防火墙之firewall配置

最新推荐文章于 2024-04-26 16:31:32 发布
最新推荐文章于 2024-04-26 16:31:32 发布
阅读量230 收藏 2
点赞数
分类专栏: Network 文章标签: linux 运维 服务器 网络 firewall 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41210783/article/details/133089034
版权

firewall

​ CentOS 7中防火墙已经由firewalld来管理,Centos7默认安装了firewalld。

与iptables区别

  1. iptables 仅能通过命令行进行配置;而 firewalld 提供了图形接口,类似windows防火墙的操作方式;
  2. iptables 每一个单独更改意味着清除所有旧的规则,并从 /etc/sysconfig/iptables 中读取所有新的规;则;而 firewalld 在有规则变动后,可以仅仅运行规则中的不同之处,即在 firewalld 运行时间内,改变设置时可以不丢失现行链接;
  3. iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件中;
  4. iptables 没有守护进程,并不能算是真正意义上的服务;而 firewalld 有守护进程;
  5. iptables 通过控制端口来控制服务,而 firewalld 则是通过控制协议来控制端口;
  6. firewalld默认是拒绝;而iptables默认是允许

firewall 服务

# 查看服务状态
service firewalld status
systemctl status firewalld
firewall-cmd --state

# 启动
service firewalld start
systemctl start firewalld

# 重启
service firewalld restart
systemctl start firewalld

# 关闭
service firewalld stop

# 重新加载
firewall-cmd --reload	# 每次修改规则、配置后,需要重新加载使其生效!

开机启动

# 设置开机启动
systemctl enable firewalld
# 停止并禁用开机启动
systemctl disable firewalld

firewalld区域与配置规则

​ 宽松模式::trusted ,单独拒绝的源ip地址写入block,适合于拒绝的少,允许的多的应用场景
​ 严格模式: block,单独允许的源IP地址写入trusted,适合于允许的少,拒绝的多的应用场景;

# 默认为 public
-public:	仅允许访问本机的sshd,dhcp,ping少数几个服务
-trusted:	允许任何访问
-block:		阻塞任何来访请求(明确拒绝)
-drop:		丢弃任何来访的数据包(直接丢弃,不给客户端回应,节省资源)

​ firewalld默认提供了九个zone配置文件:block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml,都保存在**/usr/lib/firewalld/zones/**目录下。

查看默认区域
firewall-cmd --get-default-zone    #默认就是public
修改默认区域
# 修改默认区域为: trusted 区域
firewall-cmd --set-default-zone=trusted
在一个区域添加协议
# 查看区域public里面的所有配置,ping服务没有列出来
firewall-cmd --zone=public --list-all

# runtime,添加http到public区域中,可以正常访问http了
firewall-cmd --zone=public --add-service=http

# runtime,添加ftp到public区域中,可以正常访问ftp了
firewall-cmd --zone=public --add-service=ftp

# 永久添加,写到了相当的配置文件中了
firewall-cmd --zone=public --add-service=http --permanent

# 从public中永久的移除dhcpv6-client服务
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent
拒绝源IP

​ 1个源IP只能在1个区域中,在block区域中,就不能在trusted区域中了

# firewall-cmd --zone=block --add-source=10.10.67.40 --permanent

firewall-cmd 规则配置

查看规则
firewall-cmd --list-all

prots:所开放、暴漏的端口(包括ipv4、ipv6)
rich rules:自定义防火墙规则,灵活运用,非常的实用(可限制ipv4、ipv6、源地址等)

端口策略
# 查看端口列表
firewall-cmd --permanent --list-port
# 查看所有已开端口
firewall-cmd  --list-ports

# 查询8080端口是否开放
firewall-cmd --query-port=8080/tcp

# 开放80端口
firewall-cmd --permanent --add-port=80/tcp
# 开放3306端口(--permanent:永久生效,没有此参数防火墙重启便失效)
firewall-cmd --zone=public --add-port=3306/tcp --permanent
# 关闭开放的3306端口
firewall-cmd --zone=public --remove-port=3306/tcp --permanent

# 移除端口
firewall-cmd --permanent --remove-port=8080/tcp

firwall-cmd:是Linux提供的操作firewall的一个工具;
permanent:表示设置为持久;
add-port:标识添加的端口;

ipv4、ipv6双协议区分限制
# ipv4
# 默认是public域
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'

# ipv6
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'

# 查看已经设置的规则
firewall-cmd --zone=public --list-rich-rules
对ip段开放所有端口
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.127.0/24" accept'
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.127.0/24" accept'

firewall-cmd --reload
限制访问源、访问端口
# 限制具体ip
# 添加
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"
# 删除
firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"

# 限制ip段
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept' 
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept'
信任docker、tunl0和calico卡(k8s常用)
# 需要注意的是如果使用了多个域例如trusted、public,加规则时需要加声明参数,否则会有提示
# 例如:--zone=public
firewall-cmd --permanent --zone=trusted --change-interface=docker0
firewall-cmd --permanent --zone=trusted --change-interface=tunl0 
firewall-cmd --permanent --zone=trusted --change-interface=calixxx
firewall-cmd --reload

# 查看信任网卡
firewall-cmd --zone=trusted --list-interfaces
实现本机的端口映射

​ 本地应用的端口重定向(8080–>80),应用场景:从客户机访问 8080 的请求,自动映射到本机 80

# 8080映射到80    
firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=80

firewall-cmd --reload
清空所有规则
# root执行
firewall-cmd --permanent --list-all | grep ports | head -n 1 | \
cut -d: -f2 | tr ' ' '\n' | xargs -I {} firewall-cmd --permanent --remove-port={}

firewall-cmd --reload
CodeStarNote
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
Firewalld的图形化管理和命令管理 及firewalld地址转发和伪装
Rapig1的博客
08-16 353
1.什么是firewalld 防火墙Firewalld),是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出 防火墙是系统的第一道防线,其作用是防止非法用户的进入 centos 7 中防火墙Firewalld是一个非常强大的功能,Firewalld提供了支持网络/防火墙区域(zone)定义网络连接以及接口安全等级的动态防火墙管理工具,它支持IPv4,IPv...
Linux系统firewalld防火墙的进阶操作(日志保存 IP网段 ssh服务)
小康师兄
08-16 1563
Linux系统firewalld防火墙的进阶操作(日志保存 IP网段 ssh服务)
CentOS 防火墙配置firewall
crayon
10-08 9416
9、重新加载(修改防火墙规则后需要执行reload)13、获取所有支持的ICMP类型。14、列出全部启用的区域的特性。2、允许\禁止开机自启动。6、查看指定端口是否开启。11、获取支持的区域列表。12、获取所有支持的服务。2、启动&停止&重启。
linux之centos7中firewall指定ip段,ip协议,禁用/启用ping,常用规则命令
m0_51527921的博客
12-17 4451
linux之centos7中firewall指定ip段,ip协议,禁用/启用ping,常用规则命令
firewall防火墙简单配置
qq_43636320的博客
02-08 1588
firewall防火墙简单配置
Linux firewall防火墙详解(二)——firewall配置
永远是少年
12-07 9213
本文主要内容是Linux firewall防火墙配置 一、Linux firewall常用命令 二、通过配置文件使用firewall
firewalld防火墙配置
BiQing11的博客
06-17 1603
1、确认并开启firewalld服务。上面是两个常见到得配置文件。
firewalld防火墙详细介绍
A1100886的博客
05-22 3863
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6121
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
CentOS 7.0 Firewall防火墙配置
02-01
CentOS Firewall 防火墙 CentOS Firewall 防火墙 CentOS Firewall 防火墙
CentOS7下Firewall防火墙配置用法详解(推荐)
09-15
centos 7中防火墙是一个非常的强大的功能了,这篇文章主要介绍了CentOS7下Firewall防火墙配置用法详解(推荐),小编觉得挺不错的,现在分享给大家,也给大家做个参考。
firewall防火墙配置--笔记1
08-08
1、官方介绍The dynamic firewall daemon firewalld provides a dynamically managed firew
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
Linux多进程(五) 进程池 C++实现
最新发布
Lyajpunov的博客
04-26 500
进程池是一种并发编程模式,用于管理和重用多个处理任务的进程。它通常用于需要频繁创建和销毁进程的情况,以避免因此产生的开销。减少进程创建销毁的开销:避免频繁创建和销毁进程所带来的系统资源开销。提高系统响应速度:由于进程已经初始化并且一直保持在内存中,可以立即分配执行任务,减少了任务等待时间。控制资源使用:通过限制进程池中的进程数量,可以控制系统资源的使用情况,避免资源过度消耗。
Linux报错处理:‘abrt-cli status’ timed out
Rita_rr的博客
04-23 473
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行网络问题或配置错误。
linux18:进程等待
m0_73919066的博客
04-20 1081
1:子进程创建的目的是要完成父进程指派的某个任务,当子进程运行完毕退出时,父进程需要通过进程等待的方式,回收子进程资源,获取子进程退出信息(子进程有无异常?没有异常结果是否正确?检查退出码查看错误原因)2:父进程如果一直不回收,就可能造成子进程‘僵尸进程’的问题,子进程一直得不到父进程的回收,进而造成内存泄漏。3:子进程一旦变成僵尸状态,那就刀枪不入,“杀人不眨眼”的kill -9 也无能为力杀死一个已经死去的进程。只能通过进程等待将他进行回收。
arm架构Linux5.0内核连接脚本文件vmlinux.lds.S分析
jianjian的博客
04-23 918
vmlinux.lds.S 是 Linux 内核中用于链接的脚本文件,用于定义内核对象文件的内存布局,即它告诉链接器如何将不同的内核代码段和数据段组合成一个最终的内核映像 vmlinux。编译内核源码生成内核文件的过程分两步,一个是“编译”,另一个是“链接”的过程,vmlinux.lds.S要做的就是告诉编译器如何链接编译好的各个内核.o文件,从而生成vmlinux文件。
Linux服务器硬件及RAID配置
JIUYINGQAQ的博客
04-22 1513
RAID 0又称为条带化(Stripe),代表了所有RAID级别中最高的存储性能。通过建立RAID 0,原先顺序的数据请求被分散到所有的三块硬盘中同时执行。但由于其没有数据冗余,无法保护数据的安全性,只能适用于I/O速率要求高,但数据安全性要求低的场合。RAID 0数据存储原理。
华为防火墙 firewall配置命令
11-03
3. 显示系统配置信息:display firewall configuration 以上介绍了部分华为防火墙配置命令,仅供参考。具体的配置要根据实际情况和需要进行调整。建议在进行防火墙配置前先了解设备操作手册和相关技术文档,以便...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值