssh

# 打开TCP的8080端口

firewall-cmd --enable ports=8080/tcp

# 临时允许Samba服务通过600秒

firewall-cmd --enable service=samba --timeout=600

# 显示当前服务

firewall-cmd --list-services

# 添加HTTP服务到内部区域(internal)

firewall-cmd --permanent --zone=internal --add-service=http firewall-cmd --reload

# 在不改变状态的条件下重新加载防火墙

端口管理

# 打开443/TCP端口

firewall-cmd --add-port=443/tcp #


永久打开3690/TCP端口

firewall-cmd --permanent --add-port=3690/tcp


# 永久打开端口好像需要reload一下,临时打开好像不用,如果用了reload临时打开的端口就失效了

# 其它服务也可能是这样的,这个没有测试

firewall-cmd --reload


# 查看防火墙,添加的端口也可以看到

firewall-cmd --list-all

直接模式

# FirewallD包括一种直接模式,使用它可以完成一些工作,例如打开TCP协议的9999端口

firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j ACCEPT

firewall-cmd --reload

控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。

firewall-cmd --add-service=mysql # 开放mysql端口

firewall-cmd --remove-service=http # 阻止http端口

firewall-cmd --list-services # 查看开放的服务

firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306

firewall-cmd --remove-port=80tcp # 阻止通过tcp访问3306

firewall-cmd --add-port=233/udp # 开放通过udp访问233

firewall-cmd --list-ports # 查看开放的端口

伪装 IP

firewall-cmd --query-masquerade # 检查是否允许伪装IP

firewall-cmd --add-masquerade # 允许防火墙伪装IP

firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题:

  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 # 将80端口的流量转发至192.168.0.1 
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

 

  1. 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
  2. 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
just keep
关注
专栏目录
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1945
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
LinuxShell】linux防火墙firewalld防火墙
一个萌新的博客
05-22 1437
主要介绍了firewalld防火墙的概念以及配置方式
Linux】—管理、设置防火墙规则(firewalld详解)
Linux运维老纪的博客
07-27 1163
Firewalld 是一种简单、‌有状态的防火墙,‌基于区域的概念来组织和管理防火墙规则。‌ 它允许管理员根据不同的网络环境(‌如公共、‌内部、‌隔离等)‌设置不同的安全策略,‌从而提供灵活且细粒度的控制。‌Firewalld 支持 IPv4 和 IPv6 防火墙设置,‌并提供了命令行和图形用户界面(‌GUI)‌两种操作方式,‌使得配置和管理更加便捷。‌本章详细介绍防火墙规则防火墙配置。
Linux中的firewalld防火墙介绍
qq_61702710的博客
07-27 1856
FirewalldLinux系统上的一种动态防火墙管理工具,它是Red Hat公司开发的,并在许多现代的Linux发行版中被采用。相比较于传统的静态防火墙规则,Firewalld使用动态的方式来管理防火墙规则,可以更加灵活地适应不同的网络环境和应用场景。Firewalld的主要功能是管理网络连接和防止未经授权的访问。它可以对入站和出站流量进行管理,可以控制端口、服务和网络协议的访问权限,也支持NAT(网络地址转换)和端口转发等高级功能。
Linux安全】Firewalld防火墙
F12138X的博客
05-23 1463
欲穷千里目,更上一层楼
linux网络】firewalld 防火墙
wang_dian1的博客
05-22 1281
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要...官方文档地址:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld  1、firewall
Linuxfirewalld防火墙基础
欲买桂花同载酒
05-22 2190
Linuxfirewalld防火墙基础,内含基础怎删改查命令行介绍,以及图文讲解,命令行演示图片
linux防火墙相关命令与使用
m0_47375135的博客
05-24 2255
记住:因为 trusted 是最被信任的,即使没有设置任何的服务,那么也是被允许的,因为 trusted 是允许所有连接的。它同样只允许被选中的连接,即 ssh,ipp-client,mdns,samba-client 和 dhcpv6-client。2、阻塞(block):阻塞区域会拒绝进入的网络连接,返回 icmp-host-prohibited,只有服务器已经建立的连接会被通过即只允许由该系统初始化的网络连接。只有指定的连接会被接受,即 ssh,而其它的连接将被丢弃或者不被接受。
Linuxfirewalld 防火墙
2302_76410765的博客
05-22 508
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
linux 防火墙管理-firewalld
wsuyixing的博客
02-26 1144
firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务作为防火墙配置管理工具。“firewalld”是firewall daemon。它提供了一个动态管理的防火墙,带有一个非常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。有命令行界面(CLI)和图形界面(GUI).这里主要讲解CLI方式。 本篇对firewalld的原理和操作进行概述
LinuxFirewalld防火墙
h15162064289的博客
05-30 1150
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。trusted (信任区域)允许所有的传入流量public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域external (外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝home (家庭区域。
比iptables更省事的firewalld防火墙
王大雏的博客
05-26 1165
比iptables更省事的firewalld防火墙一、firewalld防火墙概述1、netfilter2、firewalld /iptables二、firewalld 与 iptables 的区别三、firewalld 区域的概念1、firewalld 区域的概念2、firewalld防火墙预定义的9个区域3、区域规则4、firewalld数据处理流程firewalld检查数据包的源地址的规则四、firewalld防火墙的配置1、firewalld防火墙的配置方法2、常用的firewalld-cmd命令选
Linux操作系统:Firewalld防火墙
qq_56414082的博客
11-23 6805
当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。--service= --remove-source-port=[-]/--service= --query-source-port=[-]/--service= --add-source-port=[-]/
Firewalld防火墙策略详解
Iands。的博客
02-24 2195
一、Firewalld firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务
firewalld.service - firewalld - dynamic firewall daemon
最新发布
09-06
火墙服务(firewalld.service)是一个动态防火墙守护程序,它在Linux系统中用于管理和配置网络防火墙,比如CentOS和Fedora等基于Systemd的发行版。firewalld 动态地监控系统的网络连接,并根据预设的规则(策略)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值