Centos7 配置防火墙 firewall

最新推荐文章于 2024-03-22 18:23:13 发布
最新推荐文章于 2024-03-22 18:23:13 发布
阅读量2.2k 收藏 8
点赞数
分类专栏: Firewall 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javry/article/details/128502734
版权

   

一、firewall

1、从CentOS7开始,默认使用firewall来配置防火墙,没有安装iptables(旧版默认安装)。

2、firewall的配置文件是以xml的格式,存储在 /usr/lib/firewalld/ 和 /etc/firewalld/ 目录中。

 (1)系统配置目录,目录中存放定义好的网络服务和端口参数,系统参数,不要修改。

1 /usr/lib/firewalld/
2 /usr/lib/firewalld/services
3 /usr/lib/firewalld/zones

 (2)用户配置目录

1 /etc/firewalld/
2 /etc/firewalld/services
3 /etc/firewalld/zones

3、特性

(1)firewalld是centos7的一大特性,最大的好处有两个:

  • 支持动态更新,不中断用户连接
  • 加入了防火墙的“zone”概念 ,可以理解为 firewalld 的单位、规则集:

   1️⃣ drop(丢弃),任何接受的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网路连接。

   2️⃣ block(限制),任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。

   3️⃣ public(公共),在公共区域内使用,不能相信网络内的其他计算机不会对你的计算机造成危害,只能接收经过选取的连接。  

     4️⃣ external(外部),特别是为路由器启动了伪装功能的外部网。你不能相信来自网络的其他计算机,不能相信他们不会对你的计算机造成危害,只能接收经过选择的连接。

   5️⃣ dmz(非军事区),用于你的非军事区内的电脑,此区域内可公开访问,可以有限的进入你的内部网络,仅仅接收经过选择的连接。

   6️⃣ work(工作),用于工作区。你可以基本相信网络内的其他计算机不会危害到你。仅仅接收经过选择的连接。

   7️⃣ home(家庭),用于家庭网络。你可以基本相信网络内的其他计算机不会危害到你。仅仅接收经过选择的连接。

   8️⃣ internal(内部),用于内部网络。你可以基本相信网络内的其他计算机不会危害到你。仅仅接收经过选择的连接。

   9️⃣ trusted(信任),可接受所有的网络连接。

   说明:firewalld 的缺省区域是 public。

(2)firewalld有图形界面和工具界面

(3)firewalld的字符界面管理工具是 firewall-cmd 

二、配置防火墙

设置防火墙的方式有两种:firewall命令 、 直接修改配置文件

1、firewall命令

例如:对外开放/停止3306端口,供外部的计算机访问。该命令方式添加的端口,可在/etc/firewalld/zones中的对应配置文件中得到体现

#开放
firewall-cmd --zone=public --add-port=3306/tcp --permanent

#删除
firewall-cmd --zone=public --remove-port=3306/tcp --permanent

#别忘记重启防火墙
systemctl restart firewalld

说明:

  • firewall-cmd:Linux中提供的操作firewall的工具。
  • –zone:指定作用域。
  • –add-port=3306/tcp:添加的端口,格式为:端口/通讯协议。
  • –permanent:表示永久生效,没有此参数重启后会失效。

2、直接修改配置文件

比如:修改 /etc/firewalld/zones/public.xml 

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="20"/>
  <port protocol="tcp" port="21"/>
  <port protocol="tcp" port="22"/>
  <port protocol="tcp" port="80"/>
  <port protocol="tcp" port="8888"/>
  <port protocol="tcp" port="39000-40000"/>
  <port protocol="tcp" port="3306"/>
</zone>

如上,需要开放的端口,已经添加再public这个区域里了。

三、firewall常用命令

1、查看状态

service firewalld status 
或
systemctl status firewalld
或
firewall-cmd --state

2、启动、停止、重启

# 启动
service firewalld start
或
systemctl start firewalld

# 停止
service firewalld stop
或
systemctl stop firewalld

# 重启
service firewalld restart
或
systemctl restart firewalld

3、开机自启动

# 关闭开机自启动
systemctl disable firewalld

# 开启开机自启动
systemctl enable firewalld

4、查看防火墙规则

firewall-cmd --list-all

四、其他命令

1、其他基本命令

firewall-cmd --version          #查看版本
firewall-cmd --help             #查看帮助
firewall-cmd --panic-on         #拒绝所有包
firewall-cmd --panic-off        #取消拒绝状态
firewall-cmd --query-panic      #查看是否拒绝
firewall-cmd --reload           #重新加载防火墙,并不中断用户连接(firewalld特性之一动态添加规则)
firewall-cmd --complete-reload  #重新加载防火墙并中断用户连接(类似于重启服务)

2、zone相关

firewall-cmd --get-zones                    #显示支持的区域列表
firewall-cmd --get-active-zones                 #查看当前的区域
firewall-cmd --get-default-zone                 #查看默认区域
firewall-cmd --set-default-zone=home            #设置默认区域为 home
firewall-cmd --zone=public --list-interfaces    #显示显示公共区域(public)所有接口
firewall-cmd --zone=public --list-all           #显示公共区域(public)所有设置
firewall-cmd --get-zone-of-interface=ens33      #查看指定接口 ens33 所属区域
firewall-cmd --zone=internal --change-interface=ens33   #临时修改网络接口 ens33 为内部区域(internal),永久修改加上 --permanent 参数
firewall-cmd --zone=public --add-interface=ens37        #为公共区域(public)增加一个接口 ens37

3、service相关

firewall-cmd --get-service                           #显示服务列表
firewall-cmd --list-service                          #显示当前服务
firewall-cmd --enable service=ssh                    #允许SSH服务通过
firewall-cmd --disable service=ssh                   #禁止SSH服务通过
firewall-cmd --enable service=samba --timeout=600    #临时允许 samba 服务通过 600 秒
firewall-cmd --permanent --zone=internal --add-service=http   #添加 http 服务到内部区域(internal)
firewall-cmd --zone=work --add-service=smtp          #把 smtp 服务加入工作区域(work) 
firewall-cmd --zone=work --remove-service=smtp       #从工作区域(work)移除 smtp 服务

4、地址伪装

firewall-cmd --zone=external --query-masquerade     #查询外部区域(external)是否能伪装ip,结果为yes
firewall-cmd --zone=external --add-masquerade       #外部区域(external)启用IP伪装(masquerade)
firewall-cmd --zone=external --remove-masquerade    #外部区域(external)禁用用IP伪装

5、端口转发

# 打开端口转发,首先需要打开IP地址伪装
firewall-cmd --zone=external --add-masquerade

# example 1:把外部区域(external)的 22 端口 转发至 3753
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753

# example 2:把外部区域(external)的 22 端口转发到 192.168.1.20 的同一端口
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.20

# example 3:把外部区域(external)的 22 端口转发到 192.168.1.20 的 52222 端口
firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=52222:toaddr=192.168.1.20

javry
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CentOS7Firewall防火墙配置用法详解(推荐)
09-15
centos 7中防火墙是一个非常的强大的功能了,这篇文章主要介绍了CentOS7Firewall防火墙配置用法详解(推荐),小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Centos7防火墙配置手册
03-21
防火墙配置及相关说明centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
centos7安装防火墙firewalld
最新发布
weixin_40482571的博客
03-22 152
安装完成后,你可以使用 firewall-cmd 命令来管理防火墙规则。CentOS 7 默认使用的防火墙firewalld。以上命令将确保 firewalld 在 CentOS 7 上正确安装并运行。centos7安装防火墙
CentOS 7.0 Firewall防火墙配置
02-01
CentOS Firewall 防火墙 CentOS Firewall 防火墙 CentOS Firewall 防火墙
CentOS7Firewall防火墙配置用法详解.docx
06-12
centos7firewall的使用介绍。centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法
CentOS7防火墙的一些常用配置介绍
01-10
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于CentOS7防火墙的一些常用配置。 # 启动 systemctl start firewalld # 查看状态 systemctl status firewalld # 停止关闭 systemctl disable firewalld systemctl stop firewalld # 把一个源地址加入白名单,以便允许来自这个源地址的所有连接 # 这个在集群中使用常见 # 设置后利用firewall-cmd --reload更新防火墙规则 firewall-cm
CentOS 防火墙配置firewall
crayon
10-08 9417
9、重新加载(修改防火墙规则后需要执行reload)13、获取所有支持的ICMP类型。14、列出全部启用的区域的特性。2、允许\禁止开机自启动。6、查看指定端口是否开启。11、获取支持的区域列表。12、获取所有支持的服务。2、启动&停止&重启。
Centos7Firewalld防火墙基础命令详解
wxqcom007的博客
06-13 2887
为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld的每个预定义的区域都设置了默认打开的服务。在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式;
CentOS 7/8 预装的新型防火墙firewalld配置详解,
weixin_45284484的博客
11-07 1714
前言 本文将会详细介绍CentOS 7 firewalld的来由、功能、常用命令、常用的案例及使用方法。希望能帮助读者全面了解firewalld,并能正确配置和使用它。 centos7 firewalld firewalld与iptables的关系 在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子...
Centos7 防火墙配置详解(非常详细!)
热门推荐
benjam1n77的博客
08-18 2万+
Centos7中使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
Linux CentOS 8(firewalld的配置与管理)
正月十六工作室
10-24 2221
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
centos7firewalld 详细介绍配置
BeliefWish的博客
09-21 1756
目录 一.FirewallD 是什么? 二.什么是动态防火墙? 三.什么是区域(zone)? 四.区域(zone)说明如下drop(丢弃) 五.什么是服务? 六.其他 一.FirewallD 是什么? FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工 具。 二.什么是动态防火墙? 我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下iptables service 管理防火墙规则的模式,用户使用命
centos7 firewall-cmd主机之间端口转发
友人A的博客
04-26 3206
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。yum安装nginx。
centos7系统默认防火墙Firewall使用方法
菲宇运维
10-17 1175
Centos7下默认的防火墙Firewall,替代了之前的iptables。 Firewall有图形界面管理和命令行管理两种方式,我们这里绍下命令行Firewall的使用。 一、配置Firewall 进入系统之后,Centos7默认是已安装了Firewall,但是没有启动的,所以需要先启动下Firewall,同时设置开机自启动 [root@iZ25bjwamydZ ~
Centos7配置firewalld防火墙规则
紫水木鱼的博客
10-02 1758
linux ,Centos ,防火墙
Centos中防火墙Firewall)操作(允许端口、删除端口、查看端口列表、重启、停止、开机启动等)
u014282578的博客
11-24 4408
本文主要涉及Centos下防火墙Firewall)的操作,包括启动、停止、重启、查看运行状态、允许开机启动、禁止开机启动、查看端口列表、查看指定端口是否开放、开放端口、删除端口。
Centos 防火墙介绍
weixin_42688499的博客
04-17 9284
目录 一、防火墙基本介绍 二、iptables(Centos6) 2.1、介绍 2.2、相关命令 三、firewalld(Centos7) 3.1、介绍 3.1.1、zone分类及相关命令 3.1.2、预定义的服务 3.2、相关命令 3.2.1、服务安装 3.2.2、服务启停命令 3.2.3、firewalld规则添加 3.3、富规则 一、防火墙基本介绍 iptables服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,fi...
一文带你体验CentOS7防火墙firewall
互联网老辛
05-30 2895
文章目录防火墙分类:防火墙的作用firewalld 实战firewalld 介绍firewalld 四个常用区域防火墙的匹配原则:案例一: 查看默认zone常用命令参数案例二: 修改默认zone案例三: 在public区域添加协议案例四: 把http协议永久加入到public 区域案例五: 拒绝某一个IP 访问总结 防火墙分类: 硬件防火墙 软件防火墙 比如360,金山毒霸,这些就是一种软件防火墙 防火墙的作用 防火墙主要是做隔离,严格过滤入站,允许出站 软件防火墙:做本机的防护 firewalld 实战
Linux Centos7防火墙详解
鹅不糊涂的博客
05-17 1万+
CentOS7中,系统预装了一种名为firewalld的防火墙软件。与之前的iptables防火墙相比,firewalld具有更为灵活和精细的策略配置方式以及更易于管理和维护的特点。firewalld可以根据网络连接的变化自动调整防火墙策略,保障系统和用户的安全。
centOS7配置防火墙白名单
10-09
配置 CentOS7 防火墙白名单的步骤如下: 1. 查看已经启用的防火墙规则:sudo firewall-cmd --list-all 2. 添加允许通过的端口:sudo firewall-cmd --zone=public --add-port=端口号/tcp --permanent 3. 添加允许通过的IP地址:sudo firewall-cmd --zone=public --add-source=IP地址/24 --permanent 4. 重新载入防火墙规则:sudo firewall-cmd --reload 需要注意的是,以上命令中的端口号和IP地址需要根据实际情况进行修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值