firewalld 与 iptables的配置

最新推荐文章于 2022-07-15 17:33:05 发布
最新推荐文章于 2022-07-15 17:33:05 发布
阅读量251 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/awoyaoc/article/details/80698114
版权

Firewalld 概述

  1. 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥, 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

  2. 系统提供了图像化的配置工具 firewall-config、system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配置 firewalld 永久性或非永久性运行时间的改变: 它依次用 iptables 工具与执行数据包筛选的内核中的 Netfilter 通信。

3.firewalld 和 iptables service 之间最本质的不同是:

• iptables service 在 /etc/sysconfig/iptables 中储存配置, 而 firewalld 将配置储存在 / usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里.
• 使用 iptables service 每一个单独更改意味着清除所有旧有的规则和从 / etc/sysconfig/iptables 里读取所有新的规则, 然而使用 firewalld 却不会再创建任何新的规则; 仅仅运行规则中的不同之处。因此, firewalld 可以在运行时间内, 改变设置而不丢失现行连接。
基于用户对网络中设备和交通所给与的信任程度, 防火墙可以用来将网络分割成不同的区域 NetworkManager 通知 firewalld 一个接口归属某个区域, 新加入的接口被分配到默认区域。
这里写图片描述
网络区名称 默认配置
trusted(信任) 可接受所有的网络连接
home(家庭) 用于家庭网络, 仅接受 ssh、mdns、ipp-client、samba-client、或 dhcpv6-client 服务连接
internal(内部) 用于内部网络, 仅接受 ssh、mdns、ipp-client、samba-client、dhcpv6-client 服务连接
work(工作) 用于工作区, 仅接受 ssh、ipp-client 或 dhcpv6-client 服务连接
public(公共) 在公共区域内使用, 仅接受 ssh 或 dhcpv6-client 服务连接, 为 firewalld 的默认区域
external(外部) 出去的 ipv4 网络连接通过此区域伪装和转发, 仅接受 ssh 服务连接
dmz(非军事区) 仅接受 ssh 服务接连
block(限制) 拒绝所有网络连接
drop(丢弃) 任何接收的网络数据包都被丢弃, 没有任何回复
这里写图片描述

管理防火墙

firewalld的启动
[root@client Desktop]# yum install firewalld firewalld-config -y
[root@client Desktop]# firewalld-config & firewalld 的图形化管理

启动和禁止防火墙

systemctl start firewalld
systemctl enable firewalld
systemctl stop firewalld
systemctl disable firewalld

使用命令行接口配置防火墙

查看 firewalld 的状态

[root@client Desktop]# firewall-cmd --state
running

查看默认网络区域

[root@client Desktop]# firewall-cmd --get-default-zone 
public    ##公共

查看所有可用区域

[root@client Desktop]# firewall-cmd --get-zones
ROL block dmz drop external home internal public trusted work

列出指定域(public)的所有设置

[root@client Desktop]# firewall-cmd --zone=public --list-all 
public (default, active)
  interfaces: eth0
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

列出指定域(block)的所有设置

[root@client Desktop]# firewall-cmd --zone=block --list-all 
block
  interfaces: 
  sources: 
  services: 
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

列出所有区域的设置

[root@client Desktop]# firewall-cmd --list-all-zones

设置默认区域

[root@client Desktop]# firewall-cmd --set-default-zone=trusted 
success
[root@client Desktop]# firewall-cmd --get-default-zone 
trusted
[root@client Desktop]# firewall-cmd --get-active-zones 
ROL
  sources: 172.25.0.252/32
trusted      ##网络区为信任
  interfaces: eth0

设置网络地址到指定的区域

firewall-cmd -permanent --add-source=172.25.254.36 --zone=trusted
firewall-cmd -permanent --add-source=172.25.254.36/24 --zone=trusted 
–permanent 参数表示永久生效设置 
如果没有指定–zone 参数, 那么会加入默认区域 
172.25.254.36(IP 指定)、172.25.254.36/24(网络位相同即可)

删除指定区域中的网络地址

firewall-cmd -permanent --remove-source=172.25.254.36 --zone=trusted

查看指定级别的接口

[root@client Desktop]# firewall-cmd --list-interfaces 
eth0

查看指定接口的 Zone 信息

[root@client Desktop]# firewall-cmd --get-zone-of-interface=eth0
trusted

添加网络接口

[root@client Desktop]# firewall-cmd --add-interface=eth1 --zone=public 
success
[root@client Desktop]# firewall-cmd --get-zone-of-interface=eth1
public

改变某接口至某信任等级,譬如改变 eth0 至 public

[root@client Desktop]# firewall-cmd --change-interface=eth0 --zone=public 
success
[root@client Desktop]# firewall-cmd --get-zone-of-interface=eth0
public
[root@client Desktop]# firewall-cmd --get-zone-of-interface=eth1
public

删除指定接口 eth1

[root@client Desktop]# firewall-cmd --remove-interface=eth1 --zone=trusted 
success
[root@client Desktop]# firewall-cmd --get-zone-of-interface=eth1
no zone
添加、改变、删除网络接口: 
firewall-cmd –permanent –zone=internal –add-interface=eth0 
firewall-cmd –permanent –zone=internal –change-interface=eth0 
firewall-cmd –permanent –zone=internal –remove-interface=eth0 
添加、删除服务: 
firewall-cmd –permanent –zone=public –add-service=smtp 
firewall-cmd –permanent –zone=public –remove-service=smtp 
列出、添加、删除端口: 
firewall-cmd –zone=public –list-ports 
firewall-cmd –permanent –zone=public –add-port=8080/tcp 
firewall-cmd –permanent –zone=public –remove-port=8080/tcp 
重载防火墙: 
firewall-cmd –reload 
(注意: 这并不会中断已经建立的连接, 如果打算中断, 可以使用 –complete-reload 选项)firewalld 的规则被保存在 / etc/firewalld 目录下的文件中, 你也可以直接编辑这些文件达到配置防火墙的目的。/usr/lib/firewalld 目录下的内容是不可以被编辑的, 但可以用做默认模板。

添加、删除服务

添加

[root@client ~]# firewall-cmd --zone=public -add-service=http 
success
[root@client ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0 eth1
  sources: 
  services: dhcpv6-client http ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules:

删除

[root@client ~]# firewall-cmd --remove-service=http
success
[root@client ~]# firewall-cmd --reload   ##不完全刷新
success
[root@client ~]# firewall-cmd --list-all
[root@client ~]# firewall-cmd --list-all
最低0.47元/天 解锁文章
不要海带香菜
关注
Linux下防火墙iptablesfirewalld通俗介绍和简单配置
Until_U的博客
07-08 705
CONTENTS 1 Linux防火墙 1.1 防火墙概述 1.2 netfilter过滤机制 1.3 SNAT和DNAT 2 iptablesfirewalld 2.1 iptables简介 2.2 firewalld简介 2.3 二者的异同 3 iptablesfirewalld配置 3.1 服务管理 3.2 iptables配置管理 3.3 firewalld配置管理 3.3.1firewalld的图形化管理 3.3.2命令管理firewalld防火墙 ...
防火墙工具Firewalldiptables轻松搞定
知识库总结、分享
05-29 984
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
Linux防火墙之具有命令行的FirewallD的基本操作
Adam040606的博客
02-01 665
转自:http://my.oschina.net/fhd/blog/413945 启动FirewallD服务: ? 1 2 systemctl enable firewalld.service        #设置开机启动 systemctl start firewalld.service            #开启服务
CentOS 7 firewalld 基本操作
weixin_34032779的博客
02-01 91
2019独角兽企业重金招聘Python工程师标准>>> ...
KBEngine使用记录
八零点点
08-11 3995
部分引用KBEngine官网的一些句段,感谢kbe。 下列符号解释 =:继承 ==:等同 +:与上具有子关系 CellAppMgr:管理多个CellApp +CellApp:管理多个区域 + Cell:一个区域 ==Space:等同Cell +此区域上的玩家entity:代表玩家 +Witness(对象):监视周围的玩家entity,将发生的事件消息同步给客户端 +AOI(兴趣...
Firewalldiptables防火墙的区别
量子黑洞、的博客
08-05 2942
Firewalldiptables防火墙简述: Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,也因此获得广泛的应用。 相同点: firewalldiptables 防火墙都属于典型的包过滤防火墙或称之为网络层防火墙, firewalldiptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,
Linux防火墙之firewalldiptables
day day up
07-15 2647
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
CentOS 7之FirewallDiptables的区别
weixin_33935777的博客
06-05 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
防火墙(firewalldiptables
qq_16021247的博客
04-13 224
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptablesiptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制端口 Iptablesfirewalld只能...
使用iptables与firewall来配置防火墙
qq_45279999的博客
05-03 901
防火墙位于内网与外网之间,相较于内网,外网的安全和环境都十分恶劣,时不时都会受到攻击。所以可以用防火墙来设置策略,阻断影响安全的因素。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就能够保证仅有合法的流量在企业内网和外部公网之间流动。 iptablesfirewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已;或者说,它们只是一种服务。早期
linux中firewalldiptables配置
iaMay_____的博客
06-13 782
firewall-cmd  --state  查看状态    firewall-cmd   --get-active-zones   查看活动的域   firewall-cmd   --get-zones  查看所有的喻    firewall-cmd  --zone=public --list-      firewall-cmd  --zone=public --list-all     fi...
浅析FirewalldIptables
热门推荐
lilygg的博客
06-08 1万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter...
centos7 防火墙 firewalldiptables 详细解释和相关命令
yuezhilangniao的博客
11-30 2409
【原创】Centos7.0 中的中iptables、firewall和SELINUX 缘由 今天在学习UDP组播通信是,两台主机之间不能顺利通信。 A机 - Ubuntu12.04,B机 - Centos7.0,相互之间可以ping通。 A作为发送端,B作为接收端,B接收不到数据。 B作为发送端,A作为接收端,A可以接收数据。 原因:B机的防火墙的问题,关闭了防火墙之后,通信正常。 CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。 ...
RH254-第二十六节-iptablesfirewalld防火墙
hubowestlife
08-18 892
防火墙管理工具 保证数据的安全性是继可用性之后最为重要的一项工作,众所周知外部公网相比企业内网更加的“罪恶丛生”,因此防火墙技术作为公网与内网之间的保护屏障,虽然有软件或硬件之分,但主要功能都是依据策略对外部请求进行过滤。防火墙技术能够做到监控每一个数据包并判断是否有相应的匹配策略规则,直到匹配到其中一条策略规则或执行默认策略为止,防火墙策略可以基于来源地址、请求动作或协议等信息来定制,最终
知了堂|iptablesfirewalld 防火墙操作配置
qq_35254085的博客
09-16 701
一.iptables 防火墙配置 (1)为 filter 表的 INPUT 链添加一条规则,规则为拒绝所有使用 ICMP 协议的数据包。★★ iptables -A INPUT -p icmp -j DROP 将数据包丢弃,不回应 REJECT 丢弃并回应 (2)为 filter 表的 INPUT 链添加一条规则,规则为允许访问 TCP 协议的 80 端口的数据包通过。★★ iptables -A INPUT -p tcp --dport 80 -j ACCEPT (3)在 filter 表中 INPUT
KBEngine服务端源码分析笔记
qq98756524aa的博客
08-21 9511
下列符号解释 =:继承 ==:等同 +:与上具有子关系  CellAppMgr:管理多个CellApp +CellApp:管理多个区域 + Cell:一个区域 ==Space:等同Cell +此区域上的玩家entity:代表玩家 +Witness(对象):监视周围的玩家entity,将发生的事件消息同步给客户端 +AOI(兴趣范围):默认50
iptablesFirewalld防火墙的配置
self_discipline9的博客
10-30 395
一、Iptables 二、Firewalld
firewalldiptables的区别
最新发布
07-02
Firewalldiptables都是Linux系统中用于网络防火墙管理的工具,它们各有特点: 1. **firewalld**(firewallD): - **模块化设计**: Firewalld是一个现代、用户友好的防火墙服务,采用模块化的设计,支持策略单元...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值