firewalld防火墙基本配置

最新推荐文章于 2024-07-26 14:22:46 发布
最新推荐文章于 2024-07-26 14:22:46 发布
阅读量3.9k 收藏 6
点赞数
文章标签: 华为 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57258570/article/details/121360605
版权

    firewalld防火墙基本配置

1、firewalld的结构

与iptables一样,分为内核态和用户态,firewalld代替了iptables,是iptables的功能增强版。

比iptables增强的功能:

1.增强了对IPv6的支持

2.增加了9个基本安全区域,使基本配置更简单。

3.向下兼容iptables的语法。

4.支持图形化界面配置

2、firewalld数据处理流程

1.将数据包中的源IP地址,定义到指定的安全区域,先执行安全区域的规则。

2.如果源地址未关联的指定区域,则使用接收数据的网卡所指定的安全区域规则。

3.如果网卡没有指定安全区域,则执行默认区域的规则。

3、firewalld的安全区域

1.trusted区域:信任区域,允许任何数据流入。

2.public区域:公共区域,允许任何数据输出,拒绝数据输入,除ssh  dhcp-client  dhcpv6-client  是默认区域。

3.work区域:办公区域,允许输出,拒绝输入,除ssh  dhcp-client  ipp-client(办公类应用)。

4.home区域:家庭区域,允许输出,拒绝输入,除ssh  dhcp-client  ipp-client(办公类应用),dns,samba-client

5.internal区域:内部区域,(内网区域),允许输出,拒绝输入,除ssh  dhcp-client  ipp-client(办公类应用),dns,samba-client

6.external区域:外部区域,(外网区域),允许输出,拒绝输入,默认配置了地址伪装功能,除ssh

7.dmz区域:隔离区域,允许输出,拒绝输入,除ssh

8.block区域:限制区域(黑名单区域),允许输出,拒绝输入

9.drop区域:丢弃区域,允许输出,拒绝输入,并且没有ICMP错误响应

4、firewalld配置语句

firewall-cmd   选项   命令子句   条件

1.查看所有区域的规则信息:

firewall-cmd  --list-all-zones

public(active)     #active当前活动的区域,区域中添加网络接口或源地址。

interface:   ens33      #加入区域的接口

sources:   ip地址 #加入区域的源地址

services: 服务名 #加入区域的服务,允许在区域访问的服务

ports: 端口号 #加入区域的端口

protocols:  协议类型    #tcp   udp  icmp等协议

masquerade:  no #地址伪装,PAT地址转换

forward-ports:端口号     #转发端口号

sourceports:端口号 #加入源端口号

icmp-blocks:icmp消息类型      #icmp消息过滤

rich  rules:富语言规则

 

2.查看服务名

firewall-cmd   --get-services

3.查看默认区域

firewall-cmd  --get-default-zone

4.查看活动区域

firewall-cmd  --get-active-zones

5.添加接口到指定区域

firewall-cmd  --zone=internal  --add-interface=ens33

6.从指定区域删除接口

firewall-cmd  --zone=internal  --remove-interface=ens33

7.添加服务到指定区域

firewall-cmd --zone=internal --add-service=http

8.从指定区域删除服务

firewall-cmd --zone=internal --remove-service=http

9.添加端口号或端口范围到指定区域

firewall-cmd --zone=internal --add-port=80/tcp

firewall-cmd --zone=internal --add-port=8000-9000/tcp

10.删除指定区域中的端口

firewall-cmd --zone=internal --remove-port=80/tcp

11.查看指定区域的端口号

firewall-cmd --zone=internal --list-port

12.查看指定区域的规则信息

firewall-cmd --zone=internal --list-all

13.禁止别人ping本地主机

firewall-cmd --zone=internal --add-icmp-block=echo-request

 firewalld高级配置

1、firewalld的临时策略与永久策略

--permanent       将策略保存到策略配置表,但是策略当时不生效,需要重新加载策略配置表才能生效。

--reload    重新加载策略配置表。

例:

firewall-cmd  --permanent  --zone=internal  --add-service=http

2、firewalld的直接规则

例:将192.168.10.2的主机加入到黑名单,并且每1分钟写一次日志。

1.创建以IPv4为地址结构的黑名单。

firewall-cmd  --direct  --add-chain  ipv4  raw  blacklist

2.将192.168.10.2的地址加入到黑名单。

firewall-cmd  --direct  --add-rule  ipv4  raw  PREROUTING  0  -s 192.168.10.2  -j  blacklist

语法格式说明:

--add-rule 添加规则条目

PREROUTING  0    目标地址转换之前

-s 192.168.10.2     指定源地址

-j  blacklist            动作,加入黑名单

3.设置每分钟记录一次日志

firewall-cmd   --direct  --add-rule  ipv4  raw  blacklist  0  -m  limit  --limit  1/min  -j  LOG   --log-prefix  "blacklog"

语法格式说明:

blacklist  0 写入黑名单之前

-m  limit  --limit  1/min       特殊语法:表示时间周期,每1分钟

--log-prefix  "blacklog" 指定日志名称

4.将加入黑名单的数据包丢弃

firewall-cmd  --direct  --add-rule  ipv4  raw  blacklist  1  -j  DROP

3、富语言规则

firewalld针对iptables的语句结构做的加强语法,对于不会iptables的人群来说,也能直接上手配置。

语法:

source   :源IP地址,可以是IPv4或者IPv6的地址

语法:source  address=192.168.10.2

destination:目标IP地址。

语法:destination  addres=192.168.20.0/24

service  name  :服务名

语法:service  name=http

port :端口号,可以是连续的端口范围4000-5000

语法:port  port=8000

protocol:协议,tcp,udp,icmp,可以单独定义或跟在port后面

语法:protocol=tcp

icmp-block:icmp的丢弃信息

语法:icmp-block  name=icmp类型

masquerade:地址伪装

forward-port:转发端口,地址转换

语法:forward-port  port=80 protocol=tcp to-port=80 to-addr=192.168.10.2

log: 日志

语法:log  prefix=前缀文本(头部信息)  level=日志级别  limit  values=日志数量/时间周期(h,m,s,d)  2/m

禾越
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux之centos7防火墙基本使用详解
09-15
主要介绍了linux之centos7防火墙基本使用详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux防火墙 firewalld命令、防火墙区域、区域规则、服务管理、firewalld端口、运行时、永久配置、禁止ping、查看网卡情况、协议、路由转发功能、将网卡添加到对应的某一区域。
jingyu飞鸟
06-10 1375
linux firewalld防火墙、概念、防火墙命令、防火墙区域、规则、服务管理、端口、运行时配置、永久配置、禁止ping、将网卡添加到某一区域、
Firewalld 防火墙配置
来日可期的博客
12-12 1657
firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略。
CentOS 7 firewalld防火墙基本配置
天行健
02-25 493
firewalld基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 : systemctl enable firewalld systemctl是CentOS7的...
linux firewalld防火墙基本操作
系统运维博客,分享实用的运维技巧、经验和解决方案。致力于帮助读者解决系统运维中的各种问题,提升运维效率。欢迎关注,共同学习进步!
12-18 945
firewalld是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙
Firewalld 防火墙基础
m0_71548847的博客
07-03 1309
firewalld 简介frewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewald 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接日。firewalld和iptables 的关系。
linux-firewalld防火墙配置
qq_43566203的博客
07-11 942
firewalld防火墙基本配置 1.1区域概念 ​ firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后要所数据包的源IP地址或传入的网络接口条件等将流量传入相应区域。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。 区域名称 默认配置说明 Trusted 允许所有的传入流量 Home 允许与ssh、mdns、ipp-client、samba-client或dhcpv6
cenos7 Firewalld防火墙高级配置
weixin_45308292的博客
09-19 1615
firewalld防火墙 实验材料及环境如下 一台centos7是内网web服务器 ip :192.168.100.103 : vm1 一台win7是内网测试机 ip: 192.168.1.10 : vm2 一台centos7是网关服务器三块网卡,应该到虚拟机里依次为 ens33 ens37 ens38 依次上到下,从原来到第三块分别是 vm1 vm2 vm3 对应ip为如下 ...
CentOS 7 Firewalld防火墙配置
fox_wayen的博客
06-09 1251
https://www.cnblogs.com/xiluhua/p/5929222.html https://www.cnblogs.com/xxoome/p/7115614.html https://www.linuxidc.com/Linux/2018-11/155155.htm https://www.cnblogs.com/zqifa/p/linux-firewall-1.html ...
Firewalld防火墙基础
m0_73464307的博客
11-07 1951
在Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?就需要总所周知的防火墙,那什么是防火墙?本文将展示centos系统中的防火墙--netfilter和iptables,与 firewalld。以及防火墙包含的表、 链结构 和数据包匹配的基本流程学会编写 iptables 规则firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
linux服务器基本安全配置手册
09-15
应启用并配置iptables或firewalld防火墙,只允许必要的网络服务和端口开放。例如,只开放HTTP、HTTPS、SSH等必需服务的端口。 8. **软件更新与安全补丁**: 定期执行`yum update`或`apt-get update && apt-get ...
CentOS 6.7 安装及基本配置,分布式系统搭建
12-27
2. **防火墙配置**: 根据需求配置防火墙规则,例如使用`iptables`或`firewalld`。 3. **SELinux**: 根据安全策略调整SELinux状态,可设置为`enforcing`、`permissive`或`disabled`。 4. **时间同步**: 安装`ntpd`...
CentOS下Redis数据库的基本安装与配置教程
09-10
- 设置防火墙规则:通过 `iptables` 或 `firewalld` 限制特定 IP 地址的连接。 完成配置后,启动 Redis 服务,可以使用 `redis-server /etc/redis/6379.conf` 命令。为了使 Redis 在系统启动时自动启动,可以将其...
firewalld防火墙(一)firewalld防火墙基本应用 防火墙基本配置 配置防火墙规则
月亮不营业Mk的博客
12-03 484
firewalld防火墙 结构 概述 以上两种称呼都可以表示Linux 防火墙 防火墙:管理防火墙内核的工具 firewalld防火墙配置方法 进入图形化界面 [root@centos01 ~]# init 5 启动防火墙服务 [root@centos01 ~]# systemctl start firewalld 在图形化中启动firewalld服务 [root@centos01 ~]# friewall-config 默认所有网卡都属于public区 切换到字符界面 [root@c
2024华为数通HCIP-datacom最新题库(H12-831变题更新⑦)
yuyeconglong的博客
07-25 1647
H12-831题库解析
FTP服务基础搭建
07-24 1112
FTP客户端从任意一个非特权端口N(N>1024)发送PORT命令给FTP服务端控制端口21,FTP客户端从任意一个非特权端口N(N>1024)发送PASV命令给FTP服务端控制端口21,高端端口P(P>1024),并发送PORT命令给客户端,PORT命令包括服务端的数据端口P,设置FTP用户访问FTP服务器时,将所有FTP用户访问的目录限制在自己的主目录中,设置FTP用户访问FTP服务器时,将部分FTP用户访问的目录限制在自己的主目录中,它就会让自己的数据端口20与客户端的数据端口N+1连接。
Linux网络工具“瑞士军刀“集合
最新发布
分享不一样的技术,与你一起共同成长!
07-26 325
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
firewalld防火墙命令
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start ...这些是一些基本firewalld 命令,你可以根据实际需求进行配置和调整。记得在修改配置后重新加载防火墙才能生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值