Linux防火墙(firewalld篇)

最新推荐文章于 2024-08-01 17:51:50 发布
最新推荐文章于 2024-08-01 17:51:50 发布
阅读量333 收藏
点赞数
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxs123678/article/details/79966939
版权

firewalld(centos7中的防火墙) 是 iptables 的前端控制器(iptables的封装),用于实现持久的网络流量规则。它提供命令行和图形界面,在大多数 Linux 发行版的仓库中都有。与直接控制 iptables 相比,使用 FirewallD 有两个主要区别:

FirewallD 使用区域和服务而不是链式规则。
它动态管理规则集,允许更新规则而不破坏现有会话和连接。

(注centos7向后兼容iptables)

centos7上使用iptables工具

systemctl stop firewalld    #停止firewalld服务
systemctl disable firewalld #禁止firewalld服务开机启动
yum install -y iptables-services    #系统默认不自带iptables工具
systemctl enable iptables   #让它开机启动
systemctl start iptables    #启动iptables服务

centos7上使用firewalld工具

systemctl stop iptables     #停止该服务
systemctl disable iptables  #开机禁止启动
systemctl start firewalld   #启动该服务
systemctl enable firewalld  #开机自启
systemctl stop firewalld    #停止该服务
systemctl disable firewalld #开机禁止启动

(注:如果你在centos7上安装了python3且将/usr/bin/python3软链接为python时, 启动firewalld会失败,解决方法:) 

ls /usr/bin/ |grep firewall
#firewall-cmd
#firewall-config
#firewall-offline-cmd

ls ls /usr/sbin/firewalld
#/usr/sbin/firewalld

使用vim分别打开这几个文件,将首行的/usr/bin/python改为/usr/bin/python2.7

firewalld有两个基本概念,分别是zone和service。每一个zone里面有不同iptables规则,默认一共九个zone,而centos7默认的zone为public。

“区域”(zone)是针对给定位置或场景(例如家庭、公共、受信任等)可能具有的各种信任级别的预构建规则集。不同的区域允许不同的网络服务和入站流量类型,而拒绝其他任何流量。 首次启用 firewalld后,public 将是默认区域。

区域也可以用于不同的网络接口。例如,要分离内部网络和互联网的接口,你可以在 internal 区域上允许 DHCP,但在external 区域仅允许 HTTP 和 SSH。未明确设置为特定区域的任何接口将添加到默认区域。

firewall-cmd --get-zones    #获取系统中的所有zone
#block dmz drop external home internal public trusted work

firewall-cmd --get-default-zone #获取系统中的默认zone
#public

firewall-cmd --set-default-zone=public  #设定默认的zone

firewall-cmd --get-zone-of-interface=ens33  #查看指定网卡的zone
#public

firewall-cmd --zone=public --add-interface=lo   #给指定网卡设置zone
#success

firewall-cmd --zone=dmz  --change-interface=lo  #针对网卡更改zone
#success

firewall-cmd --zone=dmz --remove-interface=lo   #针对网卡删除zone
#success

firewall-cmd --get-zone-of-interface=lo #查看指定网卡的zone
#no zone

firewall-cmd --get-active-zones #查看系统的所有网卡所在的zone
#public
#  interfaces: ens33

每个zone里面都使用了不同的service,而service就是针对一个服务(端口)做的iptables规则。

firewall-cmd --get-services #查看系统中所有的services
-------------------------------------------------
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
-------------------------------------------------
这些service都是由一个个配置文件定义的,
配置文件的模板在/usr/lib/firewalld/services/目录下,
真正生效的配置在/etc/firewalld/services/目录下

ls /usr/lib/firewalld/services  #未全部列出
---------------------------------------------
amanda-client.xml        kadmin.xml                quassel.xml
amanda-k5-client.xml     kerberos.xml              radius.xml
bacula-client.xml        kibana.xml                RH-Satellite-6.xml
bacula.xml               klogin.xml                rpc-bind.xml
bitcoin-rpc.xml          kpasswd.xml               rsh.xml
bitcoin-testnet-rpc.xml  kshell.xml                rsyncd.xml
bitcoin-testnet.xml      ldaps.xml                 samba-client.xml
bitcoin.xml              ldap.xml                  samba.xml
ceph-mon.xml             libvirt-tls.xml           sane.xml
----------------------------------------------------------

ls /etc/firewalld/services  #默认为空
firewall-cmd --list-services    #查看当前zone下有哪些services
#ssh dhcpv6-client

firewall-cmd --zone=public --list-services
#ssh dhcpv6-client  #查看指定zone下有哪些services

#对于每个zone来说,都有自己的配置文件,查看zone的配置文件
ls /usr/lib/firewalld/zones
#block.xml  drop.xml      home.xml      public.xml   work.xml
#dmz.xml    external.xml  internal.xml  trusted.xml

#查看public这个zone的配置文件
cat /etc/firewalld/zones/public.xml
---------------------------------------------------------
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
</zone>
-----------------------------------------------------------


#在指定zone中增加一个service,仅仅在内存中生效,并没有修改配置文件
firewall-cmd  --zone=public --add-service=http
#success

#在指定zone中增加一个service,且修改其配置文件,加--permanent
firewall-cmd  --zone=public --add-service=http --permanent
#success
配置文件位于两个目录中
  • /usr/lib/firewalld 下保存默认配置,如默认区域和公用服务。 因避免修改它们,因为每次 firewall 软件包更新时都会覆盖这些文件。
  • /etc/firewalld 下保存系统配置文件。 这些文件将覆盖默认配置。

举例:假如服务器上配置了一个ftp服务,但端口 并非默认的21号,而是1212,并且需要在work zone 下放行ftp。

vi /usr/lib/firewalld/services/ftp.xml  #更改端口号为1212
-------------------------------------------
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>FTP</short>
  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
  #<port protocol="tcp" port="21"/>
  <port protocol="tcp" port="1212"/>
  <module name="nf_conntrack_ftp"/>
</service>
---------------------------------------------------------

#cp 模板 真正生效的配置文件
cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/  

vi /etc/firewalld/zones/work.xml    #加入一行ftp相关的配置
---------------------------------------------------------
<zone>
  <short>Work</short>
  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  #此处增加配置
  <service name="ftp"/>
</zone>
----------------------------------------------------------

firewall-cmd --reload   #重新加载

#验证一下work zone里面是否有ftp
firewall-cmd --zone=work --list-services
#ssh dhcpv6-client ftp

#检查防火墙状态。输出应该是 running 或者 not running。
firewall-cmd --state

#要查看 firewalld 守护进程的状态:
systemctl status firewalld

#重新加载 Firewalld 配置:
firewall-cmd --reload

firewalld 使用 XML 进行配置。除非是非常特殊的配置,你不必处理它们,而应该使用 firewall-cmd

cxs123678
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux软件防火墙--firewalld
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
Linux系统之防火墙firewalld
bread_winner的博客
08-20 695
防火墙的简述 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内...
Linux安全】Firewalld防火墙
F12138X的博客
05-23 1440
欲穷千里目,更上一层楼
防火墙Firewalld(iptables)
最新发布
2201_75444658的博客
08-01 563
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
firewalld防火墙
Desire_cure_的博客
04-19 141
firewalld防火墙 一.firewalld概述 1.firewalld firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙 工作在网络层,属于包过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能 内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能 firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4、IPv6
比iptables更省事的firewalld防火墙
王大雏的博客
05-26 1159
比iptables更省事的firewalld防火墙一、firewalld防火墙概述1、netfilter2、firewalld /iptables二、firewalld 与 iptables 的区别三、firewalld 区域的概念1、firewalld 区域的概念2、firewalld防火墙预定义的9个区域3、区域规则4、firewalld数据处理流程firewalld检查数据包的源地址的规则四、firewalld防火墙的配置1、firewalld防火墙的配置方法2、常用的firewalld-cmd命令选
Linux防火墙firewalld安全设置
weixin_47151643的博客
07-31 1468
文章目录前言一:rewalld防火墙基础1.1:Firewalld概述1.2:Firewalld和iptables的关系1.3:Firewalld和iptables的区别1.4:Firewalld网络区域1.5:Firewalld数据处理流程1.6:区域的分类1.7:Firewalld防火墙的配置方法1.8:图形化工具跟命令行工具二:Firewalld防火墙命令2.1firewalld防火墙维护命令2.11:防火墙进程操作2.12:启动、停止、查看 firewalld 服务2.13:如果想要禁用 firew
LinuxFirewalld防火墙
h15162064289的博客
05-30 1141
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。trusted (信任区域)允许所有的传入流量public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域external (外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝home (家庭区域。
linux防火墙firewalld
shengmodizu的博客
03-23 104
文章目录firewalld概述firewalld与iptables的区别firewalld区域的概念firewalld防火墙预定义了9个区域firewalld数据处理流程firewalld检查数据包的源地址的规则:firewalld防火墙的配置方法常用的firewall-cmd 命令选项区域管理服务管理端口管理 firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 firewalld和ipta
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
如何修改Linux防火墙firewalld安全状态(CentOS7)
下一个艺术家
09-27 879
这里写目录标题前言一:rewalld防火墙基础1:Firewalld概述2:Firewalld和iptables的关系3:Firewalld和iptables的区别4:Firewalld网络区域5:Firewalld数据处理流程6:区域的分类7:Firewalld防火墙的配置方法8:图形化工具跟命令行工具二:Firewalld防火墙命令1:防火墙进程操作1.2:Firewalld和iptables的关系1.3:Firewalld和iptables的区别 前言 ​  Centos 7中防火墙FirewallD
Linux 防火墙 Firewalld
码里奥的博客
05-26 351
文章目录一、firewalld概述二、firewalld和iptables的关系1.作用点2.存储位置3.新规则的使用三、firewalld网络区域1、 firewalld区域的概念2、 firewalld防火墙预定义了9个区域:四、firewalld防火墙配置方法1、firewalld防火墙的配置方法2、常用的firewalld-cmd 命令选项3、区域管理4、服务管理5、端口管理 一、firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防
Linux防火墙firewalld
qq_45070541的博客
09-08 215
Firewalld的图形化管理和命令管理 firewalld中的区域 通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流,例如,互联网是不可信任的区域,而内部网络是高度信任的区域,网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。 firewalld的默认区域是public 打开firewalld,且开机自启动 systemctl start firewalld syst
Linux Firewalld防火墙
weixin_41489136的博客
03-11 4000
Firewalld(Dynamic Firewall Manager of Linux systems) 防火墙存在的意义 切割被信任(如子域)与不被信任(如Internet)的网段. 划分出可提供Internet的服务与必须受保护的服务. 分析出可接受与不可接受的数据包状态. Linux防火墙的主要类别 基本上可以将防火墙分为网络型与单一主机型,在单一主机型管理方面,主要有数据过滤型的Netfilter与依据服务软件程序作为分析的TCP Wrappers两种.网络型的话,防火墙都是充当路由器角色,因
Linuxfirewalld防火墙
qq_70756940的博客
04-17 890
①、firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。②、相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。|zone:有多种区域,我们的IP、网卡可以加入到不同的区域。(互联网的地址 | 老师的电脑)|service:各种服务|各种端口。
Linux】—管理、设置防火墙规则(firewalld详解)
Linux运维老纪的博客
07-27 1031
Firewalld 是一种简单、‌有状态的防火墙,‌基于区域的概念来组织和管理防火墙规则。‌ 它允许管理员根据不同的网络环境(‌如公共、‌内部、‌隔离等)‌设置不同的安全策略,‌从而提供灵活且细粒度的控制。‌Firewalld 支持 IPv4 和 IPv6 防火墙设置,‌并提供了命令行和图形用户界面(‌GUI)‌两种操作方式,‌使得配置和管理更加便捷。‌本章详细介绍防火墙规则防火墙配置。
linux: firewalld 防火墙
zhuchunyan_aijia的博客
08-14 585
https://blog.51cto.com/xjsunjie/1902993 firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。 ...
linux防火墙firewalld配置
10-10
Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start firewalld 3. 设置防火墙开机启动:sudo systemctl enable firewalld 4. 检查防火墙运行状态:sudo systemctl status firewalld 5. 打开端口(例如端口80):sudo firewall-cmd --zone=public --add-port=80/tcp --permanent 6. 重新加载防火墙:sudo firewall-cmd --reload 7. 禁用防火墙:sudo systemctl stop firewalld 8. 关闭防火墙开机启动:sudo systemctl disable firewalld
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值