centos 7 firewalld 防火墙 添加,修改 使用方法

最新推荐文章于 2023-05-22 15:21:32 发布
置顶 最新推荐文章于 2023-05-22 15:21:32 发布
阅读量1.8k 收藏 3
点赞数 2
文章标签: linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47148037/article/details/106447906
版权

官方文档介绍地址:

添加链接描述
一、firewall介绍
CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙中进行了升级了。

1、官方介绍

The dynamic firewall daemon firewalld provides a dynamically managed firewall with support for network “zones” to assign a level of trust to a network and its associated connections and interfaces. It has support for IPv4 and IPv6 firewall settings. It supports Ethernet bridges and has a separation of runtime and permanent configuration options. It also has an interface for services or applications to add firewall rules directly.

2、什么是区域Zone:

网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。

3、哪个区域可用?

由firewalld 提供的区域按照从不信任到信任的顺序排序。

4、区域的分类?

Firewalls can be used to separate networks into different zones based on the level of trust the user has decided to place on the devices and traffic within that network. NetworkManager informs firewalld to which zone an interface belongs. An interface’s assigned zone can be changed by NetworkManager or via the firewall-config tool which can open the relevant NetworkManager window for you.

The zone settings in /etc/firewalld/ are a range of preset settings which can be quickly applied to a network interface. They are listed here with a brief explanation:

drop
Any incoming network packets are dropped, there is no reply. Only outgoing network connections are possible.

block
Any incoming network connections are rejected with an icmp-host-prohibited message for IPv4 and icmp6-adm-prohibited for IPv6. Only network connections initiated from within the system are possible.

public
For use in public areas. You do not trust the other computers on the network to not harm your computer. Only selected incoming connections are accepted.

external
For use on external networks with masquerading enabled especially for routers. You do not trust the other computers on the network to not harm your computer. Only selected incoming connections are accepted.

dmz
For computers in your demilitarized zone that are publicly-accessible with limited access to your internal network. Only selected incoming connections are accepted.

work
For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

home
For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

internal
For use on internal networks. You mostly trust the other computers on the networks to not harm your computer. Only selected incoming connections are accepted.

trusted
All network connections are accepted.
It is possible to designate one of these zones to be the default zone. When interface connections are added to NetworkManager, they are assigned to the default zone. On installation, the default zone in firewalld is set to be the public zone.

注:具体内容,请参见官方文档介绍!
二、firewall配置
The configuration for firewalld is stored in various XML files in /usr/lib/firewalld/ and /etc/firewalld/.

This allows a great deal of flexibility as the files can be edited, written to, backed up, used as templates for other installations and so on.

注意:以下firewalld 的操作只有重启之后才有效:service firewalld restart 重启

1、系统配置目录

/usr/lib/firewalld/services
目录中存放定义好的网络服务和端口参数,系统参数,不能修改。

[root@iZ2zedh5vfhwgym3140hxeZ ~] cd /usr/lib/firewalld/services/
[root@iZ2zedh5vfhwgym3140hxeZ services] ls
amanda-client.xml        jenkins.xml               puppetmaster.xml
amanda-k5-client.xml     kadmin.xml                quassel.xml
bacula-client.xml        kerberos.xml              radius.xml
bacula.xml               kibana.xml                redis.xml
bgp.xml                  klogin.xml                RH-Satellite-6.xml
bitcoin-rpc.xml          kpasswd.xml               rpc-bind.xml
bitcoin-testnet-rpc.xml  kprop.xml                 rsh.xml

2、用户配置目录

/etc/firewalld/

[root@iZ2zedh5vfhwgym3140hxeZ firewalld] ls
helpers  icmptypes  ipsets  services  xmlschema  zones

firewalld使用:
1、firewalld的基本使用
启动:
systemctl start firewalld
查看状态:
systemctl status firewalld
停止:
systemctl disable firewalld
禁用:
systemctl stop firewalld
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动防火墙:
systemctl start firewalld.service
关闭防火墙:
systemctl stop firewalld.service
重启防火墙:
systemctl restart firewalld.service
显示防火墙的状态:
systemctl status firewalld.service
在开机时防火墙:
systemctl enable firewalld.service
在开机时禁用防火墙:
systemctl disable firewalld.service
查看防火墙是否开机启动:
systemctl is-enabled firewalld.service
查看已启动的服务列表:
systemctl list-unit-files|grep enabled
查看启动失败的服务列表:
systemctl --failed
3.配置firewalld-cmd使用

查看版本:
firewall-cmd --version
查看帮助:
firewall-cmd --help
显示状态:
firewall-cmd --state
查看所有打开的端口:
firewall-cmd --zone=public --list-ports
更新防火墙规则:
firewall-cmd --reload
查看区域信息:
firewall-cmd --get-active-zones
查看指定接口所属区域:
firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:
firewall-cmd --panic-on
取消拒绝状态:
firewall-cmd --panic-off
查看是否拒绝:
firewall-cmd --query-panic
4:开启端口

firewalld添加使用

firewall-cmd --zone=public --add-port=80/tcp --permanent (–permanent永久生效,没有此参数重启后失效) #开启80端口
重新载入
firewall-cmd --reload
查看
firewall-cmd --zone=public --query-port=80/tcp #查看80端口是否开放
删除
firewall-cmd --zone= public --remove-port=80/tcp --permanent #删除80端口配置
2.配置firewalld-cmd
查看版本: firewall-cmd --version
查看帮助: firewall-cmd --help
显示状态: firewall-cmd --state
查看所有打开的端口: firewall-cmd --zone=public --list-ports
更新防火墙规则: firewall-cmd --reload
更新防火墙规则,重启服务: firewall-cmd --completely-reload
查看已激活的Zone信息: firewall-cmd --get-active-zones
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic

3.信任级别,通过Zone的值指定
drop: 丢弃所有进入的包,而不给出任何响应
block: 拒绝所有外部发起的连接,允许内部发起的连接
public: 允许指定的进入连接
external: 同上,对伪装的进入连接,一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接,类似 workgroup
home: 同上,类似 homegroup
internal: 同上,范围针对所有互联网用户
trusted: 信任所有连接

4.firewall开启和关闭端口
以下都是指在public的zone下的操作,不同的Zone只要改变Zone后面的值就可以
添加:
firewall-cmd --zone=public --add-port=80/tcp --permanent (–permanent永久生效,没有此参数重启后失效)
重新载入:
firewall-cmd --reload
查看:
firewall-cmd --zone=public --query-port=80/tcp
删除:
firewall-cmd --zone=public --remove-port=80/tcp --permanent

5.管理服务
以smtp服务为例, 添加到work zone
添加:
firewall-cmd --zone=work --add-service=smtp
查看:
firewall-cmd --zone=work --query-service=smtp
删除:
firewall-cmd --zone=work --remove-service=smtp

5.配置 IP 地址伪装
查看:
firewall-cmd --zone=external --query-masquerade
打开:
firewall-cmd --zone=external --add-masquerade
关闭:
firewall-cmd --zone=external --remove-masquerade

6.端口转发
打开端口转发,首先需要打开IP地址伪装
  firewall-cmd --zone=external --add-masquerade

转发 tcp 22 端口至 3753:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toport=3753
转发端口数据至另一个IP的相同端口:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp:toaddr=192.168.1.112
转发端口数据至另一个IP的 3753 端口:
firewall-cmd --zone=external --add-forward-port=22:porto=tcp::toport=3753:toaddr=192.168.1.112

6.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctl start firewalld.service
关闭一个服务:systemctl stop firewalld.service
重启一个服务:systemctl restart firewalld.service
显示一个服务的状态:systemctl status firewalld.service
在开机时启用一个服务:systemctl enable firewalld.service
在开机时禁用一个服务:systemctl disable firewalld.service
查看服务是否开机启动:systemctl is-enabled firewalld.service
查看已启动的服务列表:systemctl list-unit-files|grep enabled
查看启动失败的服务列表:systemctl --failed

淡定╮
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
CentOS7 运维 - firewalld防火墙 | 命令配置 | 实例操作 | 超详细
serendipity_cat的博客
03-19 1151
firewalld防火墙基础一、firewalld概述二、firewalid和iptables的区别三、firewalld的9个预定区域四、firewalld配置的方法五、常用的命令选项六、区域管理七、服务管理八、端口管理 一、firewalld概述 它是一款工作在CentOS7网络层的系统默认的防火墙管理工具,它会根据区域进行相应的防护,区域由网卡或接口关联组成[过滤漏斗]每个区域都定义了自己打开或关闭的端口和服务列表 二、firewalid和iptables的区别 firewalld [控制的是某个区
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalldcentos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解CentOS7使用firewalld打开关闭防火墙与端口
01-10
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld  2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动一个服务: systemctl start firewalld.service 关闭一个服务: systemctl stop firewalld.service 重启
firewalld启动失败--Failed to start firewalld - dynamic firewall daemon.
孤独的根号三
11-04 9800
错误信息: Failed to start firewalld - dynamic firewall daemon. 原因是系统python默认指向的是python3,而实际依赖的是python2; 查找firewalld绝对路径; 将此处修改为python2,保存退出; 启动firewalld ...
Failed to start firewalld - dynamic firewall daemon
热门推荐
lanju2012的博客
03-30 2万+
启动防火墙firewalld失败的原因很多,记录一下自己遇到的错误和解决方法:如果运行systemctl start firewalld 报错,可以运行systemcel status firewalld1、 Process: 18701 ExecStart=/usr/sbin/firewalld --nofork --nopid $FIREWALLD_ARGS (code=exited, sta...
防火墙设置
c2unix的专栏
08-10 158
###检测频率可以调整计划任务的循环时间,单IP的并发数限制可以在第一行的‘Where-Object({$_.Count -ge 50}’ 50可以自己调整。echo "对不起,规则 $RULE_NAME 已经存在"echo "规则 $RULE_NAME 创建中..."#$ip=Read-Host "请输入要禁止的IP"####以上内容另存为一个'自动发现.PS1'文件。####以下内容另存为一个'自动禁止.PS1'文件。echo "不能操作私网IP"echo "数据错误"...
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6105
firewalld防火墙Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
firewalld防火墙配置
qq_40907977的博客
04-28 1万+
参考链接 : https://www.jianshu.com/p/ec18f9faaa69
linux的firewall配置命令
qq_17576885的博客
01-10 2544
firewall介绍 所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问自己的网络
Linux 防火墙firewall-cmd配置命令大全
weixin_45626288的博客
09-17 6249
Linux 防火墙firewall-cmd配置命令大全 启动CentOS/RHEL 7后,防火墙规则设置由firewalld服务进程默认管理。 一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。 查看状态 firewall-cmd --state 查看防火墙所有信息 firewall-cmd --list-all 查看已经开放的端口: firewall-cmd --list-ports 如要查询是否开启80端口 firewall-cmd --query-port
命令firewalld和firewall-cmd用法
阿干tkl的博客
05-14 1789
firewalld命令
Linux防火墙——Firewalld防火墙规则(内含防火墙的配置方法、图形化工具、firewall-cmd命令 )
weixin_47219818的博客
08-03 3650
文章目录Firewalld防火墙的配置一、Firewalld防火墙的配置方法运行时配置永久配置二、Firewall-config图形工具配置运行时配置/永久配置重新加载防火墙关联网卡到指定区域修改默认区域连接状态“区域”选项卡“服务”选项卡案例环境 :需求:步骤:1、安装httpd并启用服务2、开启防火墙,配置阻塞3、配置public 开启httpd 添加80端口 允许所有主机访问Apache服务4、关闭public中的ssh,打开work区域中的ssh,添加192.168.17.129来源,仅允许其访问s
firewall-cmd 使用总结
10-31 4875
firewalld的简要说明:     firewalld 、firewall-cmd 、firewall-offline-cmd它们Python脚本,通过定义的在/usr/lib/firewalld下面的xml配置信息,   在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成   iptables规则后,在应用到系统中。      firewalld定义了几个概念:     zone: 它是安全域的范围,就类似于Window上的域网
firewalld 操作指令
Stars.Sky 的博客
06-15 4197
firewall-cmd 操作指令。
Linux防火墙(firewalld)使用方法
weixin_51697917的博客
11-06 8502
防火墙服务操作: 启动防火墙# systemctl start firewalld 关闭防火墙# systemctl stop firewalld 重启防火墙# systemctl restart firewalld 查看防火墙状态# systemctl status firewalld 设置防火墙开机启动# systemctl enable firewalld 关闭防火墙开机启动# systemctl disable firewalld 常用命令(加--permanent参数才会写入配置文
Linuxfirewalld防火墙基础
欲买桂花同载酒
05-22 1147
Linuxfirewalld防火墙基础,内含基础怎删改查命令行介绍,以及图文讲解,命令行演示图片
firewalld-cmd简介
Neviller_Ma的博客
12-09 6724
firewalld-cmd简介
centos7修改防火墙配置
最新发布
07-30
CentOS 7中,可以使用两种方法修改防火墙配置。一种方法是通过修改iptables配置文件来更改规则。另一种方法使用firewalld动态防火墙守护程序来管理防火墙。[1][2][3] 如果你选择使用iptables来修改防火墙配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值