比iptables更省事的firewalld防火墙

最新推荐文章于 2024-04-29 23:47:34 发布
最新推荐文章于 2024-04-29 23:47:34 发布
阅读量775 收藏 10
点赞数 2
分类专栏: 防火墙 文章标签: 数据库 运维 新星计划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47855463/article/details/117289576
版权

比iptables更省事的firewalld防火墙

一、firewalld防火墙概述

  • firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前iptables防火墙,也是工作在网络层,属于包过滤防火墙。
  • firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
  • firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
  • 它支持IPv4、 IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),并且拥有两种配置模式:运行时配置与永久配置。

1、netfilter

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

2、firewalld /iptables

  • Centos7默认的管理防火墙规则的工具(FIERWALLD)
  • 称为Linux防火墙的“用户态”

二、firewalld 与 iptables 的区别

1、

  • iptables主要是基于接口,来设置规则,从而判断网络的安全性。
  • firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

2、

  • iptables在/etc/ sysconfig/iptables中储存配置,

  • firewalld将配置储存在/etc/firewalld/ ( 优先加载)和/usr/lib/ firewalld/ ( 默认的配置文件)中的各种XML文件里。

3、

  • 使用iptables每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。
  • 使用firewalld却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接

4、

  • iptables防火墙类型为静态防火墙
  • firewalld防火墙类型为动态防火墙

firewalld只关心区域,iptables需要关心四表五链,规则匹配顺序
在这里插入图片描述

三、firewalld 区域的概念

1、firewalld 区域的概念

  • firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

2、firewalld防火墙预定义的9个区域

区域说明
trusted(信任区域)允许所有的传入流量。
public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
external(外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为 路由器启用了伪装功能的外部网络。
home(家庭区域)允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
internal(内部区域)默认值时与home区域相同。
work(工作区域)允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
dmz(隔离区域也称为非军事区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
block(限制区域)拒绝所有传入流量。
drop(丢弃区域)丢弃所有传入流量,并且不产生包含ICMP的错误响应。

3、区域规则

  • 最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
  • 区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
  • 可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
  • 默认情况下,public区域是默认区域,包含所有接口(网卡)

4、firewalld数据处理流程

  • firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。
  • 对于进入系统的数据包,首先检查的就是其源地址。

在这里插入图片描述

firewalld检查数据包的源地址的规则

  • 1、若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
  • 2、若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
  • 3、若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

四、firewalld防火墙的配置

运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置

永久配置

  • 不立即生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置

1、firewalld防火墙的配置方法

  • 1、使用firewall-cmd 命令行工具。
  • 2、使用firewall-config 图形工具。
  • 3、编写/etc/firewalld/中的配置文件。

2、常用的firewalld-cmd命令选项

systemctl start firewalld.service     #开启防火墙服务

 --get-default-zone :显示当前默认区域
 --set-default-zone=<zone> :设置默认区域

 --get-active-zones :显示当前正在使用的区域及其对应的网卡接口
 --get-zones :显示所有可用的区域

 --get-zone-of-interface=<interface> :显示指定接口绑定的区域
 --zone=<zone> --add-interface=<interface> :为指定接口绑定区域
 --zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
 --zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口

 --get-zone-of-source=<source>[/<mask>] :显示指定源地址绑定的区域
 --zone=<zone> --add-source=<source>[/<mask>] :为指定源地址绑定区域
 --zone=<zone> --change-source=<source>[/<mask>] :为指定的区域更改绑定的源地址
 --zone=<zone> --remove-source=<source>[/<mask>] :为指定的区域删除绑定的源地址

 --list-all-zones :显示所有区域及其规则
 [--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作

 [--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
 [--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
 [--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务

 [--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
 [--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
 [--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)

 [--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有 ICMP 类型
 [--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型
 [--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
 firewall-cmd --get-icmptypes :显示所有 ICMP 类型

3、firewall-config 图形工具

在这里插入图片描述

五、firewalld管理

1、区域管理

(1)显示当前系统中的默认区域
firewall-cmd --get-default-zone

(2)显示默认区域的所有规则
firewall-cmd --list-all

(3)显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones

(4)设置默认区域
firewall-cmd --set-default-zone=home
firewall-cmd --get-default-zone

在这里插入图片描述

2、服务管理

(1)查看默认区域内允许访问的所有服务
firewall-cmd --list-service

(2)添加httpd 服务到public 区域
firewall-cmd --add-service=http --zone=public

(3)查看public 区域已配置规则
firewall-cmd --list-all --zone=public

(4)删除public 区域的httpd 服务
firewall-cmd --remove-service=http --zone=public

(5)同时添加httpd、https 服务到默认区域,设置成永久生效
firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --reload	
firewall-cmd --list-all	
#添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
# 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。

firewall-cmd --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置。

3、端口管理

(1)允许TCP的443端口到internal区域
firewall-cmd --zone=internal --add-port=443/tcp
firewall-cmd --list-all --zone=internal

(2)从internal 区域将TCP的443端口移除
firewall-cmd --zone=internal --remove-port=443/tcp

(3)允许UDP的2048~2050端口到默认区域
firewall-cmd --add-port=2048-2050/udp
firewall-cmd --list-all
王大雏
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesfirewalld 防火墙.docx
07-07
iptablesfirewalld 防火墙配置使用方法,具体的区别,过滤不合法的流,centos7中配置
Linux中的火墙:firewall和iptables
dddxxy的博客
06-05 3549
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所...
iptablesfirewalld防火墙
sj199728的博客
04-24 677
iptables由四个表table和五个链chain以及一些规则组成(SELinux也是一个表,但它是独立的,不在我们讨论的范围内)四表五链规则表的作用:容纳各种规则链规则链的作用:容纳各种防火墙规则总结:表里有链,链里有规则。
常用到的Linux防火墙——iptables/firewalld
Chinese_big_boy的博客
08-29 1351
firewalldiptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。...
iptables防火墙firewalld防火墙
qq_32812063的博客
06-08 1118
防火墙
centos7怎么永久关闭防火墙
weixin_42290901的博客
10-31 6142
1、命令行界面输入命令“systemctl status firewalld.service”并按下回车键。 2、然后在下方可度以查看得到“active(running)”,此时说明防火墙已经被打开了。 3、在命令行中输入systemctl stop firewalld.service命令,进行关闭防火墙。 4、然后再使用命令systemctl status firewalld.service,在下方出现disavtive(dead),这权样就说明防火墙已经关闭。 5、再在命令行中输入命令“syst
【LinuxShell】linux防火墙firewalld防火墙
一个萌新的博客
05-22 1375
主要介绍了firewalld防火墙的概念以及配置方式
linux中演示firewalld命令,Centos 7之Firewalld相关命令详细介绍
weixin_39607474的博客
05-11 508
Centos 7之Firewalld相关命令详细介绍引言:Centos 7是目前非常流行的Linux发行版本,本文将重点介绍如何来使用firewalld相关命令启动服务以及添加服务或者端口等操作。1. 查看firewall服务状态>> systemctl status firewalld[root@flybird ~]# systemctl status firewalld● fi...
linux 防火墙(firewall)
DK_one的博客
03-16 5690
一 : 介绍1.1防⽕墙是保护机器不受来⾃外部的、不需要的⽹络数据的⼀种⽅式。它允许⽤⼾通过定义⼀组防⽕墙规则来控制主机上的⼊站⽹络流量。这些规则⽤于对进⼊的流量进⾏排序,并可以阻断或允许流量。1.2firewalld 是⼀个防⽕墙服务守护进程,其提供⼀个带有 D-Bus 接⼝的、动态可定制的、基于主机的防⽕墙。如果是动态的,它可在每次修改规则时启⽤、修改和删除规则,⽽不需要在每次修改规则时重启防⽕墙守护进程。。
firewalld防火墙(二)
大虾好吃吗
07-11 2640
本章主要重点: 理解firewalld的富语言规则 配置地址伪装和端口转发
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
第8章iptablesfirewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
Centos7的Firewalld防火墙基础命令详解
01-10
Linux系统的防火墙体系基于内核共存:firewalldiptables、ebtables,默认使用firewalld来管理netfilter子系统。 netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核...
linux中iptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
【课堂练习】
最新发布
JacksonLeo的博客
04-29 308
虽然现代JVM的垃圾回收机制已经非常高效,但是在性能敏感的场合,仍然需要注意对象的创建频率。例如,在SysLogininforMapper中的deleteLogininforByIds方法,如果处理大量ID时,应考虑使用批处理技术,而不是循环单条处理。例如,在SysMenuMapper中的查询方法,如果涉及到复杂的查询条件或者大量数据的查询,应确保SQL语句的优化和索引的使用。异常处理:代码中应该有明确的异常处理逻辑,比如使用try-catch块捕获可能的异常,并进行适当的处理,如记录日志、回滚事务等。
探秘MySQL主从复制的多种实现方式
todoitbo的博客
04-26 1043
本文将深入探讨MySQL主从复制的多种实现方式,包括基于语句、基于行和混合模式等。无论您是初学者还是有经验的数据库管理员,都能通过本文全面了解MySQL主从复制技术的多样化选择,从而提高数据库的可用性和性能。
SpringCloudAlibaba:2.nacos
m0_63040701的博客
04-26 928
Nacos是阿里巴巴开源的服务注册中心以及配置中心Nacos=注册中心Eureka + 服务配置Config + 服务总线Bus。
ubuntu18源码安装postgresql15.2数据库
04-27 367
由于官方的源只能安装到pg10这个版本,整了好一会没有成功就改为源码安装了。
SpringBoot JPA使用
gochenguowei的博客
04-25 990
是 Spring 框架提供的一个模块,用于简化与关系型数据库的交互和数据访问。它基于JPA(Java Persistence API)标准,并提供了一组易于使用的API和工具,帮助开发人员轻松地进行数据库操作。通过Spring Data JPA,开发人员可以通过编写简洁的代码来执行常见的 CRUD 操作,同时还支持高级查询、分页、事务管理等功能。它的目标是提供一种简单、高效的方式来处理数据库操作,减少开发人员的工作量,并提高应用程序的可维护性和可扩展性。
firewalld防火墙开启端口:9000、8123
09-10
### 回答1: 你可以使用命令行工具iptables,来开启端口9000和8123:iptables -A INPUT -p tcp --dport 9000 -j ACCEPT iptables -A INPUT -p tcp --dport 8123 -j ACCEPT ### 回答2: 在Linux系统中,使用firewalld防火墙开启端口9000和8123十分简单。可以按照以下步骤进行操作: 1. 首先,以管理员身份登录到Linux系统。 2. 打开终端或控制台窗口。 3. 输入以下命令以开启9000端口: ``` sudo firewall-cmd --zone=public --add-port=9000/tcp --permanent ``` 这条命令将允许TCP流量在9000端口上通过防火墙。 4. 接下来,输入以下命令以开启8123端口: ``` sudo firewall-cmd --zone=public --add-port=8123/tcp --permanent ``` 同样地,这条命令将允许TCP流量在8123端口上通过防火墙。 5. 执行完上述命令后,记得重启firewalld服务以使改生效。输入以下命令: ``` sudo systemctl restart firewalld ``` 以上步骤完成后,firewalld防火墙将会开放9000和8123端口,以允许TCP流量通过防火墙。这样,你的系统就可以正常与这些端口进行通信了。请注意,在这个过程中,我们使用了sudo命令,这是为了获取管理员权限来执行防火墙设置操作。 ### 回答3: 要在firewalld防火墙中开启端口9000和8123,可以按照以下步骤进行操作: 1. 首先,使用root权限登录到Linux系统。 2. 检查系统上是否已安装和启动了firewalld防火墙。可以运行以下命令来验证: ``` systemctl status firewalld ``` 3. 如果firewalld防火墙未启动,则可以使用以下命令启动它: ``` systemctl start firewalld ``` 4. 接下来,要允许端口9000通过firewalld防火墙,可以运行以下命令: ``` firewall-cmd --zone=public --add-port=9000/tcp --permanent ``` 这将在防火墙的public区域中添加一个永久的TCP规则,允许端口9000的通信。 5. 然后,要允许端口8123通过firewalld防火墙,可以运行以下命令: ``` firewall-cmd --zone=public --add-port=8123/tcp --permanent ``` 这将在防火墙的public区域中添加一个永久的TCP规则,允许端口8123的通信。 6. 最后,要使上述改生效,需要重新加载firewalld配置。可以运行以下命令: ``` firewall-cmd --reload ``` 系统将重新加载配置文件,并且在防火墙中添加了允许9000和8123端口的规则。 现在,firewalld防火墙已经开启了端口9000和8123,允许通过它们进行通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值