【Linux】firewalld介绍

最新推荐文章于 2024-05-23 22:40:40 发布
最新推荐文章于 2024-05-23 22:40:40 发布
阅读量546 收藏
点赞数 2
分类专栏: Linux 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjlovefj/article/details/103673260
版权
Linux 同时被 2 个专栏收录
47 篇文章 1 订阅
订阅专栏
工具
24 篇文章 1 订阅
订阅专栏

firewalld服务

firewalld是Linux系列最新的网络防火墙管理服务,它包装了之前iptables,并非替换iptables,通过提供更加方便操作来提升服务质量。

firewalld中引入zoneservices的概念,而不是iptables中的chainrules
firewalld能够动态的改变规则集,同时不会影响已经建立起来的connection和session

安装和管理firewalld

sudo yum install firewalld # 安装firewalld服务
sudo systemctl start firewalld # 启动firewalld服务
sudo systemctl stop firewalld # 停用firewalld服务
sudo systemctl enable firewalld # 设置firewalld自启动
sudo systemctl status firewalld # 查看firewalld运行状态

firewalld服务管理

firewalld服务的相关设置通过命令firewall-cmd来完成。

比如:输出当前防火墙是否在运行

[root@localhost ~]# firewall-cmd --state
running

firewalld配置

firewalld的配置是通过XML文件的形式,当然我们的配置途径是通过firewall-cmd命令完成,避免直接去操作xml文件去配置,配置文件主要放置在如下两个目录:

  • /usr/lib/firewalld:这里保存着预定义默认的zone和通用serivce的配置,这里面的配置不要去修改,因为firewalld的包升级会更新里面的内容
  • /etc/firewalld:这里面保存着系统配置文件,这里面的配置内容优先覆盖上面目录的配置内容

firewalld的配置集(configuration sets)分为两类: RuntimePermanent.
Runtime:这类配置只能运用到当前的运行环境中,一旦重启机器或者重启firewalld服务,配置内容就丢失了
Permanent:这类配置持久化配置内容,在后续重启机器或者重启firewalld服务中会立即生效

两者的配置方式主要通过是否包含--permanent来区分,默认是Runtime,示例如下:

sudo firewall-cmd --zone=public --add-service=http --permanent # 当前配置为permanent规则
sudo firewall-cmd --zone=public --add-service=https            # 当前配置为Runtime规则
sudo firewall-cmd --reload # 重启firewalld服务,此时上面https服务配置丢失,http配置开始生效, 同时需要注意的时,如果已经使用之前Runtime规则建立起来的连接仍然有效,这一点由firewalld的特点决定的

zone概念

zone引入的主要作用是将应用不同场景的规则进行打包,提供更高程度的抽象,而不像iptables那种比较原始的哪些端口开通或者拒绝,通过zone的规则封装以及zone本身的语义化,可以更好的帮助理解和复用.

zone的配置可以作用在不同网络接口上,如果某网络接口没有指定zone,则默认使用默认的zone.

查看默认zone的命令如下:
sudo firewall-cmd --get-default-zone

当然,你也可以修改默认的zone:
sudo firewall-cmd --set-default-zone=zoneXXX

查看已经被网络接口应用的zone列表:
sudo firewall-cmd --get-active-zones

查看具体zone的详细信息:
sudo firewall-cmd --zone=zoneXXX --list-all

查看所有zone的详细信息:
sudo firewall-cmd --list-all-zones

示例:

[root@localhost firewalld]# firewall-cmd --get-default-zone
public
[root@localhost firewalld]# firewall-cmd --get-active-zones
public
  interfaces: ens33
[root@localhost firewalld]#
[root@localhost firewalld]# firewall-cmd --get-default-zone
public
[root@localhost firewalld]# firewall-cmd --get-active-zones
public
  interfaces: ens33
[root@localhost firewalld]# firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: ssh dhcpv6-client
  ports: 2181/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

[root@localhost firewalld]# firewall-cmd --list-all-zones
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: ssh dhcpv6-client
  ports: 2181/tcp
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:


trusted
  target: ACCEPT
  icmp-block-inversion: no
  interfaces:
  sources:
  services:
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

...省略...

service概念

firewalld可以应用针对特定服务而预定义的规则集,当然用户可以自定义自己的服务,然后将其运营在任何的zone上.
默认支持的service定义放在目录: /usr/lib/firewalld/services.
用户自定义的service定义放在目录: /etc/firewalld/services.

查看默认可用的服务:
sudo firewall-cmd --get-services

应用service到zone上:

sudo firewall-cmd --zone=public --add-service=http --permanent # 配置service到zone
sudo firewall-cmd --zone=public --remove-service=http --permanent # 从zone中删除指定的service

通过查看预定义的service配置文件,我们可以自定义自己的service,写法也比较简单,需要注意的是,文件放到/etc/firewalld/serivces目录下:

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Jiangjian Demo Service</short>
  <description>just test</description>
  <port protocol="udp" port="8081"/>
</service>

允许或者拒绝任意端口/协议

通过如下命令完成:

sudo firewall-cmd --zone=pubic --add-port=1234/tcp --permanent # 允许TCP端口1234
sudo firewall-cmd --zone=public --remove-port=1234/tcp --permanent # 拒绝TCP端口1234

Forwarding(转发)

  1. 相同主机内不同端口间转发.
    命令格式: sudo firewall-cmd --zone=public --add-forward-port=port=80:prto=tcp:toport=1234 # 将80端口的请求转发给端口1234

  2. 不同主机间的转发.

  • 激活zone的masquerade,命令格式为: sudo firewall-cmd --zone=public --add-masquerade
  • 设置转发,命令格式为: sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=198.1.1.2
  • 如果需要删除不同主机间的转发配置,命令格式为:sudo firewall-cmd --zone=public --remove-masquerade

网络接口添加/删除zone

sudo firewall-cmd --zone=dmz --add-interface=ens33    # 将dmz zone配置应用到网络接口ens33
sudo firewall-cmd --zone=dmz --remove-interface=ens33 # 将dmz zone配置从网络接口ens33删除

Rich rules

firewalld定义了一套DSL,具体的语言细节参考: https://jpopelka.fedorapeople.org/firewalld/doc/firewalld.richlanguage.html
我们通过--add-rich-rule, --list-rich-rules--remove-rich-rule去管理rich rule.

示例:

sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.0.2.0 accept' # 允许所有来着192.0.2.0的ipv4流量
sudo firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.0.2.0" port port=22 protocol=tcp reject' # 拒绝来着192.0.2.0的tcp 流量到端口22
sudo firewall-cmd --zone=public --list-rich-rules # 查看zone public所有的rich rule

Iptables操作

firewalld提供操作直接操作iptables的入口

firewall-cmd --direct --get-all-chains # 获取iptables配置的chains
firewall-cmd --direct --get-all-rules  # 获取iptables配置的rules
小姜dot
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
Linux系统防火墙——firewalld
DY_man的博客
04-25 5479
firewalld概述 firewalld防火墙是CentOS 7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfiler网络过滤子系统(属于内核态)来实现包过滤防火墙功能 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPV4、IPV6防火墙设置以及以太网桥(在某些高级服务可能会
Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 5006
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
linux防火墙篇--Firewalld防火墙基础
最新发布
aran2002的博客
05-23 1203
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
Linux 防火墙之 firewalld 的基本使用
程序员大佬超的博客
06-08 4450
本文同步发表于我的微信公众号,扫一扫文章底部的二维码或在微信搜索 chaodev 即可关注。 firewalld(Dynamic Firewall Manager of Linux System,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。在比较新的系统中,firewalld 防火墙已经取代了 iptables 防火墙。 一、 防火墙启用和关闭 大部分系统已经自带了 firewalld 防火墙,如果未安装,执.
linux 防火墙管理-firewalld
wsuyixing的博客
02-26 1103
firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务作为防火墙配置管理工具。“firewalld”是firewall daemon。它提供了一个动态管理的防火墙,带有一个非常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。有命令行界面(CLI)和图形界面(GUI).这里主要讲解CLI方式。 本篇对firewalld的原理和操作进行概述
LinuxFirewalld防火墙
h15162064289的博客
05-30 1114
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。trusted (信任区域)允许所有的传入流量public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域external (外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝home (家庭区域。
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
详述LinuxFirewalld高级配置的使用
09-14
主要介绍了详述LinuxFirewalld高级配置的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
Linux中的firewalld防火墙介绍
qq_61702710的博客
07-27 1702
FirewalldLinux系统上的一种动态防火墙管理工具,它是Red Hat公司开发的,并在许多现代的Linux发行版中被采用。相比较于传统的静态防火墙规则,Firewalld使用动态的方式来管理防火墙规则,可以更加灵活地适应不同的网络环境和应用场景。Firewalld的主要功能是管理网络连接和防止未经授权的访问。它可以对入站和出站流量进行管理,可以控制端口、服务和网络协议的访问权限,也支持NAT(网络地址转换)和端口转发等高级功能。
Linux进阶篇:firewalld详解——firewalld 的概念&作用以及如何使用
qq_39241682的博客
04-08 1868
firewalld(防火墙守护程序)是Linux发行版中一款用于管理网络防火墙的动态守护程序。它提供了一个命令行和图形用户界面,用于配置和管理系统的防火墙规则。firewalld使用iptables、ip6tables、ebtables和nftables作为后端来处理网络数据包。它允许您在不需要重启防火墙或停止网络服务的情况下,实时更改防火墙规则。本文详细介绍Linux 中的 firewalld,包括其基本概念、作用和如何使用它来保护系统。
Linux中的防火墙————Firewalld
m0_53733914的博客
04-06 1073
firewalld是一个服务,这个服务提供了防火墙配置的工具只要开启了firewalld服务,那么就可以通过firewall服务提供的工具来配置防火墙Linux本身不具备防火墙功能,而是通过内核的net_filter模块来实现软防火墙功能,而且你必须通过iptables才能和net_filter进行交互默认在rhel7和fedora20,centos7以上的版本默认安装了firewalld服务,默认是开启的。
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1869
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
Linux防火墙firewalld安全设置
m0_59598029的博客
01-11 882
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。如果都不满足,则将数据包丢弃,从而保护网络的安全。Linux系统的防火墙功能是由内核实现的。
LinuxFirewalld安装及使用
热门推荐
月生的静心苑
02-18 1万+
Firewalld提供了动态托管的防火墙,并支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了一个接口,以直接添加防火墙规则。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略
LinuxShell】linux防火墙之firewalld防火墙
一个萌新的博客
05-22 1415
主要介绍firewalld防火墙的概念以及配置方式
linuxfirewalld
08-24
Linux firewalld 是一个用于管理网络防火墙的工具。它是为了替代之前的 iptables 服务而开发的,并且提供了一个更简单和易于使用的命令行接口。Firewalld 允许用户定义网络规则,以控制进出系统的网络流量。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值