firewalld与iptables

最新推荐文章于 2024-05-06 00:00:00 发布
最新推荐文章于 2024-05-06 00:00:00 发布
阅读量936 收藏 1
点赞数


从CentOS7(RHEL7)开始,官方的标准防火墙设置软件从iptables变更为firewalld,相信不少习惯使用iptables的人会感到十分不习惯,但实际上firewalld更为简单易用。 
大致用法就是:把可信任的IP地址添加到“trusted”区域,把不可信任的IP地址添加到“block”区域,把要公开的网络服务添加到“public”区域。

 

配置方式

firewalld的配置文件一般存放在下面两个目录:

  1. /etc/firewalld/
  2. /usr/lib/firewalld/

当需要一个文件时firewalld会优先使用第一个目录的。

  
这两个配置目录的结构很简单,主要是两个文件和三个目录:

  1. 文件: 
    • firewalld.conf:主配置文件(只有5个配置项) 
      • ①DefaultZone:默认使用的zone;
      • ②MinimalMark:使用标记的最小值;
      • ③CleanuupOnExit:退出后是否清除防火墙规则;
      • ④Lockdown:是否限制别的程序通过D-BUS接口直接操作firewalld;
      • ⑤IPv6_rpfilter:判断所接受到的包是否是伪造的
    • lockdown-whitelist.xml:当Lockdown设置为yes时,规定哪些程序可以对firewalld进行操作
    • direct.xml:直接使用类似iptables的语法来进行规则的增删
  2. 目录: 
    • zones:保存zone配置文件
    • services:保存service配置文件
    • icmptypes:保存和icmp类型相关的配置文件

 

什么是区域zone

所谓的区域就是一个信赖等级,某一等级下对应有一套规则集。划分方法包括:网络接口、IP地址、端口号等等。一般情况下,会有如下的这些默认区域:

  1. drop:丢弃所有进入的数据包
  2. block:拒绝所有进入的数据包
  3. public:只接受部分选定的数据包
  4. external:应用在NAT设定时的对外网络
  5. dmz:非军事区
  6. work:使用在公司环境
  7. home:使用在家庭环境
  8. internal:应用在NAT设定时的对内网络
  9. trusted:接受所有的数据包

比如,public区域由public.xml文件来配置:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
</zone>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

当然,你也可以定义自己的区域,只要在zones目录下新建一个同名的xml文件即可。

 

什么是服务service

iptables时代习惯使用端口号来匹配规则,但是如果某一个服务的端口号改变了,那就要同时更改iptables的规则,十分不方便,同时也不方便阅读理解。

service配置文件的命名为<服务名>.xml,比如ssh的配置文件是ssh.xml。


<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

 

配置实例

 

1.开启firewalld

# systemctl enable firewalld
# systemctl start firewalld
 
 
  • 1
  • 2

 

2.往trusted区域中注册IP地址

# firewall-cmd --zone=trusted --add-source=xxx.xxx.xxx.xxx
 
 
  • 1

 

3.往public区域中注册网络接口

# firewall-cmd --zone=public --add-interface=eth0
 
 
  • 1

 

4.往public区域中注册新服务

# firewall-cmd --zone=public --add-service=http
# firewall-cmd --zone=public --add-service=https
 
 
  • 1
  • 2

 

5.删除public区域中不需要的服务

# firewall-cmd --zone=public --remove-service=dhcpv6-client
# firewall-cmd --zone=public --remove-service=ssh
 
 
  • 1
  • 2

 

6.查看各个区域的配置情况

# firewall-cmd --get-active-zones
public
  interfaces: eth0
trusted
  sources: xxx.xxx.xxx.xxx
 
 
  • 1
  • 2
  • 3
  • 4
  • 5

 

7.查看某个区域的服务

# firewall-cmd --zone=public --list-services
# firewall-cmd --zone=trusted --list-services
CodingSir
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 5007
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
RHEL/CentOS的firewalld防火墙服务配置
Stestack的博客
12-08 373
此外我们还可以自定义服务及其关联的端口集合,自定义服务xml文件的写法可以去抄预定义服务xml文件的作业;此时就可以像使用预定义服务一样,去使用自定义服务了(自定义服务的服务名即为xml文件的文件名,例如demo1.xml文件对应的服务名即为demo1)每个区域使用独立的防火墙规则。这样只需添加相应的服务到防火墙规则中,即可打开该服务关联的所有端口。预定义服务的xml文件位于 /usr/lib/firewalld/services/ 下,可通过查看相应服务的xml文件确认其所关联的端口。
防火墙(Firewalld)与IPtables的关系
Robust_HU的博客
05-06 1258
防火墙(Firewalld)与IPtables的关系,ACL、firewalldiptables基本使用
Firewalld 用法解析
weixin_30879169的博客
11-03 687
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalldiptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3576
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
Linux下firewalld命令管理详解
nigar_的博客
08-12 1126
Linux下firewalld命令管理详解 1.firewalld中的区域管理 阻塞区域(block) 任何传入的网络数据包都将被阻止 工作区域(work) 相信网络上的其他计算机,不会损害你的计算机 家庭区域(home) 相信网络上的其他计算机,不会损害你的计算机 公共区域(public) 不相信网络上的任何计算机,只有选择接受传入的网络连接 隔离区域(DMZ) 隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接 信
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法 iptablesfirewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptablesfirewalld 的配置使用方法,并详细介绍...
iptablesfirewalld.pdf
11-30
很详细的iptablesfirewalld
IptablesFirewalld防火墙(MD格式)
最新发布
07-09
IptablesFirewalld防火墙(MD格式)
iptablesfirewalld加固服务器安全思维导图
05-05
iptablesfirewalld加固服务器安全思维导图
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
iptablesfirewalld的应用
weixin_58701060的博客
08-01 272
iptables: 搭建web服务,设置任何人能够通过80端口访问。 禁止所有人ssh远程登录该服务器 禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为172.24.8.128 firewalld 禁止某个ip地址进行ssh访问 配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口) 此规则将本机80端口转发到192.168.1.1的8080端口上...
linux:iptablesfirewalld防火墙
lm19770429的专栏
04-28 312
在公网与企业内网 之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对 穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应 用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策 略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可以保证仅有合法的流量在 企业内网和外部公网之间流动了。 在 RHEL 7 系统中,fi...
同时开启firewall和iptables
NetRookieX的博客
02-19 3241
使用向导 With the iptables service, every single change means flushing all the old rules and reading all the new rules from /etc/sysconfig/iptables, while with firewalld there is no recreating of all the...
firewalld防火墙详细介绍
A1100886的博客
05-22 4758
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
firewalld添加端口
Helios32的博客
11-13 8872
CentOS7默认的防火墙是firewalld 如果没有firewalld防火墙,可以执行yum install firewalld命令进行安装 2|0firewalld防火墙启用与关闭 启动systemctl start firewalld 关闭systemctl stop firewalld 查看状态systemctl status firewalld 查看状态firewall-cmd --state 开机启用systemctl enable firewalld 开机禁用systemctl ..
Firewalld防火墙
weixin_53532638的博客
08-20 97
关闭iptables systemctl disable iptables systemctl stop iptables 启动服务: systemctl enable firewalld 开机自启 systemctl restart firewalld 重启服务 systemctl status firewalld 查看服务运行状态 区域文件(规则集)一共9个区域 文件位置: /etc/firewalld/zones /usr/lib/firewalld/zones ...
浅析FirewalldIptables
热门推荐
lilygg的博客
06-08 1万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter...
Firewalld详解
meltsnow的博客
03-11 1万+
1.简介 在RHEL7里有几种防火墙共存:firewalldiptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。——iptables的具体配置在下一章博客中会详细介绍,本章主要介绍Firewalld Firewalldiptables对比 firewalldiptables 的前端控制器 iptabl...
firewalldiptables
06-15
Firewalldiptables都是Linux系统中用于网络访问控制和防火墙配置的工具,但它们属于不同的时代和技术栈。 **1. Iptables**: - Iptables是早期Linux内核自带的一种动态包过滤防火墙,它是基于netfilter框架的。 -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值