Firewalld防火墙

最新推荐文章于 2021-09-22 13:49:27 发布
最新推荐文章于 2021-09-22 13:49:27 发布
阅读量129 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50399006/article/details/110128600
版权

Firewalld防火墙

Firewalld概述

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4,IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式
   运行时配置:临时命令在重启前有效,重启后清空
   永久配置:配置命令只有在重启后才能生效 +(--permanent)

在这里插入图片描述

Firewalld和iptables

netfilter

位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”(面向硬件)

Firewalld、iptables

CentOS7默认的管理防火墙规则的工具(Firewalld)
称为Linux防火墙的“用户态”(面向用户)

在这里插入图片描述

Firewalld和iptables的区别

	                 firewalld                  iptables
配置文件         /usr/lib/firewalld/      /etc/sysconfig/iptables
                /etc/firewall/
对规则的修改     不需要全部刷新策略,不     需要全部刷新策略,丢失连接
                丢失现行连接
防火墙类型         动态防火墙                静态防火墙

Firewalld数据处理流程

检查源地址

1.若源地址关联到特定的区域,则执行该区域所指定的规则
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则

外部流量效果:源地址是否关联
            网卡的所属区域
源地址关联(1)优先级大于网卡关联(2,3)优先级

Firewalld防火墙配置方法

运行时:

实时生效,并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置(临时有效,重新加载失效)

永远:

不立刻生效,除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置 (永久有效,前提是需要重新加载)

防火墙图形界面

在这里插入图片描述

应用解析

运行时配置/永久配置
重新加载防火墙
     更改永久配置并生效
关联网卡到指定区域 
修改默认区域
连接状态

区域选项卡

“服务”子选项卡(激活的区域以粗体显示,存在网卡,地址)
“端口”子选项卡(添加的协议,端口)
“协议”子选项卡
“源端口”子选项卡(开放端口范围)
“伪装”子选项卡 (nat)
“端口转发”子选项卡
“ICMP过滤器”子选项卡

服务

“模块”子选项卡
 “目标地址”子选项卡

Firewall区域分类

firewalld将网卡对应到不同的区域(zone),zone默认共有9个:

drop(丢弃)

任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。

block(限制)

任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。

pubic(公共)

在公共区域内使用,不能相信网络内的其它计算机不会对您的计算机造成危害,只能接收经过选取的连接。

external(外部)

特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其它计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。

dmz(非军事区)

用于您的非军事区的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。

work(工作)

用于工作区。您可以基本相信网络内的其它电脑不会危害您的电脑,仅仅接收经过选择的连接。

home(家庭)

用于家庭网络。您可以基本信任网络内的其它计算机不会危害您的计算机。仅仅接收经过选择的连接。

internal(内部)

用于内部网络。您可以基本信任网络内其它计算机不会威胁您的计算机。仅仅接收经过选择的连接

trusted(信任)

可接受所有的网络连接。

/etc/firewalld/中的配置文件

Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

cmd命令行工具

用法示例:
显示可以使用容易理解的名称表示的所有服务

[root@server1 ~]# ls /usr/lib/firewalld/services

在这里插入图片描述

查看支持的所有服务名称

[root@server1 ~]# firewall-cmd --get-services
在这里插入图片描述
查看所有区域
[root@server1 ~]# firewall-cmd --get-zones
在这里插入图片描述
查看当前默认区域
[root@server1 ~]# firewall-cmd --get-default-zone
在这里插入图片描述
查看当前指定网卡所处的区域
[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens33
在这里插入图片描述
查看public区域中有没有ssh服务开启(yes/no)
[root@server1 ~]# firewall-cmd --zone=public --query-service=ssh
[root@server1 ~]# firewall-cmd --zone=public --query-service=ftp
[root@server1 ~]# firewall-cmd --zone=public --query-service=dns
[root@server1 ~]# firewall-cmd --zone=public --query-service=dhcp

在这里插入图片描述
查看当前区域开放的服务
[root@server1 ~]# firewall-cmd --list-services(不指定区域,默认与当前网卡区域一样默认区域)
在这里插入图片描述

查看所有区域开放的服务
[root@server1 ~]# firewall-cmd --list-all-zones
在这里插入图片描述
在这里插入图片描述

Firewalld防火墙项目

在这里插入图片描述
禁止主机ping服务器
只允许20.0.0.10主机访问SSH服务器
允许所有主机访问Apache服务

项目流程

1.禁止主机ping服务器
[root@server2 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
[root@server2 ~]# firewall-cmd --reload
[root@server2 ~]# firewall-cmd --list-all
在这里插入图片描述
[root@server1 ~]# ping 20.0.0.11
在这里插入图片描述
[root@client1 ~]# ping 20.0.0.11
在这里插入图片描述
只允许20.0.0.10主机访问SSH服务器
设置只有区域public配置20.0.0.10/32用户,关联20.0.0.10地址可登录SSH服务
[root@server2 ~]# firewall-cmd --list-all
[root@server2 ~]# firewall-cmd --zone=public --add-source=20.0.0.10/32 --permanent

设置默认区域为home
[root@server2 ~]# firewall-cmd --set-default-zone=home

设置网卡ens33关联默认区域ens33
[root@server2 ~]# firewall-cmd --change-interface=ens33 --zone=home --permanent
[root@server2 ~]# systemctl stop NetworkManager
[root@server2 ~]# firewall-cmd --reload
在这里插入图片描述
查看home区域

[root@server2 ~]# firewall-cmd --list-all
删除home区域关联的SSH服务
[root@server2 ~]# firewall-cmd --zone=home --remove-service=ssh --permanent
[root@server2 ~]# firewall-cmd --reload
[root@server2 ~]# firewall-cmd --list-all
在这里插入图片描述
[root@server2 ~]# firewall-cmd --list-all --zone=public
在这里插入图片描述
允许20.0.0.10用户访问SSH服务

[root@server2 ~]# firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.10" service name="ssh" accept"
[root@server2 ~]# firewall-cmd --list-all --zone=public

在这里插入图片描述
允许访问Apache服务

[root@server2 ~]# yum -y install httpd
[root@server2 ~]# echo "good day." > /var/www/html/index.html
[root@server2 ~]# systemctl start httpd
[root@server2 ~]# firewall-cmd --zone=public --add-service=http --permanent 
success

在这里插入图片描述
[root@server2 ~]# firewall-cmd --zone=home --add-port=80/tcp --permanent
[root@server2 ~]# firewall-cmd --reload
[root@server2 ~]# firewall-cmd --list-all
[root@server2 ~]# firewall-cmd --list-all --zone=public
在这里插入图片描述
在这里插入图片描述
[root@server2 ~]# curl http://20.0.0.11
在这里插入图片描述

ㅤChen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
firewall-cmd操作命令
ydZ157的博客
07-23 2666
# 开启防火墙 systemctl start firewalld.service # 防火墙开机启动 systemctl enable firewalld.service # 关闭防火墙 systemctl stop firewalld.service # 查看防火墙状态 firewall-cmd --state # 查看现有的规则 iptables -nL firewall-cmd --zone=public --list-ports # 重载防火墙配置 firewal.
Linux系统通过firewall限制或开放IP及端口
Able
09-11 2552
一、查看防火墙状态 1、首先查看防火墙是否开启,如未开启,需要先开启防火墙并作开机自启 systemctl status firewalld 开启防火墙并设置开机自启 systemctl start firewalld systemctl enable firewalld 一般需要重启一下机器,不然后面做的设置可能不会生效 二、开放或限制端口 1、开放端口 (1)如我们需要开启XShell连接时需要使用的22端口 firewall-cmd --zone=p.
linux 防火墙问题
u013764330的博客
12-11 428
查看已经被防火墙开启的端口 [root@localhost ~]# firewall-cmd --permanent --zone=public --list-ports 没有的话下面空白 然后进行添加端口 [root@localhost ~]# firewall-cmd --zone=public --add-port=8987/tcp --permanent success...
firewall日常命令
abiao555的博客
07-11 456
systemctl status firewalld systemctl start firewalld.service systemctl status firewalld systemctl start firewalld.service # 查看白名单列表 firewall-cmd --zone=public --list-ports # 添加白名单端口 firewall-cmd --zone=public --add-port=2181/tcp --permanent # 重启防火墙 fir
firewalld
lxfqianfeng的博客
09-22 548
linux下开启防火墙,允许通过的端口 1、查看防火墙状态 systemctl status firewalld 2、如果不是显示active状态,需要打开防火墙 systemctl start firewalld 3、# 查看所有已开放的临时端口(默认为空) firewall-cmd --list-ports 查看所有永久开放的端口(默认为空) firewall-cmd --list-ports --permanent 添加临时开放端口(例如:比如我修改ssh远程连接端口是223,则需要开放这个端口) f
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
iptables 与firewalld 防火墙.docx
07-07
iptables 与 firewalld 防火墙配置使用方法 iptables 和 firewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的流量,保护内网安全。本文将对比 iptables 和 firewalld 的配置使用方法,并详细介绍...
Iptables与Firewalld防火墙(MD格式)
最新发布
07-09
Iptables与Firewalld防火墙(MD格式)
第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
第二十章:Firewalld防火墙应用.pdf
08-08
第二十章:Firewalld防火墙应用.pdf
RHEL7版-项目07--网络配置与Firewalld防火墙的管理.pptx
06-08
RHEL7版-项目07--网络配置与Firewalld防火墙的管理.pptx
第8章iptables与firewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
centos7 firewall-cmd查看端口是否开放及开放端口
热门推荐
weixin_34332905的博客
02-11 1万+
永久开放80端口号:firewall-cmd --permanent --zone=public --add-port=80/tcp多端口: firewall-cmd --zone=public --add-port=80-90/tcp --permanent 移除80端口号:firewall-cmd --permanent --zone=public --remove-...
CentOS7 关于firewall-cmd 防火墙 命令
Seven71111的博客
02-22 1047
Centos6 使用的是iptables,Centos7 使用的是filewall(-cmd) iptables 用于过滤数据包,属于网络层防火墙。 firewall 能够允许哪些服务可用,那些端口可用...属于更高一层的防火墙。 1.firewalld的基本使用 启动: systemctl start firewalld 查看状态:systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop fire...
CentOS 7 使用firewalld操作防火墙和端口
又逢乱世
07-28 1445
1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用: systemctl disable firewalld 开机启用: systemctl enable firewalld 2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动一个服务: systemctl
Firewall 防火墙常用命令
qq_38086037的博客
07-04 2754
Firewall开启常见端口命令: 注意:--permanent意思是:永久生效 firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd -- zone=public --add-port=443/tcp --permanent firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --zone=public --add-port=21/t
firewalld防火墙
03-29
Firewalld是Linux系统中的一个防火墙管理工具,它可以控制网络流量的进出,并允许或阻止特定的网络连接。Firewalld是Red Hat Enterprise Linux(RHEL)7及更高版本的默认防火墙解决方案,它也可以在其他Linux发行版...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值