firewalld防火墙

最新推荐文章于 2023-11-29 10:23:07 发布
最新推荐文章于 2023-11-29 10:23:07 发布
阅读量252 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tfwlwj/article/details/104331602
版权

一:概念

firewalld防火墙是CentOS7版本系统默认的防火墙管理工具,取代了之前的iptables防火墙,与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙,firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。firewalld防火墙最大的优点在于支持动态更新以及加入了防火墙的“Zone”概念,firewalld防火墙支持IPV4和IPV6地址。可以通过字符管理工具firewall-cmd和图形化管理工具firewall-config进行管理。

二、区域的概念

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后要所数据包的源IP地址或传入的网络接口条件等将流量传入相应区域。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。

区域名称默认配置说明
Trusted允许所有的传入流量
Home允许与ssh、mdns、ipp-client、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
Internal默认值时与home区域相同
Work允许与ssh、ipp-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
Public允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
External允许与ssh预定义服务匹配的传入流量,其余均拒绝。默认将经过此区域转发的IPv4地址传出流量进行地址伪装。
Dmz允许与ssh预定义服务匹配的传入流量,其余均拒绝。
Block拒绝所有传入流量
Drop丢弃所有传入流量

用户可以根据具体环境选择使用区域。管理员也可以对这些区域进行自定义,使其具有不同的设置规则。

在流量经过防火墙时,firewalld防火墙会对传入的每个数据包进行检查,如果此数据包的源地址关联到特定的区域,则会应用该区域的规则对此数据包进行处理,如果该源地址没有关联到任何区域,则将使用传入网络接口所在的区域规则进行处理。如果流量与不允许的端口、协议或者服务匹配,则防火墙拒绝传入流量。

三、firewall-cmd字符管理工具

firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则,需要注意的是firewalld防火墙规则分为两种状态,一种是runtime(正在运行生效的状态),在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者重启系统后这些规则将会失效;一种是permanent(永久生效的状态),在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效。

在使用firewall-cmd命令管理防火墙时,需要添加为永久生效的规则需要在配置规则时添加–permanent选项(否则所有命令都是作用于runtime,运行时配置),如果让永久生效规则立即覆盖当前规则生效使用,还需要使用firewall-cmd --reload命令重新加载防火墙配置。常用firewall-cmd命令如下:

firewall-cmd****命令说明
–get-default-zone查看当前默认区域
–get–active-zones列出当前正在使用的区域及其所对应的网卡接口
–get-zones列出所有可用的区域
–set-default-zone=设置默认区域(注意此命令会同时修改运行时配置和永久配置)
–add-source=[–zone=]将来自IP地址或网段的所有流量路由到指定区域,没有指定区域时使用默认区域。
–remove-source=[–zone=<ZONE]从指定区域中删除来自IP地址或网段的所有路由流量规则,没有指定区域时使用默认区域。
–add-interface=[–zone=<ZONE]将来自该接口的所有流量都路由到指定区域。没有指定区域时使用默认区域。
–change-interface=[–zone=<ZONE]将接口与指定区域做关联,没有指定区域时使用默认区域。
–list-all[–zone=<ZONE]列出指定区域已配置接口、源、服务、端口等信息,没有指定区域时使用默认区域。
–add-service=[–zone=<ZONE]允许到该服务的流量通过指定区域,没有指定区域时使用默认区域。
–remove-service=[–zone=<ZONE]从指定区域的允许列表中删除该服务,没有指定区域时使用默认区域。
–add-port=<PORT/PROTOCOL>[–zone=<ZONE]允许到该端口的流量通过指定区域,没有指定区域时使用默认区域。
–remove-port=<PORT/PROTOCOL>[–zone=<ZONE]从指定区域的允许列表中删除该端口,没有指定区域时使用默认区域。

1、区域管理

firewall-cmd --help | wc -l

(1)查看默认区域

# firewall-cmd --get-default-zone

(2)列出当前正在使用的区域及其所对应的网卡接口

# firewall-cmd --get-active-zones

(3)列出所有可用的区域

# firewall-cmd --get-zones

(4)设置默认区域

# firewall-cmd --set-default-zone=block

2、服务管理

(1)查看预定义服务

# firewall-cmd --get-services

(2)添加http服务到public区域

# firewall-cmd --add-service=http --zone=public --permanent

# systemctl restart firewalld

(3)查看public区域已配置的规则

# firewall-cmd --list-all --zone=public

(4)移除public区域的http服务,不使用–zone指定区域时使用默认区域

# firewall-cmd --remove-service=http --permanent --zone=public

# systemctl restart firewalld

(5)将多个服务添加到某一个区域,不添加–permanent选项表示是即时生效的临时设置

# firewall-cmd --add-service=http --add-service=https

# systemctl restart firewalld

3、端口管理

(1)允许TCP的3306端口到public区域

# firewall-cmd --add-port=3306/tcp

(2)从public区域将TCP的3306端口移除

# firewall-cmd --remove-port=3306/tcp

(3)允许某一范围的端口,如允许UDP的2048-2050端口到public区域

# firewall-cmd --add-port=2048-2050/udp --zone=public

(4)使用–list-ports查看加入的端口操作是否成功

# firewall-cmd --list-ports

4、伪装IP

(1)什么是地址伪装?

通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包
源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改
为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持ipv4,不支持ipv6。

(2)相关命令

firewall-cmd --query-masquerade # 检查是否允许伪装IP

firewall-cmd --permanent --add-masquerade # 允许防火墙伪装IP

firewall-cmd --permanent --remove-masquerade# 禁止防火墙伪装IP

5、端口转发

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。

# firewall-cmd --permanent --add-masquerade

# firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80

# firewall-cmd --add-port=8080/tcp

# firewall-cmd --remove-service=http

端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。

三、firewalld富规则

https://www.cnblogs.com/meizy/p/firewalld.html#fanghuoqiangfuguize

–list-rich-rules --列出富规则

–add-rich-rule=    --使用富规则语言添加富规则

–remove-rich-rule=     --移除富规则

–query-rich-rule= --查询某条富规则是否存在

–list-rich-rules --列出指定区域中的所有富规则

–list-all 和 --list-all-zones --也能列出存在的富规则

[b�] ? ? ??
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
firewall服务
m0_55885185的博客
09-29 419
查看firewall服务当前所使用的区域:firewall-cmd --get-default-zone(get是获取default是默认值zone是区域) 查询public区域是否允许请求服务(ssh)协议的流量:firewall-cmd --zone=public --query-service=ssh(--query-service要查询的服务) 把firewall服务中请求HTTPS协议流量设置为永久允许:firewall-cmd --zone=public --add-servic..
firewalld学习-zone的使用和配置
weixin_30730151的博客
08-05 3401
原文地址:http://www.excelib.com/article/290/show zone文件标签名词解释 target:目标,这个前面学生也已经给大家介绍过了,可以理解为默认行为,有四个可选值:default、ACCEPT、%%REJECT%%、DROP,如果不设置默认为default service:这个在前面学生已经给大家解释过了,他表示一个服务 ...
Linux系统centos7防火墙firewall开放IP及端口命令
最新发布
weixin_50367873的博客
11-29 3397
CentOS7使用的是firewall防火墙,不再是原来的iptables。
浅谈linux系统firewalld防火墙常用策略(ipv6、ipv4)
Mr.Wang的博客
12-08 5637
本文以CentOS7系统为例来讲述firewalld防火墙常用命令以及基础策略,主要记录博主日常维护系统常用防火墙命令操作,网络安全需求日益增长,需要大家共同努力维护绿色安全。
Firewalld防火墙
weixin_60917414的博客
05-23 2516
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙firewalld与iptables防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能firewalld防火墙最大的优点在于支持动态更新以及加入了防火墙的‘zone’概念。
firewalld 防火墙
NB_____的博客
05-08 203
实验环境描述: 某公司的Web服务器,网关服务器均采用Linux Centos7.3操作系统,为了加强网络访问的安全性,要求管理员熟悉firewalld防火墙规则的编写,以便制定有效、可行的主机防护策略。 需求描述:网管服务器ens32网卡分配到trusted区域,ens34网卡分配到external区域,ens35网卡分配到DMZ区域。 网站服务器和网关服务器将SSH默认端口都改为12345。 网站服务器开启https,过滤未加密的http流量,且拒绝ping。 推荐步数: 基本环境配置。 (1)为网关服
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linuxFirewalld防火墙
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
CentOS7 firewalld 原生ipv6转发ipv6
niugongni4046的博客
11-09 1810
Centos ipv6转发
Firewalld防火墙基础
m0_73464307的博客
11-07 1871
在Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?就需要总所周知的防火墙,那什么是防火墙?本文将展示centos系统中的防火墙--netfilter和iptables,与 firewalld。以及防火墙包含的表、 链结构 和数据包匹配的基本流程学会编写 iptables 规则firewalld防火墙是centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
firewalld服务
Not Found 404
08-06 619
目录firewalld服务firewalld zone分类firewalld配置firewall-cmd 命令选项rich规则管理rich规则rich规则示例rich日志规则伪装和端口转发rich转发端口:练习 firewalld服务 firewalld是CentOS 7.0新推出的管理netfilter的工具 firewalld是配置和监控防火墙规则的系统守护进程。可以实现iptables,i...
10、11 firewalld关于zone的操作
chunyouban0052的博客
07-16 302
Linux防火墙-firewalld firewall-cmd --set-default-zone=work //设定默认zone firewall-cmd --get-zone-of-interface=ens33 //查指定网卡 firewall-cmd --zone=public --...
linux服务器防火墙配置
yigan123的博客
02-17 1186
Linux服务器防火墙配置
firewalld 的9个zone及相关操作
qq_42770949的博客
03-26 4360
1、firewalld 的9个zone firewalld 的9个zone及相关操作 前面将 firewalled 关闭,打开了 iptables,现在需要先关闭 iptables ,再开启 firewalld ,具体操作见下图, firewalld 的9个zone及相关操作 接着查看一下规则,输入命令 iptables -nvL ,回车,见下图, 可以看到,规则明显增加非常多,都是 f...
Centos7系列(三)防火墙与网络区域详解
weixin_33979745的博客
05-04 870
博主QQ:819594300博客地址:http://zpf666.blog.51cto.com/有什么疑问的朋友可以联系博主,博主会帮你们解答,谢谢支持!Firewalld防火墙:1、使用图像化的firewall-config 工具:firewall-config 工具里有一个标记为 Configuration 的下拉菜单,可以在运 行时间(即临时模式 runtime)和永久(permanent)...
firewalld
轻风带坏的博客
09-17 558
firewalld防火墙 firewalld防火墙是CentOS7版本系统默认的防火墙管理工具,取代了之前的iptables防火墙,与iptables防火墙,与 iptables 防火墙一样也属于典型的包过滤防火墙或称之为网络层防火墙firewald和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。firewalld防火墙支持IPV4和IPV6地址。可以通过字符管理工具firewa

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值