centos7防火墙(firewalld、iptables)

已于 2022-05-31 10:05:45 修改
阅读量3.1k 收藏 2
点赞数
分类专栏: linux 文章标签: linux firewalld
于 2020-09-25 17:46:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lihongbao80/article/details/108798752
版权

一、firewalld和iptables

netfilter/iptables是集成在linux2.4.x版本内核中的包过滤防火墙系统。该框架可以实现数据包过滤,网络地址转换以及数据包管理功能。linux中的防火墙系统包括两个部分:netfilte和iptables。netfilte可以对本机所有流入、流出、转发的数据包进行查看、修改、丢弃、拒绝等操作。由于netfilter在内核空间中,用户通常无法接触内核和修改内核,此时需要命令行工具,一般使用iptables、firewalld等工具。使用iptables可以添加、删除具体的过滤规则,iptables默认维护四个表和五个链,所有的防火墙策略规则都将被分别写入表和链中。
centos7系统防火墙模块存放在/lib/modules/3.10.0-514.el7.x86_64/kernel/net/netfilter/目录下,当需要某个模块功能时,可以通过modprobe加载。centos7在原有的netfilter/iptables架构上又增加了firewalld。iptables工具是一个比较低级别的工具,仅可以调整ipv4的防火墙规则,所以在centos7上使用了firewalld作为默认的用户防火墙工具,但当用户使用firewalld编写ipv4防火墙规则时,firewalld依然是调用了底层的iptables实现具体的功能,只是这个调用过程对用户是透明的。

iptables service在 /etc/sysconfig/iptables中储存配置,而 firewalld将配置储存在 /usr/lib/firewalld/(系统配置,尽量不要修改) 和/etc/firewalld/(用户配置地址)中的各种 XML 文件里。

二、firewalld

1. 对网络区(zone)的理解

firewalld将所有的网络流量都分类汇聚到zones中,它通过zones管理防火墙规则,每一个进入系统的数据包,都会首先检查源IP地址和接口,如果与某个zone匹配,则该zone的规则将生效。而每个zone都会有开启或关闭服务和端口的列表,以实现允许或拒绝链接服务和端口。如果数据包的源IP地址和网卡接口都不能和任何zone匹配,则该数据包将匹配默认zone,一般情况下是一个public的默认zone。

firewalld会提供block,dmz,drop,external,home,internal,public,trusted,work这九个zone。比如有一个数据包从eno1网卡进入本机,根据规则进入work这个zone,而在work这个zone中有允许访问http服务的规则,则最后该数据包将可以进入本机并访问http服务

大部分zone都定义的有自己的允许规则,规则通过端口/协议(631/udp)或者预定义的服务(ssh)这种形式设置,如果数据包没有匹配这些允许的规则,则该数据包一般会被防火墙拒绝。但是如果有名为trusted的zone,默认会运行所有的数据流量,如果有一个数据包进入了该zone,则被允许访问所有的资源。

由firewalld 提供的区域按照从不信任到信任的顺序排序:

丢弃区域(Drop Zone)
任何接受的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接(数据包不能进来,但是可以出去)。这个类似与我们之前使用iptables -j drop。

阻塞/限制区域(Block Zone)
阻塞区域会拒绝进入的网络连接,返回 icmp-host-prohibited(ICMP-主机-禁止),只有服务器已经建立的连接会被通过,即只允许由该系统初始化的网络连接。
任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-admprohibited 信息所拒绝。

公共区域(Public Zone)
只接受那些被选中的连接,默认只允许 ssh 和 dhcpv6-client。这个 zone 是缺省(即默认)zone。
在公共区域内使用,不能相信网络内其他计算机不会对你造成危害,只能接受经过选取的连接。。

外部区域(External Zone)
这个区域相当于路由器的启用伪装(masquerading)选项。只有指定的连接会被接受,即ssh,而其它的连接将被丢弃或者不被接受。
特别是为路由器启用了伪装功能的外部网,你不能信任来自网络的其他计算,不能相信他们不会对你造成伤害,只能接受经过选择的连接。

隔离区域(DMZ Zone)
如果想要只允许给部分服务能被外部访问,可以在DMZ区域中定义。它也拥有只通过被选中连接的特性,即ssh。
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过 选择的连接。

工作区域(Work Zone)
在这个区域,我们只能定义内部网络。比如私有网络通信才被允许,只允许ssh,ipp-client和 dhcpv6-client。用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。

家庭区域(Home Zone)
这个区域专门用于家庭环境。它同样只允许被选中的连接,即ssh,ipp-client,mdns,samba-client和 dhcpv6-client。
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。

内部区域(Internal Zone)
这个区域和工作区域(Work Zone)类似,只有通过被选中的连接,和home区域一样。
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。

信任区域(Trusted Zone)
信任区域允许所有网络通信通过。记住:因为trusted是最被信任的,即使没有设置任何的服务,那么也是被允许的,因为trusted是允许所有连接的

2. Firewalld的原则:(如果一个客户端访问服务器,服务器根据以下原则决定使用哪个 zone 的策略去匹配)

1)如果一个客户端数据包的源 IP 地址匹配 zone 的 sources,那么该 zone 的规则就适用这个客户端。一个源只能属于一个zone,不能同时属于多个zone。但是一个zone里可以有多个source。

2)如果一个客户端数据包进入服务器的某一个接口(如eth0)匹配zone的interfaces(接口),则么该 zone 的规则就适用这个客户端;一个接口只能属于一个zone,不能同时属于多个zone。但是一个zone里可以有多个接口。

3)如果上述两个原则都不满足,那么缺省的 zone 将被应用。

我们可以使用任何一种 firewalld 配置工具来配置或者增加区域,以及修改配置。工具有 firewall-cmd 这样的命令行工具,或者你也可以在配置文件目录中创建或者拷贝区域文件,/usr/lib/firewalld/zones 被用于默认和备用配置,/etc/firewalld/zones被用于用户创建和自定义配置文件。命令行工具firewall-cmd支持全部防火墙特性。

三、firewall-cmd常用命令及存储位置

1、安装Firewall 命令:

yum install firewalld firewalld-configFirewall

2、区域管理类命令

firewall-cmd --set-default-zone=trusted  #设置默认区域为trusted,允许所有的通过,会改变防火墙配置文件:/etc/firewalld/firewalld.conf中的默认值
firewall-cmd --get-default-zone         #查看默认区域
firewall-cmd --get-active-zones         #查看(活动区域)默认接口和区域
firewall-cmd --get-zones                #列出所有可用的区域
firewall-cmd --list-all --zone=public   #查看public区域已配置的规则(只显示/etc/firewalld/zones/public.xml中防火墙策略)
firewall-cmd --list-all-zones           #查看所有的防火墙策略(即显示/etc/firewalld/zones/下的所有策略)
3、端口管理:
firewall-cmd --permanent --list-port --zone=public            #查看端口,不加zone就是查询默认zone
firewall-cmd --zone=public --add-port=3306/tcp --permanent    #允许tcp的3306端口到public区域。
#–zone:作用域;–add-port=80/tcp:添加端口,格式为:端口/通讯协议;–permanent:永久生效,没有此参数重启后失效
firewall-cmd --reload                                         #重新加载防火墙配置,并不中断用户连接,即不丢失状态信息
firewall-cmd --zone=public --remove-port=3306/tcp--permanent  #从public区将tcp的3306端口移除
firewall-cmd --add-port=2048-2050/udp --zone=public           #允许某一范围的端口,如允许udp的2048-2050端口到public区域
4、服务管理:
firewall-cmd --get-services                                #查看预定义服务 :
firewall-cmd --add-service=http --zone=public --permanent  #添加http服务到public区域
systemctl restart firewalld                                #重启防火墙服务才生效(permanent状态): 
firewall-cmd --remove-service=http --permanent --zone=public #移除public区域的http服务,不使用--zone指定区域时使用默认区域:
firewall-cmd --add-service=http --add-service=https        #将多个服务添加到某一个区域,不添加--permanent选项表示是即时生效的临时设置
5、伪装ip:
firewall-cmd --query-masquerade                # 检查是否允许伪装IP
firewall-cmd --permanent --add-masquerade      # 允许防火墙伪装IP
firewall-cmd --permanent --remove-masquerade   # 禁止防火墙伪装IP
6、端口转发:

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端
口,之后配置防火墙的端口转发,将流量转发过去。
例:

1. firewall-cmd --permanent --add-masquerade                     #开启地址伪装。
2. firewall-cmd --add-forward-port=port=8080:proto=tcp:toport80  #添加转发8080--》80
3. firewall-cmd --add-port=8080/tcp
4. firewall-cmd --remove-service=http                            #删除80端口的协议。
7、多区域的应用:

1)可以根据不同的接口配置不同的区域
2)可以对同一个接口,对不同网段的ip/流量,配置不同的访问
例:

1. 一个接口只能对应一个区域,将接口与指定区域关联:
firewall-cmd --change-interface=ens75 --zone=drop
2. 根据不同的访问来源网段,设定至不同的区域规则:
firewall-cmd --add-source=192.168.75.0/24 --zone=public
firewall-cmd --add-source=192.168.85.0/24 --zone=drop
firewall-cmd --get-active-zones :查看(活动区域)默认接口和区域。
lihongbao80
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解CentOS7防火墙管理firewalld
01-10
学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要...
CentOS 7firewall防火墙配置
建伟博客
07-06 4105
CentOS 7中firewall防火墙详解和配置以及切换为iptables防火墙
探究 CentOS 7 下 iptablesfirewalld 切换过程中,谁主沉浮
本博客纯属个人网络笔记,如对阁下有用,甚喜;否则,关掉即可,不喜勿喷。专心写代码,不做键盘侠!
01-20 2197
最近需要开发一个 iptables 的可视化管理平台,研究了一下 iptablesfirewalld 这两个防火墙。CentOS 6 上 iptables 作为默认防火墙,这个比较好控制。对于 CentOS7 中,这两个防火墙之间切换时,到底谁起主要作用呢?又怎么控制规则呢?
Centos7.6配置iptables防火墙
最新发布
etengirrnhgwerfd的专栏
03-07 375
iptables是基于内核的防火墙,其中内置了raw、mangle、nat和 filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。规则表的作用:容纳各种规则链。
iptables使用详解(centos7)
u014644574的博客
04-11 7166
iptables使用详解(centos7)
centos7 防火墙 firewalldiptables 详细解释和相关命令
yuezhilangniao的博客
11-30 2228
【原创】Centos7.0 中的中iptables、firewall和SELINUX 缘由 今天在学习UDP组播通信是,两台主机之间不能顺利通信。 A机 - Ubuntu12.04,B机 - Centos7.0,相互之间可以ping通。 A作为发送端,B作为接收端,B接收不到数据。 B作为发送端,A作为接收端,A可以接收数据。 原因:B机的防火墙的问题,关闭了防火墙之后,通信正常。 CentOS 7.0默认使用的是firewall作为防火墙,这里改为iptables防火墙。 ...
CentOS7下操作iptables防火墙firewalld防火墙
houzhizhen的专栏
03-21 949
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0。查看所有打开的端口: firewall-cmd --zone=public --list-ports。查看区域信息: firewall-cmd --get-active-zones。查看是否拒绝: firewall-cmd --query-panic。取消拒绝状态: firewall-cmd --panic-off。拒绝所有包:firewall-cmd --panic-on。
Linux Centos7防火墙详解
鹅不糊涂的博客
05-17 1万+
CentOS7中,系统预装了一种名为firewalld防火墙软件。与之前的iptables防火墙相比,firewalld具有更为灵活和精细的策略配置方式以及更易于管理和维护的特点。firewalld可以根据网络连接的变化自动调整防火墙策略,保障系统和用户的安全。
Centos7系统防火墙使用教程【详解】
fzy18757569631的博客
05-09 1万+
.
Centos7 防火墙配置详解(非常详细!)
benjam1n77的博客
08-18 2万+
Centos7中使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
centos7 防火墙
wangshiqi666的博客
05-05 1870
linux防火墙
centos7防火墙配置详细
热门推荐
a13568hki的博客
12-24 4万+
一、条件防火墙是开启的 systemctl start firewalld 1、查看防火墙的配置 firewall-cmd --state 2、开放80端口 firewall-cmd --permanent --add-port=80/tcp firewall-cmd --reload #重新加载防火墙配置才会起作用 3、移除以上规则 firewall-cmd --permanen...
Centos7Firewalld防火墙基础命令详解
01-10
Linux系统的防火墙体系基于内核共存:firewalldiptables、ebtables,默认使用firewalld来管理netfilter子系统。 netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核...
CentOS 7 下使用 iptables
09-15
禁用FireWallD,安装&启用iptables-servicessystemctl stop firewalldsystemctl mask firewalldyum install iptables-services -y systemctl enable iptables
CentOS7安装iptables防火墙的方法
01-20
CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum update iptables #...
CentOS7日志文件及journalctl日志查看方法
lihongbao80的专栏
05-31 1万+
centos log journal
linux压缩解压
lihongbao80的专栏
03-15 8999
一、命令说明 1、命令分类 在Linux环境中,压缩文件的扩展名大多是:.tar、.tar.gz、.tgz、.gz、.Z、.bz2、*.xz等,Linux支持的压缩/解压命令的压缩技术并不相同,所以彼此之间不能够互通压缩/解压,可以通过扩展名区分 项目 Value *.Z compress程序压缩的文件 *.zip zip程序压缩的文件 *.gz gzip程序压缩的文件 *.bz2 bzip2程序压缩的文件 *.xz xz程序压缩的文件 *.tar tar程序打包的文件,
zookeeper配置及timeout说明
lihongbao80的专栏
04-12 8195
服务端配置详解: (1)dataDir   用于存放内存数据库快照的文件夹,同时用于集群的myid文件也存在这个文件夹里。 (2)dataLogDir   用于单独设置transaction log的目录,transaction log分离可以避免和普通log还有快照的竞争。 (3)tickTime   心跳时间,为了确保client-server连接存在的,以毫秒为单位,最小超时时间为两个心跳时间。 (4)clientPort   客户端监听端口。 (5)globalOutstandingLimit   
centos7系统参数优化(max_map_count、overcommit_memory、panic_on_oom、oom_kill_allocating_task)
lihongbao80的专栏
09-15 5437
centos7系统参数优化(max_map_count、overcommit_memory、panic_on_oom、oom_kill_allocating_task)
centos7防火墙iptables
09-12
CentOS 7使用的是Firewalld防火墙,默认情况下并没有安装iptables。如果你想使用iptables来管理防火墙规则,你需要先安装iptables服务。 安装iptables可以使用以下命令: ``` yum install -y iptables iptables-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值