【记录】firewall-cmd配置服务器防火墙

最新推荐文章于 2024-05-23 13:14:20 发布
最新推荐文章于 2024-05-23 13:14:20 发布
阅读量574 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44817119/article/details/106445800
版权

【记录】firewall-cmd 配置服务器防火墙

文章目录

版本:centos7 写作时间:2020-05-30

一、firewalld简介

firewalld 是centos7 默认的防火墙管理工具

1 优点

(1)支持动态更新,不重启服务

(2)假如了zone的概念,可以在不同工作环境快速切换防火墙配置规则,域zone其实就是一个防火墙策略规则的集合

2 firewall的默认配置文件

/usr/lib/firewalld/ (系统·配置文件,尽量不要修改)
/etc/firewalld/ (用户配置文件)

二 、firewalld的服务管理

服务管理

所谓服务管理,就是查看 某个服务是否开启,是否开机自启动,然后按需要改动它俩。

在centos7中,使用命令systemctl来管理服务。具体可参考博客 https://blog.csdn.net/qq_44817119/article/details/106357348

查看firewalld的当前运行状态systemctl status firewalld
启动firewalld服务systemctl start firewalld
重启firewalld服务systemctl restart firewalld
关闭firewalld服务systemctl stop firewalld
设置firewlld为开机自启动systemctl enable firewalld
查看firewalld开机自启动是否设置成功systemctl is-enabled firewalld
关闭firewalld的开机自启动systemctl distable firewalld

三、配置防火墙

推荐在测试新的并且可能有危险的规则时,可以使用额外选项以一定时间后自动删除某个规则,从而防止管理员意外锁定某个系统:–timemout

运行时配置、永久配置
运行时配置 firewall-cmd -zone=public -add-service=smtp默认运作状态(除非指定-permanent时为永久配置),重启失效,笔者猜测这就是前面说的firewalld的优点吧:支持动态更新,不重启服务
永久配置 firewall-cmd -zone=public --add-serrvice=smtp -permanent永久配置,不影响当前连接,重启后生效firewall-cmd --reload
更新规则
firewall-cmd --reload无需断开连接,动态添加规则
firewall-cmd --complete-reload断开连接,类似重启服务

1区域

区域
(1)区域分类
trusted允许所有的数据包
home,internal拒绝流入的数据包,除非与流出的数据包相关,或者是 ssh,mdns,ipp-client,samba-client与 dhcpv6-client服务则允许
work拒绝流入的数据包,除非与流出的数据包相关 或者是 ssh ipp-client,dhcpv6-client
public拒绝流入的数据包,除非与流出的数据包相关 或者是 ssh,dhcpv6-client
external拒绝流入的数据包,除非与流出的数据包相关 ssh
dmz拒绝流入的数据包,除非与流出的数据包相关 ssh
block拒绝流入的数据包,除非与流出的数据包相关
drop拒绝流入的数据包,除非与流出的数据包相关

列出的许多命令都采用 --zone=选项来确定所影响的区域,如果在这些命令中省略–zone,则将使用默认区域

(2)区域的查看与设置(tab键可以补全长参数)

firewall-cmd 参数

查看默认区域名称–get-default-zone
设置默认区域,使其永久生效–set–default-zone=<区域名称>
显示可用的区域–get-zones
显示当前正在使用的区域或者网卡名称–get-active-zones
显示所有区域的网卡配置参数、资源、端口以及服务信息等–list-all-zones
查看指定网卡所属区域–get-zone-of-interface=网卡名称
将网卡添加到某区域–zone=public --add-interface=网卡名称

demo:

#获取默认区域
[root@centos7 yue]# firewall-cmd --get-default-zone
public
#获取所有区域
[root@centos7 yue]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
#获取当前正在使用的区域
[root@centos7 yue]# firewall-cmd --get-active-zone
public
  interfaces: ens33 bridge0
#获取网卡ens33所在的区域
[root@centos7 yue]# firewall-cmd --get-zone-of-interface=ens33
public
#列出所有区域的网卡配置参数、端口、资源以及服务等
[root@centos7 yue]# firewall-cmd  --list-all-zones
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

dmz
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

drop
  target: DROP
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
  ·······

2 端口

端口
查看某个域开放的端口firewall-cmd --zone=public --list-ports
在某个域中加入一个端口firewall-cmd --zone=dmz --add-port=8080/tcp

3 服务

服务
查看开启了哪些服务firewall-cmd --zone=public --get-services
查看某个服务是否开启firewall-cmd --zone=public --query-service ftp
增加一个服务firewall-cmd --zone=work --add-service=smtp
删除一个服务–romove-service=smtp

4 IP

IP
1 限制IP地址访问

(1)禁止 IP为192.168.43.100的地址访问80端口

firewall-cmd  --permanent  --add-rich-rule="rule family="ipv4"  source  address="192.168.43.100"  port protocal="tcp"  port="80" reject"

(2) 重新载入防火墙规则,使设置生效

firewall-cmd   --reload

(3) 查看已经设置的规则

firewall-cmd  --zone=public  --list-rish-rules
2 解除IP地址限制

(1)解除刚才被限制的192.168.43.100

firewall-cmd  --perrmanent  --add-rich-rule="rule family="ipv4"  source  address ="192.168.43.100"  port protocal="tcp"  port="80"  accept"

(2) 重新载入防火墙规则,使设置生效

firewall-cmd   --reload

(3) 查看已经没有192.168.0.200的限制了

firewall-cmd  --zone=public  --list-rish-rules

如果设置未生效,可尝试直接编辑规则文件,删除原来的设置规则,重新载入防火墙即可

vim   /etc/firewalld/zones/public.xml
3 限制某IP地址段 对80端口的访问

(1)如果我们需要限制192.168.43.0-192.168.43.255这一整段IP,禁止他们访问

firewall-cmd  --permanent  --add-rich-rule="rule family ="ipv4"  source address="192.168.43.0/24"  port protocal="tcp"  port="80"  reject"

(2) 重新载入防火墙规则,使设置生效

firewall-cmd   --reload

5 常用查看命令

查看版本
firewall-cmd --version查看版本
firewall-cmd --help帮助信息

6 紧急模式

紧急模式
firewall-cmd --panic-on开启紧急模式,断开所有网络连接,远程控制的服务器不要这么干,ssh不过去了。
firewall-cmd --panic-off关闭紧急模式
firewall-cmd --query-panic查看是否开启了紧急模式
mingyuewu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解firewall的规则设置与命令(白名单设置)
01-10
一. 设置firewall规则 例1:对外暴露8080端口 firewall-cmd --permanent --add-port=8080/tcp 例2:使mysql服务的3306端口只允许192.168.1.1/24网段的服务器能访问 #添加规则 firewall-cmd --permanent --add-rich-rule=rule family=ipv4 source address=192.168.1.1/24 port protocol=tcp port=3306 accept #reload使生效 firewall-cmd --reload 例3:端
firewall-cmd 命令配置防火墙
mry6的博客
10-20 1451
firewall-cmd 命令配置防火墙 firewall-cmdfirewalld的字符界面管理工具, firewalld是CentOS7的一大特性, 好处:(1)支持动态更新;(2)不用重启服务. 且加入了防火墙zone概念. firewalld和iptables的区别:   1.安装firewalld [root@instance-0pk09gjj ~]# yum install...
Linux:firewalld-cmd的常用命令配置以及解释
最新发布
fox_kang的博客
05-23 217
【代码】Linux:firewalld-cmd的常用命令配置以及解释。
使用firewall-cmd命令配置防火墙
B.I.T
06-01 1万+
例1:对外暴露1234端口firewall-cmd --permanent --add-port=1234/tcp例2:使mysql服务的3306端口只允许192.168.1.0/24网段的服务器能访问#添加富规则 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24"
firewall-cmd 防火墙设置
buside的博客
07-23 280
1、限制某个IP访问服务器 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.1" reject' firewall-cmd --reload 2、取消富规则 # 查看已经创建好的富规则 firewall-cmd --list-rich-rules # 删除富规则(******代表已经创建好的完整富规则内容) firewall-cmd --remove-rich-rul
05-----检测某个端口是否开放和查看服务器防火墙状态
weixin_44517656的博客
03-31 1214
1 检测某个端口是否开放 nc -vv 192.168.1.117 8890 结果: 2 查看服务器防火墙状态 service firewalld status 或者使用下面的命令查看防火墙状态,主要看系统。 systemctl status firewalld.service //该命令可以改成start,stop使用,去启动或者停止防火墙服务。 下面这条我没这个命令。 firewall-cmd --state//状态 ...
CentOS7使用firewall-cmd打开关闭防火墙与端口
热门推荐
s_p_j的专栏
07-10 13万+
一、centos7版本对防火墙进行加强,不再使用原来的iptables,启用firewalld1.firewalld的基本使用 启动: systemctl start firewalld 查状态:systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 在开机时启用一个服务...
firewall-cmd(linuix下类似百度网盘)
06-22
`firewall-cmd --list-all` 用于显示防火墙的所有配置信息,包括活动的区域(zone)、已打开的端口、服务等。 3. **查看开放端口**: 使用 `firewall-cmd --list-ports` 可以列出当前已经开放的所有端口。而 `--...
Linux防火墙配置SNAT教程(2)
01-11
 (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ) 2、实验拓扑 3、实验步骤 (1)完成“Linux防火墙配置-SNAT1”实验 (2)为网关增加外网IP地址,为eth1创建5个虚拟接口 [root@lyy 桌面]# gedit /...
Linux服务器配置与管理:linux配置防火墙基础.pptx
05-01
【知识目标】 掌握:Linux防火墙配置 【能力目标】 会使用Linux命令行工具firewall-cmd配置防火墙 【思政目标】 培养学生职业素养和安全意识
CentOS 7中 Apache Web 服务器安装配置教程
09-15
例如,配置虚拟主机可以让一个Apache服务器托管多个独立的网站,这可以通过在`/etc/httpd/conf.d`目录下创建新的配置文件实现。对于HTTPS支持,需要安装SSL证书,并启用`mod_ssl`模块。 总之,Apache在CentOS 7中的...
centos7 firewall-cmd 理解多区域配置中的 firewalld 防火墙
weixin_34281537的博客
09-03 1051
原文:https://www.linuxidc.com/Linux/2017-11/148795.htm 现在的新闻里充斥着服务器被攻击和数据失窃事件。对于一个阅读过安全公告博客的人来说,通过访问错误配置服务器,利用最新暴露的安全漏洞或通过窃取的密码来获得系统控制权,并不是件多困难的事情。在一个典型的 Linux 服务器上的任何互联网服务都可能存在漏洞,允许未经授权的系统访问。 因为在应用程序层...
防火墙firewall-cmd命令
花语无痕的博客
11-02 3万+
防火墙状态及规则 1、查看防火墙状态:firewall-cmd --state [root@localhost ~]# firewall-cmd --state running [root@localhost ~]# 2、查看防火墙firewall-cmd --list-all [root@localhost ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no
firewall-cmd
qq_37349301的博客
12-06 833
centos6的防火墙用iptables设置,centos7为firewalld,以下为firewall -cmd命令的一些使用方法: 查看目前firewalld中所有的zone:firewall-cmd --get-zones
使用firewall-cmd限制ssh只能从指定IP段访问
那个那个
12-30 5957
使用firewall-cmd限制ssh只能从指定IP段访问 一、背景描述 公司时常有linux(Centos7)服务器SSH服务暴露在外网(小公司未上硬件防火墙),通过lastb命令可以查到登录不定期有爆破登录记录!如此如果密码设置未达到强度要求,有被爆破成功的几率。 为加强安全建议: ①、密码强度要有大小写英文字母加数字加特殊字符。 ②、防火墙限制可ssh登陆服务器IP地址、或IP段。 share ssh:notty 139.59.0.68 Sat Dec 5 08:35 - 08
Linux防火墙firewall-cmd命令应用
zhangbeizhen18的博客
11-27 2539
记录:341 场景:在CentOS 7.9操作系统上,操作防火墙firewalld,主要是查看、开启、关闭以及禁用等。firewall-cmd命令查看防火墙和修改防火墙相关配置
centos防火墙firewall-cmd限定特定的ip访问
gsl371的专栏
03-15 2353
firewall-cmd是centos防火墙的命令行管理客户端,提供了接口来管理运行时和持久的防火墙配置。 在firewalld中,运行时配置与永久配置是分开的。这意味着您可以在运行时配置或永久配置中进行更改。
firewall-cmd --permanent --add-service=rpc-bind; firewall-cmd --permanent --add-service=nfs; firewall-cmd --permanent --add-service=mountd这三条指令的含义分别是什么
06-12
这三条指令都是用于在Linux系统上配置防火墙规则的命令。具体含义如下: - firewall-cmd --permanent --add-service=rpc-bind:开放rpc-bind服务的防火墙端口。rpc-bind服务是NFS服务器必须的服务之一,它提供了NFS...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值