firewalld简介
FirewallD 是 iptables 的前端控制器,用于实现持久的网络流量规则。它提供命令行和图形界面,在大多数 Linux发行版的仓库中都有。与直接控制 iptables 相比,使用 FirewallD 有两个主要区别:
FirewallD 使用区域和服务而不是链式规则。 它动态管理规则集,允许更新规则而不破坏现有会话和连接。
Firewalld是Linux系统自带的防火墙工具,通过管理Firewalld可以实现对netfilter进行配置,而netfilter是真正在内核实现包过滤的组件。Firewalld是iptables的升级版,现在也习惯把Firewalld叫做iptables。
Firewalld的图形化管理和命令管理
firewalld中的区域
通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流,例如,互联网是不可信任的区域,而内部网络是高度信任的区域,网络安全模型可以在安装,初次启动和首次建立网络连接时选择初始化该模型描述了主机所连接的整个网络环境的可信级别,并定义了新连接的处理方式。
firewalld的默认区域是public
打开firewalld,且开机自启动
systemctl start firewalld
systemctl enable firewalld
firewall-config 输入这个命令,进入firewalld图形化管理
命令管理
| firewall-cmd --state | 查看防火墙的状态 |
| firewall-cmd --get-active-zones | 查看正在使用的域 |
| firewall-cmd --get-default-zones | 查看系统默认使用的域 |
| firewall-cmd --get-default-zones | 查看系统默认使用的域 |
| firewall-cmd --get-zones | 查看域 |
| firewall-cmd --zone=public --list-all | 列出公共域里面所有可以支持添加的服务 |
| firewall-cmd --list-all-zones | 列出所有的域 |
| firewall-cmd --get-services | 列出所有的服务 |
| firewall-cmd --set-defaults-zone=dmz | 更改默认的域 |
| firewall-cmd --add-port=8080/tcp | 添加端口 |
firewall-cmd --state 防火墙状态
firewall-cmd --get-active-zones 正在生效的域
firewall-cmd --get-default-zone 默认的域
firewall-cmd --zone=public --list-all public域里的设置,指定的域
firewall-cmd --list-all 默认的域
firewall-cmd --set-default-zone=public 把默认的域设为public
firewall-cmd --get-zones 查看所有的域
firewall-cmd --get-services 查看所有可以添加到火墙里的服务
firewall-config ##开启火墙的图形管理
firewall-cmd --state ##查看火墙的当前状态
firewall-cmd --get-active-zones ##查看正在工作的域,用的是哪个就是哪个
firewall-cmd --get-default-zone ##查看默认使用的域,与正在工作的域可以不同
firewall-cmd --get-zones ##查看所有的域
firewall-cmd --zone=public --list-all ##public域里的设置
firewall-cmd --list-all-zones ##查看所有域的所有设置
firewall-cmd --get-services ##所有支持可以直接添加使用的服务名称
firewall-cmd --set-default-zone=public ##改变默认域
firewall-cmd --permanent --zone=internal --add-source=172.25.0.0/24指定服务
firewall-cmd --permanent --zone=internal --remove-source=172.25.0.0/24移走服务
firewall-cmd --permanent --zone=internal --add-interface=eth0添加网卡所在的域
firewall-cmd --permanent --zone=internal --change-interface=eth0改变网卡所在的域
firewall-cmd --permanent --zone-internal --remove-interface=eth0将eth0网卡从internal域上面移走
firewall-cmd --permanent --zone=public --add-service=smtp永久添加服务
firewall-cmd --permanent --zone=public --remove-service=smtp永久移走服务
firewall-cmd --zone=public --list-ports列出允许的端口
firewall-cmd --permanent --zone=public --add-port=8080/tcp永久添加,开机依然生效
firewall-cmd --permanent --zone=public --remove-port=8080/tcp永久移走,开机依然生效
firewall-cmd --direct -- tab两次,查看后面都可以加什么
firewall-cmd --direct --add-rule我们要添加访问策略,继续tab
firewall-cmd --direct --add-rule ipv4
firewall-cmd --list-all看端口伪装功能是否开启
firewall-cmd --permanent --add-masquerade添加伪装功能
firewall-cmd --reload加载才能使永久添加生效
firewall-cmd --list-all再次查看
firewall-cmd --list-all 看eth0是否在public里面,如果不在的话就添加
firewall-cmd --get-active-zones查看正在使用的网络域
firewall-cmd --set-default-zone=public将使用域设置为public
ping 172.25.254.111可以,因为desktop的172网段和1网段在一根网线上面(和ping1.1.1.111是一样的)
firewall-cmd --list-all查看火墙里面是否开启地址转发功能
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.211添加地址转发
firewall-cmd --list-all再次查看是否添加成功
firewall-cmd --set-defaults-zone=dmz 更改默认的域
在火墙里添加8080端口
在火墙里删除8080端口
在 /lib/firewalld/services/中,都是防火墙中可以添加的服务
能列出来的服务和端口是集成在一块的
vim ssh.xml 发现服务和端口是捆绑在一块的
systemctl restart firewalld 重启防火墙,使其加载生效
服务端指定用户访问服务
在真机上面: ssh root@172.25.254.125 连接不上
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.25 -p tcp --dport 22 -j REJECT 设置规则真机不可以连接虚拟机
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.254.25 -p tcp --dport 22 -j REJECT 移除规则
firewall-cmd --direct --get-all-rules 查看规
2552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
