firewalld

最新推荐文章于 2024-06-11 22:28:43 发布
最新推荐文章于 2024-06-11 22:28:43 发布
阅读量570 收藏
点赞数
分类专栏: 学习笔记 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45551589/article/details/108641706
版权

firewalld防火墙

firewalld防火墙是CentOS7版本系统默认的防火墙管理工具,取代了之前的iptables防火墙,与iptables防火墙,与 iptables 防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙firewald和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。firewalld防火墙支持IPV4和IPV6地址。可以通过字符管理工具firewall-cmd和图形化管理工具firewall-config进行管理。

一、区域的概念

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后要所有数据包的源IP地址或传入的网络接口条件等将流量传入相应区域。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。

区域名称默认配置说明
Trusted允许所有的传入流量
Home允许与ssh、mdns、ipp-client、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
Internal默认值时与home区域相同
Work允许ssh、ipp-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
Public允许与ssh、ipp-client 或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
External允许与ssh预定义服务匹配的传入流量,其余均拒绝。默认将经过此区域转发的IPv4地址传出流量进行地址伪装。
Dmz允许与ssh预定义服务匹配的传入流量,其余均拒绝
Block拒绝所有传入流量
Drop丢弃所有传入流量

用户可以根据具体环境选择使用区域。管理员也可以对这些区域进行自定义,使其具有不同的设置规则。
在流量经过防火墙时,firewalld防火墙会对传入的每个数据包进行检查,如果此数据包的源地址关联到特定的区域,则会应用该区域的规则对此数据包进行处理。如果流量与不允许的端口、协议或者服务匹配,则防火墙拒绝传入流量。

二、字符管理工具

firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则,需要注意的是firewalld防火墙规则分为两种状态,一种是runtime(正在运行生效的状态),在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者重启系统后这些规则将会失效;一种是permanent(永久生效的状态),在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效。
在使用firewall-cmd命令管理防火墙时,需要添加为永久生效的规则需要在配置规则时添加–permanent选项(否则所有命令都是作用与runtime,运行时配置),如果让永久生效规则立即覆盖当前规则生效使用,还需要使用firewall-cmd --reload命令重新加载防火墙配置。常用firewall-cmd 命令如下:

firewall-cmd 命令说明
–get-default-zone查看当前默认区域
–get–active-zones列出当前正在使用的区域及其所对应的网卡接口
–get-zones列出所有可用的区域
–set-default-zone=设置默认区域(注意此命令会同时修改运行时配置和永久配置)
–add-source=[–zone=]将来自IP地址或网段的所有流量路由到指定区域,没有指定区域时使用默认区域。
–remove-source=[–zone=]从指定区域中删除来自IP地址或网段的所有路由流量规则,没有指定区域时使用默认区域
–add-interface=[–zone=]将来自该接口的所有流量都路由到指定区域。没有指定区域时使用默认区域。
–change-interface=[–zone=]将接口与指定区域做关联,没有指定区域时使用默认区域。
–list-all[–zone=]列出指定区域以配置接口、源、服务、端口信息,没有指定区域时使用默认区域。
–add-service=[–zone=]允许到该服务的流量通过指定区域,没有指定区域时使用默认区域。
–remove-service=[zone=]从指定区域的允许列表中删除该服务,没有指定区域时使用默认区域。
–add-port=<PORT/PORTOCOL>[–zone=]允许到该端口的流量通过指定区域,没有指定区域时使用默认区域
–remove-port=<PORT/PORTOCOL>[–zone=]从指定区域的允许列表中删除该端口,没有指定区域时使用默认区域

2.1、区域管理

firewall-cmd --help |wc -l
1、查看默认区域:
firewall-cmd --get-default-zone
2、列出当前正在使用的区域及其所对应的网卡接口
fiewall-cmd --get-active-zones
3、列出所有可用的区域
firewall-cmd --get-zones
4、设置默认区域
firewall-cmd --set-default-zone=block

2.2、服务管理

1、查看预定义服务
firewall-cmd --get-services
2、添加http服务到public区域
firewall-cmd --add-service=http --zone=public --permanent
systemctl restart firewalld
3、查看public区域已配置的规则
firewall-cmd --list-all --zone=public
4、移除public区域的http服务,不使用–zone指定区域时使用默认区域
firewall-cmd --remove-service=http --permanent --zone=public
systemctl restart firewalld
5、将多个服务添加到某一个区域,不添加–permanent选项表示是即时生效的临时设置
firewall-cmd --add-service=http --add-service=https
systemctl restart firewalld

2.3、端口管理

1、允许TCP的3306端口到public区域
firewall-cmd -add-port=3306/tcp
2、从public区域将TCP的3306端口移除
firewall-cmd --remove-port=3306/tcp
3、允许某一范围的端口,如允许UDP的2048-2050端口到public区域
firewall-cmd --add-port=2048-2050/udp --zone=public
4、使用–list-ports查看加入的端口操作是否成功
firewall-cmd --list-ports

2.4、伪装IP

1、什么是地址伪装?
通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。Ip地址伪装仅支持ipv4,不支持ipv6。
2、相关命令:
firewall-cmd --query-masquerade #检查是否允许伪装IP
firewall-cmd --permanent --add-masquerade #允许防火墙伪装IP
firewall-cmd --permanent --remove-masqureade #禁止防火墙伪装IP

2.5、端口转发

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
firewall-cmd --permanent --add-masquerade
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80
firewall-cmd -add-port=8080/tcp
firewall-cmd --remove-serivce=http

端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发到不同机器。

2.6、多区域的应用

1、一个接口只能对应一个区域,将接口与指定区域关联
firewall-cmd --change-interfaces=ens75 --zone=drop
2、根据不同的访问来源网段,设定不同的区域规则
firewall-cmd --add-source=192.168.75.0/24 --zone=public
firewall-cmd --add-source=192.168.85.0/24 --zone=drop
firewall-cmd --get-active-zones
3、建议配置方案:
将所有接口划分到对应的区域,
根据网段配置到不同的区域
不同的区域配置不同的规则
4、检查防火墙设置
1)firewall-cmd --get-active-zones
2)firewall-cmd --list-all --zones=drop

三、firewalld富规则

https://blog.csdn.net/weixin_44907813/article/details/100514240
https://www.cnblogs.com/meizy/p/firewalld.html#fanghuoqiangfuguize

四、图形管理工具

firewall-config

轻风带坏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
运维iptablesfirewalld详解
专注于输出具有实用价值的软件运维经验及教程
06-21 1750
关于iptablesfirewalld 的关键概念、常用操作、各自优势特点的详细记录。
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables
firewalld防火墙
gcc001224的博客
05-13 9471
文章目录 Firewalld
Firewalld防火墙基础
最新发布
w1251427056的博客
06-11 681
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
Linux防火墙Firewalld
翡翠泪滴的博客
04-22 1174
FirewallD 是由红帽发起的提供了支持网络/防火墙 区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。drop: 丢弃所有进入的包,而不给出任何响应。
firewalld 命令大全
qq_14932665的博客
09-10 977
1、firewalld的基本使用 启动:systemctl start firewalld 查看状态:systemctl status firewalld 停止:systemctl disable firewalld 禁用:systemctl stop firewalld 2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkc...
firewalld服务讲解
Liang_GaRy的博客
10-19 1348
Linxu-firewalld服务讲解
firewalld防火墙总结
weixin_45190065的博客
09-06 3564
最全firewalld总结
Firewalld脚本
weixin_50344807的博客
11-18 496
文章目录Firewalld概述Firewalldiptables的关系Firewalld网络区域Firewalld数据处理流程Firewalld防火墙的配置方法Firewall-config图像工具Firewalld防火墙预定义区域、firewall-cmd字符管理工具firewalld的基本使用服务设置服务管理为网卡设置区域设置默认区域查看活动区域及端口 Firewalld概述 ●支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 ●支持IPv4、IPv6防火墙设置以及以太网桥。 ●支持
防火墙之Firewalld
FYR1018的博客
05-24 583
1 firewalld 防火墙简介1.1​ firewalldiptables 的关系1.2 firewalldiptables 的区别1.3 firewalld 区域的概念1.3.1 firewalld 防火墙预定义了9个区域1.3.2 firewalld 网路区域1.3.3 firewalld 数据处理流程2 firewalld 防火墙的配置方法2.1 firewalld 服务管理2.2 区域管理2.3 服务管理2.4 端口管理补充 firewalld 设置 SNAT
firewalld 使用
博客
12-12 2122
1.firewalld的基本使用 启动: systemctl start firewalld 查状态:systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 在开机时启用一个服务:systemctl enable firewalld.service 在开机时禁用一个服务:systemctl disable firewalld.service 查看服务是否开机启动:systemct.
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
firewalld 详细 手册 pdf 8章
04-03
firewalld 详细 手册 pdf 8章 firewalld 详细 手册 pdf 8章
Firewalld http api管理接口
09-17
基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
iptablesfirewalld加固服务器安全思维导图
05-05
iptablesfirewalld加固服务器安全思维导图
详述LinuxFirewalld高级配置的使用
09-14
主要介绍了详述LinuxFirewalld高级配置的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
firewalld
09-06
Firewalld是一个动态防火墙管理工具,在Linux系统中被广泛使用。它通过定义和管理网络链接的安全级别和防火墙区域来提供强大的网络安全功能。 Firewalldiptables之间有一定的关系。Iptables是一个底层的防火墙工具,而Firewalld则是对iptables进行了更高级的封装和管理。Firewalld提供了更灵活和易于管理的方式来配置防火墙规则和策略。 Firewalld中的区域(zone)是一种重要的概念。区域定义了不同的网络链接所属的安全级别和防火墙规则。每个区域都有自己的防火墙策略和允许访问的服务。 Firewalld还提供了一些常用的命令来管理防火墙。通过使用这些命令,可以添加、删除、更新防火墙规则,配置不同的区域,以及查看防火墙状态等。 Firewalld是一个功能强大的防火墙管理工具,可以帮助管理员更好地保护Linux系统的网络安全。<span class="em">1</span><span class="em">2</span><span class="em">3</span>
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值