Linux 虚拟机防火墙配置与管理

于 2025-04-16 10:03:50 发布
阅读量873 收藏 10
点赞数 10
分类专栏: # 虚拟机 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54088234/article/details/147267705
版权

Linux 虚拟机防火墙配置与管理

在现代的 IT 环境中,虚拟机(VM)已成为资源管理和分配的重要手段。Linux 虚拟机因其开源、灵活和高效的特点而广受欢迎。然而,随着虚拟机的增多,确保它们的安全性变得尤为重要。Linux 虚拟机的防火墙是保护系统不受未授权访问和网络攻击的第一道防线。

本文将探讨 Linux 虚拟机防火墙的配置与管理,以确保您的虚拟环境安全无虞。

理解 Linux 防火墙

Linux 系统中有多种防火墙工具可供选择,最常用的是 iptables 和 firewalld。

  • iptables 是一个传统的、功能强大的包过滤框架
  • 而 firewalld 则是一个较新的动态管理防火墙,用户友好性更高。

iptables

iptables 是 Linux 内核中的一个网络包过滤框架,它可以控制进出 Linux 系统的网络流量。

  • iptables 使用表(tables)和规则(rules)来定义如何处理网络包。

  • 主要的表有:filter(默认,用于过滤流量)、nat(网络地址转换)、mangle(数据包修改)和 raw(原始包处理)。

基本 iptables 命令
service iptables status 	#查看iptable防火墙状态
iptables -L -n -v			#查看iptable防火墙规则
systemctl start iptables	#打开iptable防火墙
service iptables stop	    #关闭iptable防火墙
yum install  iptables -y	#安装iptable防火墙
systemctl enable iptables	#开机自启iptable防火墙
systemctl disable firewalld	#开机自动关闭iptable防火墙
iptables -F					#清空iptable的规则
service iptables save  		#保存iptable防火墙规则

iptables -A INPUT -p tcp --dport 80 -j REJECT #禁止来自80端口访问的数据包
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许来自80端口访问的数据包

iptables -A OUTPUT -p tcp --sport 80 -j REJECT #禁止从80端口出去的数据包
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT #允许从80端口出去的数据包

iptables -A INPUT -p tcp -s 192.168.1.100 -j DROP #阻止所有来自特定 IP 的流量

firewalld

firewalld 是一个动态管理防火墙的守护进程,它使用 D-Bus 来与前端应用程序通信。firewalld 提供了更易于管理和配置的接口,支持区域和区域的概念,可以更细致地控制网络流量。

基本 firewalld 命令

  • 查看 firewalld 状态:

    systemctl status firewalld

  • 启动 firewalld 服务:

    systemctl start firewalld

  • 开放端口:

    firewall-cmd --permanent --zone=public --add-port=22/tcp

  • 停止:

    systemctl stop firewalld

  • 禁用:

    systemctl disable firewalld

  • 重新加载 firewalld 配置:

    firewall-cmd --reload

以下是一些额外的 firewalld 命令,用于管理 Linux 防火墙的规则和配置:

添加和删除服务

  • 添加服务到防火墙(例如,添加一个名为 example-service 的服务):

    sudo firewall-cmd --permanent --add-service=example-service

  • 删除服务从防火墙:

    sudo firewall-cmd --permanent --remove-service=example-service
管理区域和区域规则

  • 添加一个新的区域(例如,添加一个名为 example-zone 的区域):

    sudo firewall-cmd --permanent --new-zone=example-zone

  • 删除一个区域:

    sudo firewall-cmd --permanent --delete-zone=example-zone

  • 将端口添加到特定区域:

    sudo firewall-cmd --permanent --zone=example-zone --add-port=8080/tcp

  • 从区域移除端口:

    sudo firewall-cmd --permanent --zone=example-zone --remove-port=8080/tcp
管理防火墙规则

  • 添加允许规则,允许来自特定 IP 地址的流量:

    sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'

  • 添加拒绝规则,拒绝来自特定 IP 地址的流量:

    sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" drop'

  • 添加转发规则,允许从外部接口转发到内部网络:

    sudo firewall-cmd --permanent --add-forward-chain=forward-chain-name
管理直接规则

  • 添加直接规则,允许从外部接口到内部设备:

    sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" destination address="10.0.0.1" accept'

  • 删除直接规则:

    sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" destination address="10.0.0.1" accept'
查看和导出配置

  • 列出所有永久性和临时规则:

    sudo firewall-cmd --list-all

  • 导出当前的 firewalld 配置到一个文件:

    sudo firewall-cmd --runtime-to-permanent

请注意,使用 --permanent 选项的命令将更改防火墙的永久配置,这些更改在重启后仍然有效。如果您只想临时更改防火墙配置,可以省略 --permanent 选项,但请注意,这些更改在重启后将丢失。

在执行任何防火墙操作之前,请确保您了解这些命令的影响,并在必要时备份您的防火墙配置。

虚拟机防火墙配置

在虚拟化环境中,防火墙配置需要考虑宿主机和虚拟机之间的交互。通常,虚拟机会桥接到宿主机的网络,这样虚拟机就可以像物理机一样接入网络。

宿主机防火墙配置

宿主机的防火墙配置应允许虚拟机的网络流量通过。例如,如果您使用 NAT,需要设置端口转发规则。

虚拟机防火墙配置

虚拟机内部的防火墙配置应基于虚拟机的角色和需要。例如,Web 服务器可能需要开放 80 和 443 端口,而数据库服务器可能只需要开放默认的数据库端口。

虚拟机网络隔离

为了防止虚拟机之间的不必要通信,可以使用虚拟网络编辑器创建独立的虚拟网络。这样,每个虚拟机都可以连接到不同的网络,从而实现网络隔离。

监控和维护

定期监控和维护防火墙规则是确保虚拟机安全的关键。使用工具如 firewalld 的图形界面或命令行工具可以帮助您跟踪和更新防火墙规则。

结论

  • Linux 虚拟机的防火墙是保护系统不受网络威胁的重要工具。
  • 通过合理配置 iptables 或 firewalld,您可以有效地控制进出虚拟机的网络流量。
  • 防火墙规则应根据虚拟机的用途和安全需求进行定制,并定期进行审查和更新。
  • firewall 和 iptable 都是 Linux 的防火墙,firewall 调用了 iptable 的 command 去执行内核的 netfilter,也就是底层还是使用 iptables 对内核命令动态通信包过滤,firewall 是 Centos7 里的新防火墙命令,相当于 iptables 的孩子。

学习参考

Linux虚拟机安装-网络配置-防火墙
X043800的博客
09-12 2097
1. Linux虚拟机安装 安装过程中没有相关图片的都是默认选择的,不需要修改 enter键开始安装 等待安装完成 2.网络配置 回到windows 回到Linux 修改后 esc进入命令模式 , shiftzz 保存并退出 3. Linux防火墙 systemctl status firewalld 查看防火墙状态 systemctl stop fir.
基于linux防火墙设计实现-毕业设计
08-28
随着 Internet 的飞速发展,网络已是人类生活不可缺少的重要成分,信息时代给 人类的生活带来极大便利的同时,也对人类的生活造成了破坏,日益突出的信息安全问 题也越来越引起大家的注意,公共数据的安全问题日益成为人们关注的焦点,而防火墙 作为最早出现的网络安全产品也是目前最基本最有效的信息安全防护手段,正日益受到 用户和研发机构的青睐,得到公司和个人的广泛应用。 经过详细调查,考虑到现有硬件设备的限制,因包过滤防火墙的优势更明显,速度 快且效率高,功能强大,不耗内存,并可对数据进行细致的控制,自己设定过滤规则, 方便测试。在保证满足实验要求的环境下又能尽可能地简化了实验环境,因此本论文实 现的是基于主机设计的防火墙配置系统,故只需要一个联网的主机加虚拟机即可进行实 验测试。所以最终选择在 Linux 环境下基于 netfilter/iptables 防火墙设计技术实现 包过滤型软件防火墙的设计应用。
linux虚拟机修改防火墙,vmware防火墙如何设置
weixin_30216901的博客
05-12 1256
vmware 虚拟机是我们经常用到的!那么vmware 防火墙该怎么样设置呢?下面由学习啦小编给你做出详细的vmware 防火墙设置方法介绍!希望对你有帮助!vmware 防火墙设置方法一:虚拟机下可以不用设置或者开启防火墙。简单介绍Linux系统防火墙检查、开启和关闭。ping测试必须在关闭Linux防火墙的条件下进行,否则可能失败。查看防火墙信息:#/etc/init.d/iptables s...
虚拟机打开防火墙端口相关指令
qq_41812034的博客
02-25 4266
查看防火墙状态: systemctl status firewalld 开启防火墙: systemctl start firewalld 关闭防火墙: systemctl stop firewalld 打开防火墙端口: 1.示例打开8848端口: firewall-cmd --permanent --zone=public --add-port=8848/tcp 2.防火墙重新加载配置,重启防火墙: firewall-cmd --reload 3.查询端口是否打开: fire.
虚拟机内关于防火墙的命令
weixin_56419849的博客
09-02 2121
基于内核的防火墙,使用表(tables)和链(chains)来管理规则。:新一代的防火墙框架,旨在替代iptables,提供更灵活和高效的规则管理。:动态管理防火墙规则的服务,支持区域(zones)和富规则(rich rules),适用于RHEL、CentOS等系统。:基于iptables的简化防火墙管理工具,适用于Debian和Ubuntu系统。
详解在Linux虚拟机配置tomcat
09-15
Linux虚拟机配置Tomcat是一项常见的任务,尤其对于那些从事Java Web开发的人员来说,了解如何在Linux环境中部署和管理Tomcat服务器至关重要。本文将详细介绍这一过程。 首先,我们需要从Apache官网...
VMware准备Linux虚拟机配置
weixin_43907339的博客
02-27 457
网段网关。
Linux虚拟机初学网络防火墙
02-05
适合初学Linux,用MVware搭建学习环境,配置主机和虚拟机之间的网络,防火墙打开等
linux虚拟机联网配置和SSH登录步骤说明
ha_ha_ha_wys的博客
01-07 955
linux虚拟机联网配置和SSH登录步骤说明,在做windows下通过SSH远程登陆linux时,必须先让linux和windows相互通信,然后linux开启SSH服务,windows客户端才可以SSH登陆到linux上。
Linux虚拟机配置防火墙和软件安装限制
Tom197的博客
08-13 2258
有关Linux虚拟机的安全配置防火墙和软件安装配置是必不可少的,下面就来介绍一下如何操作。
虚拟机防火墙
qq_45731464的博客
06-09 4688
1:查看防火状态 systemctl status firewalld service iptables status 2:暂时关闭防火墙 systemctl stop firewalld service iptables stop 3:永久关闭防火墙 systemctl disable firewalld chkconfig iptables off 4:重启防火墙 systemctl enable firewalld service iptables restart 5:永久关闭后重启 //暂时还没
CentOS 防火墙设置
1853
12-09 524
CentOS 防火墙 基础命令 功能 命令 备注 查看状态 firewall-cmd --state 开启 systemctl start firewalld.service 重启 systemctl restart firewalld.service 设置开启自启动 systemctl enable firewalld.service 查看自启设置是否成功...
虚拟机防火墙以及端口操作
weixin_37718867的博客
07-05 2439
在这里通常会有些错觉,22端口没有开放,但是依然是连接状态,这是系统做的人性化优化,便于远程管理服务器,虽然22端口没有开放,但是用户通过当前的连接开启防火墙后,该连接依然处于连接状态,只要不关闭当前连接还是可以在当前连接中正产操作的。如果是重新开启一个连接是连不上的。在Ubuntu系统进行安装的时候默认安装了ufw防火墙,如果没有安装可以使用命令sudo sudo apt-get install ufw进行安装。开放指定ip所有操作 sudo ufw allow from 192.168.121.1。
虚拟机关闭和添加防火墙指令
weixin_68062413的博客
04-03 505
nat模式虚拟机访问主机,开放防火墙
dgsbbsn的博客
10-17 360
去到windowsdefender防火墙设置里选择高级设置,选者入站规则,然后新建规则,选择自定义 ,选择所有程序,下一页是选择这个通道可以交流的协议,再下一页是作用域,这里选择。如图我的一个虚拟机地址为192.168.136.130,主机地址就为192.168.136.1。然后因为有防火墙会导致虚拟机无法访问本机,所以需要去防火墙里为虚拟机和主机之间的连接开放一条通道。首先知道自己的虚拟机地址以及主机ip地址,这里主机ip地址是在vmware设置的地址。
linux虚拟机查看防火墙状态
舒一笑的博客
10-06 3292
如果firewalld防火墙正在运行,它将输出"running"。如果已停止,它将输出"not running"。在Linux虚拟机中,关闭防火墙的方法取决于所使用的防火墙类型。这些命令将清除所有iptables规则并允许所有传入和传出流量。查看firewalld防火墙状态。查看iptables防火墙状态。关闭firewalld防火墙。关闭iptables防火墙。查看ufw防火墙状态。
虚拟机安装某防火墙
imtech的博客
05-16 2834
这个防火墙镜像100多M,占用资源少,是个不错的学习平台,同时对其他安全设备感兴趣也可以下载其他的镜像,比如负载均衡、WAF等。说实话,知识库内容很丰富。如果能把里面内容看80%都是技术大牛了。
redis虚拟机网络配置
最新发布
03-30
### Redis 在虚拟机环境下的网络配置方法及注意事项 #### 一、Redis 的基本特性 Redis 是一种高性能的键值存储系统,支持多种数据结构操作,并可用作数据库、缓存和消息中间件[^3]。由于其高效性和灵活性,在虚拟机环境中部署 Redis 需要特别注意网络配置。 --- #### 二、虚拟机环境下 Redis 网络配置的关键步骤 1. **确认 GCC 编译器已安装** 如果未安装 GCC 编译器,则需要通过 `yum` 或其他包管理工具安装。执行以下命令完成安装: ```bash yum install gcc-c++ ``` 此步对于确保 Redis 能够成功编译至关重要[^5]。 2. **修改虚拟机网络接口配置** 修改虚拟机的网络适配器配置文件以适应 Redis 使用需求。通常情况下,编辑 `/etc/sysconfig/network-scripts/ifcfg-ens33` 文件可以实现这一目的[^4]。以下是常见的配置项调整: - 设置 IP 地址为静态地址(如果尚未分配固定 IP),以便后续连接稳定。 ```plaintext BOOTPROTO=static IPADDR=192.168.x.x NETMASK=255.255.255.0 GATEWAY=192.168.x.y DNS1=8.8.8.8 ONBOOT=yes ``` 3. **绑定 Redis 到指定网卡或开放外部访问** 默认情况下,Redis 只监听本地回环地址 (`127.0.0.1`)。为了允许远程客户端访问,需修改 Redis 配置文件中的 `bind` 参数。打开 Redis 配置文件(通常是 `/dml/redis/redis.conf`),并将其更改为如下形式: ```plaintext bind 0.0.0.0 ``` 上述更改会使得 Redis 绑定到所有可用的网络接口上。需要注意的是,这种做法可能带来安全风险,因此建议仅在受信任的内部网络中使用[^1]。 4. **启用防火墙规则** 若操作系统启用了防火墙功能,则需要添加例外规则来放行默认端口 (6379) 流量。例如,运行以下命令可临时开启该端口: ```bash firewall-cmd --add-port=6379/tcp --permanent firewall-cmd --reload ``` 5. **验证网络连通性** 完成上述设置之后,可以通过 telnet 工具测试目标主机上的 Redis 实例是否能够被正常访问: ```bash telnet <VM_IP> 6379 ``` 成功建立连接表明当前网络配置无误。 6. **启动关闭 Redis** - 启动 Redis:进入源码目录后直接调用服务器程序即可[^2]: ```bash ./redis-server /path/to/redis.conf ``` - 停止 Redis:利用 CLI 发送 shutdown 请求给正在运行的服务实例: ```bash redis-cli -h <VM_IP> -p 6379 shutdown ``` --- #### 三、注意事项 - **安全性考量** 当将 Redis 设定为公开暴露于互联网时,请务必采取额外防护措施,比如密码认证机制以及 SSL/TLS 加密通信通道等手段保护敏感信息免遭窃取篡改攻击。 - **性能优化** 对于高负载场景下使用的 Redis 应当考虑调整最大内存限制(`maxmemory`)及相关淘汰策略(`maxmemory-policy`)参数设定合理阈值范围从而避免因资源耗尽引发崩溃现象发生。 - **日志记录** 开启详细的错误日志有助于快速定位潜在问题所在位置;同时定期审查这些文档也有助于长期维护工作顺利开展下去。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值