firewalld防火墙配置学习笔记

最新推荐文章于 2022-06-15 16:18:52 发布
最新推荐文章于 2022-06-15 16:18:52 发布
阅读量675 收藏 1
点赞数
分类专栏: Linux学习笔记 文章标签: linux centos 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46327721/article/details/107824584
版权

firewalld防火墙配置学习笔记

简介

firewalld服务是Linux系统中默认的动态防火墙配置管理工具,拥有基于CLI(命令行界面)和基于GUI(图形用户界面)两种管理方式。
特点:

  • 支持动态更新技术
  • 加入了区域的概念
    区域: firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产厂家的不同选择合适的策略集合,从而实现防火墙策略之间的快速切换。

firewalld中常用的区域名称及策略规则

区域默认策略规则
trusted允许所有的数据包
home拒绝流入的流量,除非与流出的流量有关;如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量
internal等同home区域
work拒绝流入的流量,除非与流出的流量相关;如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public拒绝流入的流量,除非与流出的流量相关;如果流量与ssh、dhcpv6-client服务相关,则允许流量
external拒绝流入的流量,除非与流出的流量相关;如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关;如果流量与ssh服务相关,则允许流量
block拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关

firewalld 命令行防火墙配置管理工具

命令: firewalld-cmd
----------------------------------------------------firewalld-cmd命令参数------------------------------------------------------

参数作用
--get-default-zone查询默认区域名称
--set-default-zone=<区域名称>设置默认的区域,使其永久生效
--get-zones显示可用区域
--get-services显示预先定义的服务
--get-active-zones显示当前正在使用的区域与网卡名称
--add-source=将源自此IP或子网的流量导向指定的区域
--remove-source=不再将源自此IP或子网的流量导向指定区域
--add-interface=<网卡名称>将源自该网卡的所有流量都导向指定区域
--change-interface=<网卡名称>将某个网卡与区域进行关联
--list-all显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>设置默认区域允许该服务的流量
--add-port=<端口号/协议>设置默认区域允许该端口的流量
--remove-service=<服务名>设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>设置默认区域不再允许该端口的流量
--reload让“永久生效”的配置立即生效,并覆盖当前的配置规则
--panic-on开启应急状况模式
--panic-off关闭应急状况模式
--query-service=<端口号/协议>查询端口号或者协议是否响应访问请求
  • firewalld防火墙策略默认为当前生效模式(runtime)模式,配置随着系统重启失效
  • 永久(permanent)模式,在使用firewall-cmd时添加--permanent参数,但是在系统重启之后才能生效
  • 永久模式想要立即生效需要执行firewall-cmd --reload命令

操作实践

查询网卡信息

nmcli 命令

[root@MyCentOS ~]# nmcli
virbr0: 已连接 到 virbr0
        "virbr0"
        bridge, 52:54:00:F9:CF:22, 软件, mtu 1500
        inet4 192.168.122.1/24
        route4 192.168.122.0/24

ens33: 已断开
        "Intel 82545EM"
        1 连接可用
      

lo: 未托管
        "lo"
        loopback (unknown), 00:00:00:00:00:00, 软件, mtu 65536

virbr0-nic: 未托管
        "virbr0-nic"
        tun, 52:54:00:F9:CF:22, 软件, mtu 1500

使用 "nmcli device show" 获取关于已知设备的完整信息,以及 
"nmcli connection show" 获取活动连接配置集的概述。

完整的用法细节,可参考 nmcli(1) 和 nmcli-examples(7) 手册页。

查询正在使用的网卡所在区域

[root@MyCentOS ~]# firewall-cmd --get-zone-of-interface=virbr0
libvirt

更改网卡默认区域

更改默认区域为external

[root@MyCentOS ~]# firewall-cmd --permanent  --zone=external  --change-interface=virbr0
success
查询runtime模式下网卡所处区域
[root@MyCentOS ~]# firewall-cmd --get-zone-of-interface=virbr0
libvirt
查询permanent模式下网卡所处区域
[root@MyCentOS ~]# firewall-cmd --permanent  --get-zone-of-interface=virbr0
external

查询external区域是否响应ssh请求

[root@MyCentOS ~]# firewall-cmd --zone=external --query-service=ssh
yes

设置端口号流量策略为允许

[root@MyCentOS ~]# firewall-cmd --zone=libvirt --add-port=8080-8081/tcp
success

流量转发

命令格式: firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

把访问本机某端口的流量转发到其他端口
[root@MyCentOS ~]# firewall-cmd --permanent  --zone=libvirt --add-forward-port=port=666:proto=tcp:toport=66:toaddr=192.168.10.10
success

命令注释: 在永久模式下,针对libvirt区域将本机IP 192.168.10.10上端口为666接收到的信息转发到端口号为66。

富规则

拒绝192.168.10.0/24网段的所有用户访问本机的ssh服务。

[root@MyCentOS ~]# firewall-cmd --permanent  --zone=libvirt --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success

富规则貌似还有挺多东西,以后有时间再详细看看。

富规则特点:

  • 优先级在防火墙策略中最高
  • 能表现更细致、更详细的防火墙配置策略
  • 可以针对源端口号、源目的地址等很多信息进行更有针对性的策略配置

服务的访问控制列表

iptables防火墙与firewalld防火墙配置管理工具是在内网与外网之间的屏障,是基于TCP/IP协议的流量过滤工具。TCP Wrappers是Linux系统中系统内的防火墙。linux通过两个层面的防火墙策略来保护系统的完全。
TCP Wrappers

  • linux系统中默认启用的一款流量监控程序。
  • TCP Wrappers服务防火墙策略由两个控制列表文件控制,分别为允许控制列表文件(/etc/hosts.allow)和拒绝控制列表文件(/etc/hosts.deny)。
  • 控制列表修改后立即生效,先匹配允许控制列表,在匹配拒绝控制列表,如果都没匹配到则默认放行
    ---------------------------------------------控制列表常用参数-------------------------------------------------------------
客户端类型示例满足示例的客户端列表
单一主机192.168.10.10IP地址为192.168.10.10的主机
指定网段192.168.10.IP段为.168.10.0/24的主机
指定网段192.168.10.0/255.255.255.0IP段为.168.10.0/24的主机
指定DNS后缀.bilibili.com所有DNS后缀为.bilibili.com的主机
指定主机名称www.bilibili.com主机名称为www.bilibili.com的主机
指定所有客户端ALL所有主机全部包括在内

配置TCP Wrappers防火墙原则

  1. 编写拒绝策略规则时,天写服务名称,而不是协议名称
  2. 先编写拒绝策略规则,再编写允许策略规则,能更直观看见相应效果。

配置拒绝控制列表

打开/etc/hosts.deny文件在其中添加下一句

ssh: *

以上语句表示拒绝所有请求要求使用SSH服务的流量。

配置允许拒绝控制列表

打开/etc/hosts.allow文件,在其中添加下列一句。

ssh:192.168.10.

上面的语句表示允许192.168.10.网段的所有IP地址访问ssh服务。

总结

当存在多块网卡同时提供服务时,对内网和对外网提供服务的网卡要选择的防火墙策略区域也是不一样的。将网卡与防火墙策略区域进行绑定,就可以使用不同的防火墙区域策略,对源自不同网卡的流量进行针对性的监控,效果更好。

young_monkeysun
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linuxFirewalld防火墙
firewalld防火墙详细介绍
最新发布
A1100886的博客
05-22 4130
firewalld防火墙Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
什么是firewalld,简介、策略规则Centos7防火墙
礁之的博客
12-19 7059
防火墙策略规则一、linux防火墙简介- 防火墙技术种类:- 包过滤防火墙概述:- 包过滤的工作层次:二、firewalld简介- 概述:- 特点:- 工作原理(数据处理流程):- 网络区域: 一、linux防火墙简介 - 防火墙技术种类: (1)包过滤防火墙 packet filtering (2)应用代理防火墙 application proxy (3)状态检测防火墙 stateful inspection (firewalld是包过滤防火墙,所以这里只讲包过滤防火墙) - 包过滤防火墙概述: (1
KVM虚拟机NAT模式网络无法连接
Imagine Miracle的博客
07-01 5793
问题发生 在使用virt-manager启动虚拟机后,使用一段时间后突然虚拟机网络断开,并不知道是什么原因导致。 解决问题 可以看到虚拟机是使用NAT模式连接主机网络的。 这里使用的是virt-manager创建虚拟机时提供的default网络配置xml文件。 首先查看virt-manager的网卡接口,如下图的virbr0就是KVM为虚拟机创建的网卡接口,也是作为一个switch和bridge,将包分发到KVM的各个虚拟机。 通过virsh重新启动default接口,提示信息显示,该接口是正常工
firewalld 操作指令
Stars.Sky 的博客
06-15 4321
firewall-cmd 操作指令。
linux 7 防火墙 配置视频教程,详解CentOS/RHEL7配置firewalld防火墙
weixin_32687875的博客
05-10 238
在RHEL/CentOS7系统firewalld防火墙取代了iptables 防火墙firewalld( Dynamic FirewallManager of Linux systems, Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于 CLI(命令行界面)和基于 GUI(图形用户界面)的两种管理方式。相较于传统的防火墙管理配置工具, firewalld 支...
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用firewalld设置规则
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalldcentos 7防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
详述LinuxFirewalld高级配置的使用
09-14
主要介绍了详述LinuxFirewalld高级配置的使用,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Linux备份当前规则,iptables规则备份和恢复与firewalled介绍和相关操作
weixin_42118161的博客
05-13 410
一、iptables规则备份和恢复我们在设置防火墙规则的时候,规则只是保存在内存,并没有保存到某一个文件。系统重启重启之后,之前设定的规则就么有了,所以设定好之后要先保存一下,使用命令:[root@zlinux ~]# service iptables saveiptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ]...
Centos7防火墙firewalled基本使用
07-24 398
firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。 firewalld常用的区域名称及策略规则 区域 默认规则策略 trusted 允许所有的数据包 home 拒绝流入的流量,除非与...
firewalld 端口、富规则
舍人的学习工厂
08-07 6062
​​​​​​​​​​​​章节概述: 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用。 本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全...
FIREWALLD管理
m0_37387597的博客
02-28 418
一、iptables简介 在企业6以及之前的版本,使用iptables别写火墙策略,iptables是编写火墙策略的工具而不是火墙,iptables默认通过3张表5条链管理火墙。 filter表(实现包过滤) nat表(实现网络地址转换) mangle表(实现包修改,即不属于filter和nat表的都归mangle表) PREROUTING:数据包进入路由表之前 INPUT:通过路由表...
Firewalld防火墙策略详解
Iands。的博客
02-24 2124
一、Firewalld firewalld防火墙Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务
Linux 防火墙firewalld 的基本使用
程序员大佬超的博客
06-08 4369
本文同步发表于我的微信公众号,扫一扫文章底部的二维码或在微信搜索 chaodev 即可关注。 firewalld(Dynamic Firewall Manager of Linux System,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。在比较新的系统firewalld 防火墙已经取代了 iptables 防火墙。 一、 防火墙启用和关闭 大部分系统已经自带了 firewalld 防火墙,如果未安装,执.
firewalld常用配置
lyw2019的博客
03-28 1809
Linux系统其他的防火墙策略配置工具一样,使用firewalld配置防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且随着系统的重启会失效。如果想让配置策略一直存在,就需要使用永久(Permanent)模式了,方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数,这样配置防火墙策略就可以永久生效了。但是,永久生效模式有一个“不近...
Firewalld
******* ▄︻┻┳═一 *******
02-23 689
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;RHEL 7系统集成了多款防火墙管理工具,其firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。 &nbsp;&nbsp;&nbs...
firewalld防火墙
kwame211的博客
05-13 604
在RHEL7系统firewalld防火墙取代了iptables防火墙。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。表...
linux firewalld防火墙配置
04-29
Linux firewalld 是一种防火墙管理器,它能够控制网络流量并保护系统免受恶意攻击。下面是一些常见的 firewalld 配置命令: ...以上是一些常见的 firewalld 配置命令,使用这些命令可以轻松配置和管理 Linux 防火墙

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值