Linux:-6-Centos7使用firewall详细讲解

于 2024-08-09 00:02:12 发布
阅读量626 收藏 15
点赞数 14
分类专栏: 一、操作系统学习 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jonathon77/article/details/140834795
版权

Linux防火墙firewall

一、基本规则***

  1. 同区域拒绝优先
  2. 如果数据包的源地址包(source)的源地址关联到特定的区域,则会应用该区域的规则对些数据包进行处理。
  3. 如果源地址没有关联到任何区域,则将使用传入网络接口所在区域的规则进行处理。
  4. 如果流量与不允许的端口、协议或者服务匹配则拒绝传入。
区域名描述用途注意事项
drop所有进入的网络连接将被丢弃,没有任何回复。只有出站连接被允许。最高安全级别的环境,拒绝所有入站连接。不适用于需要接受任何入站连接的环境。
block所有进入的网络连接将被拒绝,没有回复,但可以接受ICMP消息。拒绝所有入站连接,只允许基本的网络探测。适用于需要极高安全性的环境,不适合需要接收服务的网络。
public不信任的公共网络,只有指定的入站连接被允许。适用于公共场所或不信任的网络。确保只开放必要的服务端口,以减少潜在的攻击面。
external用于外部网络,启用IP伪装(NAT)。用于路由器或网关设备,保护内部网络。配置NAT规则时需确保内部网络的安全和隐私。
dmz用于非受信任网络中的计算机,可以有限地访问更受信任的网络。用于隔离受信任网络与不信任网络之间的区域。确保只允许必要的入站和出站流量,防止内部网络被攻击。
work用于工作网络,信任级别较高,允许更多入站连接。适用于公司或组织内部网络。确保仅开放工作所需的服务,防止不必要的风险。
home用于家庭网络,信任级别高,允许更多入站连接。适用于家庭网络,设备之间需要较高的互信。确保家庭网络设备的安全,防止外部攻击者利用开放的服务。
internal用于内部网络,信任级别最高,允许大部分入站连接。用于完全信任的内部网络。确保内部网络的设备都处于可信状态,防止内部威胁。
trusted所有网络连接都被接受。适用于完全信任的网络环境。仅在完全信任的网络环境中使用,防止外部威胁入侵

二、常用设置命令

#1、查看防火墙启动状态
systemctl status firewalld
#2、开启防火墙
systemctl start firewalld
#3、重启防火墙
systemctl restart firewalld
#4、重新加载防火墙
firewall-cmd --reload
#5、设置防火墙开机自启
systemctl enable firewslld
#6、关闭开机自启
systemctl disable firewslld
#7、查看防火墙开机启动是否成功;enadled 0 为设置成功
systemctl is-enabled firewalld;echo $?
#8、查看防火墙状态
firewall-cmd --state

#9、查看所有服务启用的状态
systemctl list-unit-files

#10、查看启动状态为enable的
systemctl list-unit-files --state=enadled

#11、查看启动状态为enable的类型为服务
systemctl list-unit-files --state=endbled --state=enadled

#12、查看防火墙或者是某个区域
firewall-cmd --list-all
firewall-cmd --list-all-zone
firewall-cmd --list-all --zone=work
firewall-cmd --list-all --zone=trusted
#13、列所有的区域
firewall-cmd --get-zones

#14、查看当前激活区域
firewall-cmd --get-active-zones

#15、查看开放所有端口
firewall-cmd --list-ports
#16、查看系统开放端口
netstat -nltp

参数解释:

  • –zone=public 表示该规则应用的于public区域;
  • –permanent 表示永久有效,(需要重启防火墙生效或者重新加载配置,临时设置不用重启)
  • –add 添加规则
  • –remove 移除规则

三、区域类别的详细配置(以public为例)

在这里插入图片描述

配置项说明示例配置解释
target默认策略target: ACCEPT默认允许所有流量。如果没有匹配的规则,则接受数据包。
icmp-block-inversionICMP 阻塞反转icmp-block-inversion: yes启用ICMP阻塞反转,阻止所有未显式允许的ICMP类型。
interfaces应用此区域的网络接口interfaces: eth0, wlan0将规则应用于eth0和wlan0接口。
sources应用此区域的源地址sources: 192.168.1.0/24, 10.0.0.0/8允许来自192.168.1.0/24和10.0.0.0/8网络的流量。
services允许的服务services: ssh, http允许SSH和HTTP服务。
ports允许的端口ports: 80/tcp, 443/tcp, 3306/tcp允许通过TCP端口80(HTTP)、443(HTTPS)和3306(MySQL)的流量。
protocols允许的协议protocols: icmp, tcp允许ICMP和TCP协议。
masquerade启用或禁用地址伪装(NAT)masquerade: yes启用网络地址转换功能。
forward-ports端口转发规则forward-ports: port=80:proto=tcp:toport=8080将流量从端口80转发到端口8080。
source-ports源端口重定向source-ports: port=12345:proto=tcp:toport=54321将源端口12345的流量重定向到端口54321。
icmp-blocks阻塞的ICMP类型icmp-blocks: echo-request, echo-reply阻止ICMP回显请求和回显应答。
rich rules详细的防火墙规则rich rules: rule family=“ipv4” source address=“192.168.1.100” service name=“ssh” accept rule family=“ipv4” source address=“10.0.0.0/8” port port=“8080” protocol=“tcp” accep允许来自192.168.1.100的SSH流量和来自10.0.0.0/8网络的TCP端口8080流量。

3.1、 设置默认策略

firewall-cmd --set-default-zone=public

3.2、启用 ICMP 阻塞反转

firewall-cmd --zone=public --set-target=DROP
firewall-cmd --zone=public --add-icmp-block-inversion

3.2、指定网络接口

firewall-cmd --zone=public --add-interface=eth0
firewall-cmd --zone=public --add-interface=wlan0
firewall-cmd --zone=public --change-interface=nes33 --permanent

3.3、 添加源地址

#添加网段
firewall-cmd --zone=public --add-source=192.168.1.0/24
firewall-cmd --zone=public --add-source=10.0.0.0/8
#添加单独IP
firewall-cmd --zone=public --add-source=192.168.10.137

3.4、允许服务

firewall-cmd --zone=public --add-service=ssh
firewall-cmd --zone=public --add-service=http
## --permanent表示永久加入(重启生效)
firewall-cmd --zone=public --add-service=mysql  --permanent

3.5、允许端口

firewall-cmd --zone=public --add-port=80/tcp
firewall-cmd --zone=public --add-port=443/tcp
firewall-cmd --zone=public --add-port=3306/tcp
firewall-cmd --zone=public --add-port=8080/tcp --permanent

3.6、允许协议

firewall-cmd --zone=public --add-protocol=icmp
firewall-cmd --zone=public --add-protocol=tcp

3.7、 启用地址伪装

firewall-cmd --zone=public --add-masquerade

3.8、 设置端口转发

firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080

3.9、设置源端口重定向

firewall-cmd --zone=public --add-source-port=port=12345:proto=tcp:toport=54321

3.10、阻止ICMP类型

firewall-cmd --zone=public --add-icmp-block=echo-request
firewall-cmd --zone=public --add-icmp-block=echo-reply

3.11、 添加/移除详细防火墙规则(富规则)

#添加富规则
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept'
#移除富规则
firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="10.0.0.0/8" port port="8080" protocol="tcp" accept'
#添加特定的ip特定服务mysql能永久通过
firewall-cmd --zone=public --add-rich-rule="rule family='ipv4' source address='192.168.10.247' service name=mysql  accept" --permanent
#添加防火墙drop永久规则,不指定区域会添加到默认public区域
firewall-cmd --add-rich-rule="rule family='ipv4' source address='192.168.10.86' drop"  --permanent
#删除防火墙规则
firewall-cmd --remove-rich-rule="rule family='ipv4' source address='192.168.10.86' drop"  --permanent

四、防火墙规则的备份和恢复

4.1、备份防火墙规则

firewall-cmd --runtime-to-permanent
firewall-cmd --permanent --list-all > firewall_rules_backup.txt

4.2、恢复防火墙规则

firewall-cmd --permanent --add-rich-rule="$(cat firewall_rules_backup.txt)"
firewall-cmd --reload
Jonathon125
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文带你体验CentOS7防火墙firewall
互联网老辛
05-30 2916
文章目录防火墙分类:防火墙的作用firewalld 实战firewalld 介绍firewalld 四个常用区域防火墙的匹配原则:案例一: 查看默认zone常用命令参数案例二: 修改默认zone案例三: 在public区域添加协议案例四: 把http协议永久加入到public 区域案例五: 拒绝某一个IP 访问总结 防火墙分类: 硬件防火墙 软件防火墙 比如360,金山毒霸,这些就是一种软件防火墙 防火墙的作用 防火墙主要是做隔离,严格过滤入站,允许出站 软件防火墙:做本机的防护 firewalld 实战
Linux CentOS 7安装PostgreSQL9.3图文教程
09-09
Linux CentOS 7环境下安装PostgreSQL 9.3是一个常见的任务,尤其对于那些需要搭建数据库服务器的用户来说。本文将详细讲解如何通过二进制安装包来安装这个关系型数据库管理系统。 首先,确保你的系统已经更新到...
centos7 firewall 防火墙 命令
ntotl的博客
01-04 489
如果你的系统上没有安装使用命令安装 #yum install firewalld //安装firewalld 防火墙 开启服务  # systemctl start firewalld.service 关闭防火墙 # systemctl stop firewalld.service 开机自动启动 # systemctl enable firewalld.
CentOS7防火墙的配置及使用
最新发布
love6a6的博客
06-18 1525
bootip通过bootp协议获得的ip地址BROADCAST=192.168.0.255 子网广播地址HWADDR=00:50:56:8E:47:EE 网卡物理地址IPADDR=192.168.1.117 网卡IP地址IPV6INIT=no 是否启用INETMASK=255.255.255.0 网卡对应网络掩码。
Centos7 配置防火墙 firewall
javry的专栏
12-31 2394
CentOS7开始,默认使用firewall来配置防火墙,没有安装iptables(旧版默认安装)
Centos 7 firewall 命令
海天的技术博客
10-18 523
查看已经开放的端口: firewall-cmd --list-ports 开启端口 firewall-cmd --zone=public --add-port=80/tcp --permanent 命令含义: –zone #作用域 –add-port=80/tcp #添加端口,格式为:端口/通讯协议 –permanent #永久生效,没有此参数重启后失效 重启防火墙 fir...
Centos 7使用默认的firewall
charmsongo的博客
10-20 702
firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 : systemctl enable firewalld 2.systemct...
CentOS7.3离线安装openssh8.6p1软件包-步骤及依赖.rar
06-03
本文将详细讲解如何在CentOS 7.3上离线安装openssh 8.6p1软件包的步骤,以及所需的依赖项。 首先,离线安装意味着我们需要在有网络的环境中下载所需的软件包和依赖文件,然后将其传输到没有网络连接的目标机器上...
CentOS7安装linux超级详细教程james.docx
08-08
在本文中,我们将详细讲解如何在CentOS 7操作系统上,特别是在阿里云的学生主机上,安装MySQL 5.7数据库。这是一个逐步的、无脑安装教程,适合初学者和有一定经验的用户。以下是完整的安装步骤: 1. 首先,我们需要...
centos7安装mysql5.x脚本
01-13
本文将详细讲解如何使用脚本在CentOS 7上安装MySQL 5.x版本。 首先,安装MySQL 5.x需要确保系统是最新的。在终端中,输入以下命令来更新系统软件包: ```bash sudo yum update -y ``` 接着,我们需要添加MySQL的...
centos7--mysql安装部署.docx
09-09
以下将详细讲解整个过程中的关键知识点。 首先,安装MySQL需要先下载安装包。可以使用`wget`命令从MySQL官方网站获取适用于CentOS7的社区版安装包,例如: ```bash wget ...
centos7.0配置firewall
10-29
centos7.0配置firewall,开启默认端口,查看端口,修改端口
CentOS7使用firewall-cmd打开关闭防火墙与端口
wangchaofan1992的博客
11-08 833
版权声明:本文为CSDN博主「朽木o0」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/s_p_j/article/details/80979450 一、centos7版本对防火墙进行加强,不再使用原来的iptables,启用firewalld 1.firewalld的基本使用 启动: systemc...
Centos7 firewall
weixin_37555975的博客
07-18 136
莫小安 CentOS7使用firewalld打开关闭防火墙与端口 1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld  开机禁用  : systemctl disable firewalld 开机启用  : system...
centos7 firewall
LXFLSY的博客
02-27 363
firewall端口策略以及转发 firewall-cmd --add-service=mysql # 开放mysql端口 firewall-cmd --remove-service=http # 阻止http端口 firewall-cmd --list-services # 查看开放的服务 firewall-cmd --add-port=...
CentOS7 firewall防火墙
LeslieLiangZ的博客
12-31 119
1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 : systemctl enable firewalld 2.systemctl是CentOS7的...
CentOS7 防火墙(firewall)的操作命令
qq_15256443的博客
09-03 253
安装:yuminstall firewalld 1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 2.配置firew...
Centos7设置Firewall
qq_36171179的博客
11-18 96
1.配置firewalld-cmd 查看所有打开的端口 firewall-cmd --zone=public --list-ports 更新防火墙规则 firewall-cmd --reload 2.开启端口 添加(–permanent永久生效,没有此参数重启后失效) firewall-cmd --zone=public --add-port=80/tcp --permanent 重新载入 ...
CentOS 7 下使用 Firewall 防火墙
edide的博客
03-16 557
[日期:2018-03-06]来源:Linux社区 作者:bigtree2pingping[字体:大 中 小]在 CentOS 7 中,引入了一个新的服务,Firewalld,下面一张图,让大家明确的了解防火墙 Firewall 与 iptables 之间的关系与区别。安装它,只需yum install firewalld如果需要图形界面的话,则再安装yum install firewall-co...
帮我解释一下这段命令的意思(docker run -itd --name=centos01 -h master -p 60004:22 50070:50070 --privileged centos:centos7 /usr/sbin/init)
03-25
这段命令的意思是: 运行一个 Docker 容器,并设置以下参数: - `-itd`:以交互(Interactive)、终端(Terminal)及后台运行(Detached)的方式启动容器。 - `--name=centos01`:设置容器的名称为 centos01。 - `-h master`:设置容器的主机名为 master。 - `-p 60004:22 50070:50070`:将宿主机的 60004 端口映射到容器的 22 端口,将宿主机的 50070 端口映射到容器的 50070 端口。 - `--privileged`:启动特权模式。 - `centos:centos7`:基于 centos 镜像的 centos7 版本启动容器。 - `/usr/sbin/init`:设置容器启动时执行的命令为 `/usr/sbin/init`,使容器具备系统初始化的能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值