Linux网络——shell编程之firewalld防火墙

最新推荐文章于 2023-08-20 17:06:29 发布
最新推荐文章于 2023-08-20 17:06:29 发布
阅读量741 收藏 1
点赞数
文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nwp0611/article/details/130990726
版权
本文介绍了Linux系统中firewalld防火墙的原理与配置方法,对比了firewalld与iptables的区别,并详细讲解了firewalld的区域管理、服务管理、端口管理和地址转换设置。firewalld以区域为基础设置规则,简化了网络安全管理,同时提供firewall-config图形工具和firewall-cmd命令行工具进行配置。
摘要由CSDN通过智能技术生成

shell编程之firewalld防火墙

一、firewalld概述

  • firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
  • firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。
  • firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。

二、iptables与firewalld的联系与区别

1.iptables与firewalld的区别

  • iptables主要是基于接口,来设置规则,从而判断网络的安全性。
    firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

  • iptables 在/etc/sysconfig/iptables中储存配置
    firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。

  • 使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则
    使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld 可以在运行时间内,改变设置而不丢失现行连接。

类别 iptables firewalld
配置文件 /etc/sysconfig/iptables /etc/firewalld/ 和 /usr/lib/firewalld/
对规则的修改 需要全部刷新策略,丢失连接 不需要全部刷新策略,不丢失现行连接
防火墙类型 静态防火墙 动态防火墙

2.iptables与firewalld的联系

CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”

三、firewalld区域

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

1.firewalld的九个区域

项目 Value
trusted(信任区域) 允许所有的传入流量
public(公共区域) 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
external(外部区域) 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
home(家庭区域) 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal(内部区域) 默认值时与home区域相同
work(工作区域) 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
dmz(隔离区域 或 非军事区域) 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝
block(限制区域) 拒绝所有传入流量
drop(丢弃区域) 丢弃所有传入流量,并且不产生包含 ICMP的错误响应

2.firewalld区域介绍

  • 最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
  • 可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
  • 默认情况下,public区域是默认区域,包含所有接口(网卡)

3.firewalld数据处理流程

firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。

4.firewalld检查数据包源地址的规则

  • 若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
  • 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有
最低0.47元/天 解锁文章
nwp0611
关注
shell 编程 入门到实战详解
互联网老辛
09-30 2872
一. shell变量、循环 概述 Shell是一种具备特殊功能的程序,它提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令,并把它送入内核去执行。内核是Linux系统的心脏,从开机自检就驻留在计算机的内存中,直到计算机关闭为止,而用户的应用程序存储在计算机的硬盘上,仅当需要时才被调入内存。Shell是一种应用程序,当用户登录Linux系统时,Shell就会被调入内存去执行。Shell独...
Linux运维面试题总结—Linux基础、计算机网络基础
qq_50685659的博客
10-22 8090
Linux基础、计算机网络基础
Linux防火墙配置shell脚本.docx
10-29
Linux防火墙配置shell脚本.docx
shell脚本——friewalld防火墙
bailuyuanx的博客
03-12 566
firewalld脚本 #!/bin/bash ZONE=--zone=public PERM=--permanent Firewall (){ systemctl status firewalld.service 1>/dev/null 2>&1 B=$? if [ $B -eq 4 ]; then echo $server no firewalld.service else
防火墙规则shell脚本
weixin_33912453的博客
07-06 388
[root@yanjin ~]#vim iptables.rule #!/bin/bash EXTIF="eth0" INIF="" INNET="" echo "1" > /proc/sys/net/ipv4/tcp_syncookies echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broa...
Linux网络——shell编程之iptables防火墙
weixin_67300995的博客
05-22 1143
防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。Linux 系统的防火墙:IP信息包过滤系统,实际上由两个组件netfilter和iptables组成。
iptables 防火墙脚本
Richardlygo的博客
07-13 568
【代码】iptables 防火墙脚本
linux&shell编程基础
qwj205的博客
07-03 1282
Manuel 简写man 命令 可以查看这个命令的使用信息如果这个命令是shell内嵌的命令,还需要加上-f 才能查看命令的使用列出了关于这个命令解释的几个出处,数字1表示第一册,3tcl表示第3侧,1p中的p表示posix标准(基于Unix的可移植的软件开发标准协议)使用man 1p cd 查看这个里面规定的cd的使用方法变量可以划分为系统变量和用户变量也可以划分为全局变量和局部变量常用系统变量:$HOME 当前用户的主文件夹$PWD 当前所在位置。
Linux学习笔记——CentOS
热门推荐
MCC
04-20 3万+
Linux1 介绍2 安装3 Linux 的目录结构4 远程操作工具5 1 介绍 Linux 是一个开源、免费的操作系统,具有很强的稳定性、安全性、以及处理多并发的能力,目前大多数企业级应用甚至是集群项目都部署运行在 Linux 操作系统上,很多软件公司考虑到开发成本都首选LinuxLinux 在中国软件公司得到了广泛的使用。 Linux 的主要发行版本有以下几种: Ubuntu(乌班图)、RedHat(红帽)、CentOS、Debain(蝶变)、Fedora、SuSE、OpenSUSE、红旗Li
centos6,centos7 根据ip地址列表文件进行防火墙封杀的shell脚本
tengyunjiawu_com的专栏
10-10 915
centos6 shell脚本如下: cat $1 | while read line do iptables -I OUTPUT -s ${line%.*}.0/24 -j DROP iptables -I INPUT -s ${line%.*}.0/24 -j DROP echo "File:${line%.*}" done service ipta...
iptables防火墙
weixin_50344807的博客
11-19 459
文章目录iptables的表,链结构数据包过滤的匹配流程 netfilter 1.位于Linux内核中的包过滤能体系 2.称为Linux防火墙的 “内核态” iptables 1.位于/sbin/iptables,用于管理防火墙规则的工具 2.称为Linux防火墙的 “用户态” 包过滤的工作层次 主要是网络层,针对IP数据包。 体现在对包内的IP地址,端口等信息的信息的处理上。 iptables的表,链结构 规则表 表的作用:容纳各种规则链。 表的划分依据:防火墙规则的作用相似。 默认包括4个规则表 raw
Linux网络服务与shell脚本——Linux防火墙(2)
01-07 753
第十二章 Linux防火墙(2) 一、SNAT策略及应用 1、SNAT策略概述 通过地址转换实现内网IP访问外网IP,类似于路由器的多路复用功能。 2、SNAT策略应用 (1)开启网关的路由转发功能 ①修改/etc/sysctl.conf文件net.ipv4.ip_forward=1 ②读取配置:sysctl -p (2)设置SN...
shell for循环案例:自动批量添加iptables应用端口规则
weixin_34161032的博客
11-13 957
shell foriptables ##################################################### ##如有转载,请务必保留本文链接及版权信息 ##linux/unix网站运维技术! ##QQ:335623998 ##E-mail:335623998@qq.com ##博客:http://d...
Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
无糖可乐没有灵魂
07-28 1505
【代码】Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
Linux之iptables及firewall超详解
weixin_64051859的博客
07-31 2万+
Linux之iptables及firewall超详解
centos 防火墙 iptables 用shell代码来添加
三口酥屋
03-24 751
 centos 防火墙 iptables 用shell代码来添加 |浏览:501|更新:2014-04-22 15:45 百度经验:jingyan.baidu.com 很多时候,添加iptable 防火墙规则的时候,大家都喜欢一条一条的命令打,确实很方便。 不过,我喜欢用shell scripts 来添加,原因是,不容易出错,还可以一直保存着,方便修改等等
linux防火墙iptables
最新发布
x74188的博客
08-20 2100
ptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加载扩展模块。五表的优先级(高->低):security -->raw-->mangle-->nat-->filter。不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更高。RELATED:新发起的但与已有连接相关联的连接,如:ftp协议中的数据连接与命令连接之间的关系。转发:PREROUTING --> FORWARD --> POSTROUTING。
shell实战之编写安全脚本-12】
小小Python的博客
07-25 840
这里写自定义目录标题一、自动化禁止恶意IP访问1.使用iptables对强行攻击192.168.131.109机器的主机进行拒绝访问2.使用firewalld对强行攻击192.168.131.109机器的主机进行拒绝访问(好处:不会出现重复添加IP) 一、自动化禁止恶意IP访问 应用场景:防止恶意IP尝试ssh登录。 脚本说明:将密码输入错误超过4次的IP地址通过firewalld防火墙阻止访问 ssh远程访问记录在文件中/var/log/secure 登录成功时,该文件最后: Jul 25 14:07:0
CentOS 7 Firewalld防火墙基础命令深度解析与实战
CentOS 7中的Firewalld防火墙是一个强大的网络访问控制工具,它作为Linux内核的一部分,通过用户态的firewalld命令程序来管理和控制包过滤机制。火walld主要负责为内核的netfilter子系统提供策略,通过定义规则决定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值