RHCE(十九)Linux防火墙——FirewallD

最新推荐文章于 2023-03-13 19:16:30 发布
最新推荐文章于 2023-03-13 19:16:30 发布
阅读量359 收藏 2
点赞数 2
分类专栏: RHCE 文章标签: linux firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43624033/article/details/105889255
版权

FirewallD

FirewallD介绍

firewalld提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。FirewallD允许服务或者应用程序直接添加防火墙规则的接口。

与iptables相比较

iptables防火墙是静态的,添加修改规则后都必须重启防火墙。即内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而firewalld不同,它拥有运行时配置和永久配置选项,在运行时配置规则后立即生效,永久配置规则是基于firewalld的守护进程,将规则载入至Netfilter模块,不会对Netfilter模块进行卸载和重新启动,避免破坏状态防火墙和确立的连接, 所以说firewalld 可以动态管理防火墙。
FirewallD 使用服务(service) 和区域(zone)来代替 iptables 的规则(rule)和链(chain)。

FirewallD区域

firewalld将网卡分为不同的区域(区域),这些区域的区别在于对待来访的用户及传输的数据包的默认动作的不同,通过制定一 些安全 策略从而保证系统在被访问或传输数据时的安全。

默认情况下,有以下的区域(zone)可用:

  • trust(信任):可接受所有的网络连接;
  • home(家庭):用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client或dhcpv6-client服务连接;
  • internal(内部):用于内网络,仅接受ssh、ipp-client、mdns、samba-client或dhcpv6-client服务连接;
  • work(工作区):用于工作区,仅接受ssh、ipp-client、dhcpv6-client服务连接;
  • public(公共):用于公共区域的使用,仅接受ssh、dhcpv6-client服务,为firewalld的默认区域;
  • external(外部区域):出去的ipv4的网络连接经过此区域的伪装和转发,只支持ssh服务;
  • dmz(隔离区):仅接受ssh服务;
  • block(限制):拒绝所有的网络服务;
  • drop(丢弃):任何访问的网络数据包都会被丢弃,没有任何回应。

firewalld 的默认区域是 public。

预定义服务/添加端口

  1. 直接编辑配置文件/etc/firewalld/firewalld.conf
  2. 使用firewall-config图形工具,通过这个图形工具,可以更改和检查firewalld内存中的配置(Runtime),也可以修改磁盘上的持久配置(Permanent)
  3. 使用firewall-cmd命令

启动服务
#systemctl enable firewalld.service
#systemctl start firewalld.service
查看防火墙状态
#systemctl status firewalld

FirewallD图形化工具管理防火墙

终端键入firewall-config即可打开图形化工具,firewall-config 支持防火墙的所有特性。firewall-config 可以配置防火墙允许通过的服务、端口 、伪装 、端口转发 、 ICMP 过滤器和调整 zone(区域)

firewall-config工作界面:

在底部状态栏显示四个信息:连接状态、默认区域、锁定状态、应急模式。
在配置选项处有运行时和永久两个选项,即两种配置:

  • 运行时:运行时配置为当前使用的配置规则。运行时配置并非永久有效,在重新加载时可以被恢复,而系统或者服务重启、停止时,这些选项将会丢失。
  • 永久:永久配置存储在配置文件中,永久配置规则在系统或者服务重启的时候使用,若要配置后立即生效,在上方选项菜单栏中点击重载防火墙。

选项子菜单包括以下几个部分:

重载防火墙:重载防火墙规则。若现在运行的配置规则如果没有在永久配置中操作,那么系统重载后会丢失。

更改连接区域:更改网络连接的默认区域。

改变默认区域:更改网络连接的所属区域和接口。

应急模式:应急模式意味着丢弃所有的数据包。

锁定:锁定可以对防火墙配置就行加锁,只允许白名单上的应用程序进行改动。锁定特性为 firewalld 增加了锁定本地应用或者服务配置的简单配置方式。它是一种轻量级的应用程序策略。

使用firewall-cmd命令管理防火墙

firewall-cmd命令格式(可以在man手册中查看):
在这里插入图片描述

区域管理

#显示支持的区域
firewall-cmd --get-zones 
block drop work internal external home dmz public trusted

#设置trusted区域为当前区域
firewall-cmd --set-default-zone=trusted

#查看当前的区域
firewall-cmd --get-active-zones

#根据接口查询区域
firewall-cmd --get-zone-of-interface=ens33 

#设置当前的区域的接口
firewall-cmd --get-zone-of-interface=ens33

#显示所有公共区域
firewall-cmd --zone=public --list-all

#显示所有的区域规则
firewall-cmd --list-all-zones

服务管理

#使用命令查看所有支持的服务
[root@localhost ~]# firewall-cmd --get-services

#添加服务
[root@mail ~]# firewall-cmd --add-service=http

#显示当前服务
[root@mail ~]# firewall-cmd --list-services 
dhcpv6-client ssh

#移除服务
[root@mail ~]# firewall-cmd --remove-service=ssh 

#设置服务超时时间,即服务的开启时间,单位秒
[root@mail ~]# firewall-cmd --add-service=http --timeout=10

端口管理

#添加一个端口
[root@mail ~]# firewall-cmd --add-port=8080/tcp

#删除端口
[root@mail ~]# firewall-cmd --remove-port=8080/tcp

#配置端口转发
[root@mail ~]# firewall-cmd  --add-forward-port=port=22:protocol=tcp:toport=2222

其他

#启用紧急模式(所有的 规则出入都拒绝)
[root@mail ~]# firewall-cmd --panic-on

#禁用紧急模式
[root@mail ~]# firewall-cmd --panic-off

#查询紧急模式状态
[root@mail ~]# firewall-cmd --query-panic

#添加当前源地址
[root@mail ~]# firewall-cmd --add-source=192.168.10.1/24

#删除源地址
[root@mail ~]# firewall-cmd --remove-source=192.168.10.1/24

#启用伪装功能,但因为内核限制,只支持ipv4
[root@mail ~]# firewall-cmd --add-masquerade

#列出所支持的ICMP类型
[root@mail ~]# firewall-cmd --get-icmptype

#添加禁止icmp报文
[root@mail ~]# firewall-cmd --add-icmp-block=echo-request

以上都为运行时生效,配置永久生效要在在firewall-cmd后加一个–permanent,配置后重载防火墙

#添加规则
[root@mail ~]# firewall-cmd --permanent --add-service=http
#重新加载防火墙
[root@mail ~]# firewall-cmd --reload

rich rule(富规则)

富规则是firewalld管理防火墙的常用手段,管理方式有图形界面和命令行界面,图形界面简单易懂,命令行格式需要多练习

#添加一个富规则
firewall-cmd [--zone=zone] --add-rich-rule='rule' [--timeout=timeval]
#删除一个富规则
firewall-cmd [--zone=zone] --remove-rich-rule='rule'
#查询一个富规则
firewall-cmd [--zone=zone] --query-rich-rule='rule'

示例:

#禁止172.16.10.0/24 域的用户对server和desktop进行ssh访问
[root@system1 ~]# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="172.16.10.0/24" service name="ssh" reject'
[root@system1 ~]# firewall-cmd --reload

#配置端口转发,172.24.8.0/24网段中的主机,访问server的本地端口1111将被转发到80端口
[root@system1 ~]# firewall-cmd --permanent --add-rich-rule 'rule family="ipv4" source address="172.24.8.0/24" forward-port port="1111"  protocol="tcp" to-port="80"'
[root@system1 ~]# firewall-cmd --reload
~inspire
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RHCE 学习笔记(31) - 防火墙 (上)
weixin_34159110的博客
01-22 85
这一节内容比较多,主要是学习firewalld的使用和配置。学习firewalld之前,先简单的看看另外一个工具 tcp wrapper。这个是一个基于主机的访问控制系统,他一般作为防火墙的一个补充和加强。一些简单的服务访问控制,通过tcp wrapper很容易就实现了。红帽有个官方文档可以查看详细的解释和实例https://access.redhat.com/documentation/en-U...
RHCE 防火墙
m0_53122419的博客
10-23 80
服务端开启firewalld或者iptables服务,客户端可以通过http://ip/访问到的页面信息为hello,world;客户端可以通过端口2000访问服务器的ssh服务 1、安装iptables yum install iptables-services.x86_64 iptables -I INPUT -p tcp --dport 80 -j ACCEPT 2、ssh登录 iptables -I INPUT -p tcp -s 192.168.182.20 --dport 2000 -j
RHCEfirewalld——CLI控制及使用firewalld区)
金色%夕阳的博客
12-09 604
1.4. 使用 CLI 控制端口 端口是可让操作系统接收和区分网络流量并将其转发到系统服务的逻辑设备。它们通常由侦听端口的守护进程来表示,它会等待到达这个端口的任何流量。 通常,系统服务侦听为它们保留的标准端口。例如, httpd 守护进程侦听端口 80。但默认情况下,系统管理员会将守护进程配置为在不同端口上侦听以便增强安全性或出于其他原因。 1.4.1. 打开端口 通过打开端口,系统可从外部访问,这代表了安全风险。通常,让端口保持关闭,且只在某些服务需要时才打开。 要获得当前区的打开端口列表: 列出所有允
RHCE
weixin_30629977的博客
04-20 76
RHCE 配置 配置firewalld防火墙 配置firewalld端口转发 自定义用户环境 配置链路聚合 配置IPV6地址 配置本地邮件服务 实现一个 web 服务器 配置安全web服务 配置虚拟机主机 实现动态WEB内容 通过 SMB 共享目录 配置多用户SMB挂载 配置NFS服务 挂载一个NFS共享 ...
firewalld的简单用法及了解
weixin_33714884的博客
07-16 300
iptables规则备份,把规则保存至文件当中,可以防止规则丢失查看当前的规则 [root@localhost ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 138 16695 ACCE...
RHCE8.2 Ansible Linux自动化随堂笔记
01-09
RHCE8.2 Ansible Linux自动化随堂笔记 Ansible是基于Python开发的开源自动化运维工具,它可以批量配置系统,部署软件以及协调更高级的IT任务,例如连续部署或零停机滚动更新。Ansible的主要目标是简单和易用。它还...
Redhat Linux RHCE 完整版学习笔记
最新发布
02-05
### Redhat Linux RHCE 完整版学习笔记 #### 一、系统启动与基本操作 - **系统启动过程**: - **BIOS (Basic Input Output System)**:计算机硬件的第一层软件,负责加载引导程序。 - **MBR (Master Boot Record...
linux红帽RHCE笔记 非常详细版本
04-09
RHCE是Red Hat Certified Engineer的简称——红帽认证工程师 始于1999年3月。Red Hat是全世界Linux厂商中的龙头老大,其市场占有率从1999年起就已超过了50%。并在业界得到广泛应用。而红帽认证工程师也是业界公认的...
Linux-RHCE8实验环境
07-13
作为实现内农大学习linux的环境,有一台主机与两台实验机器(内置于foundtion0中,类似于伪分布式的环境),适合用用于内农大,总文件大小25G,解压是顺序解压,可以从第一个压缩包解压,剩下的会自动解压。...
linux+rhce经典教材
01-08
rhce经典教材,linux入门学习的书籍,适合感兴趣的同学
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 7292
查看防火墙策略。
防火墙(2)语言规则
m0_57207884的博客
08-13 1974
第三章 firewalld防火墙(二) 一.IP伪装与端口转发 nat技术一般配置在企业边界路由器或防火墙 2.Firewalld支持两种类型的网络地址转换 2.1 IP地址伪装(masquerade) 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 2.2端口转发(Forward-port) 也称为目的地址转换或端口映射 通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计算机上的端口 例:企业内网服务器一般采用私网地址,可以
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd命令
weixin_42326851的博客
05-24 8055
Centos7防火墙配置rich-rule实现IP端口限制访问 & firewall-cmd常用命令
firewalld:禁ping设置
热门推荐
刘元林的博客
01-12 1万+
目录 1、rich rule禁ping 2、通过icmp-block-inversion实现禁ping 3、通过icmp-block实现禁ping Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法: 1、rich rule禁ping 通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现! rich rule会完全封堵icmp包,不再允许白名单设置:..
FIREWALLD详解,linux上开启防火墙
HHH's Blogs
09-03 1012
FIREWALLDlinux上开启防火墙目录定义访问控制列表防火墙功能包过滤防火墙原理linux内核iptables service网络各层技术点五元组 (保障网络安全)五个位置的钩子函数:定义及介绍五链四表动作防火墙的核心工作流程:数据包在规则表、链的匹配流程命令格式及说明案例详细讲解安 装iptables功能讲解:开放端口示例服务和区域预定义服务软硬芯片防火墙了解 目录 定义 1.从软、硬件...
linux系统维护篇:firewall-cmd中放开、禁止、转发命令保姆级手把手教你用附带一个策略管理工具脚本让你丝般顺滑的放心操作
MarshalEagle的博客
11-02 6744
目录 1、查询端口放开策略 2、添加端口放开策略 2.1、所有来源均可访问 2.2、指定来源可访问 3、添加服务放开策略 4、添加端口禁止策略 5、删除端口策略 5.1、关闭已开放的端口 5.2、删除指定来源ip放开的端口 5.3、删除指定来源ip段,放开的端口范围 6、关闭firewall 7、简要参数字段解释 8、规则语法 9、端口转发 10、自定义区域和服务 10.1 自定义的区域 10.2 自定义服务 预警:所有永久策略更改后,请执行重载命令使其生效,如....
Centos7系列(四)防火墙永久区域与规则
weixin_33895695的博客
05-17 1245
博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!7)启用区域中的 IP 伪装功能(格式:firewall-cmd[--zone=区域] --add-masquerade)说明:此操作启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限...
firewalld 端口、规则
舍人的学习工厂
08-07 6263
​​​​​​​​​​​​章节概述: 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用。 本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全...
RHEL7 规则删除
dieman0446的博客
03-20 248
1. 查看已经创建好的规则 firewall-cmd --list-rich-rules 2. 删除规则(******代表已经创建好的完整规则内容) firewall-cmd --remove-rich-rule ' ******* ' --permanent 举例: ps:以上例子中删除部分应该添加--permanent选项,不然reload后依然没...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值