CentOS7 防火墙firewall-cmd命令配置

最新推荐文章于 2022-07-06 09:45:35 发布
最新推荐文章于 2022-07-06 09:45:35 发布
阅读量3.1k 收藏 10
点赞数 2
分类专栏: Linux 文章标签: Centos7 防火墙 firewall-cmd
原文链接:https://www.cnblogs.com/asker009/p/10285319.html
版权

firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具。

firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。

firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter。

1、firewall-cmd 主要参数

--get-default-zone  查询默认的区域名称
--set-default-zone=<区域名称> 设置默认的区域,使其永久生效
--get-zones  显示可用的区域
--get-services  显示预先定义的服务
--get-active-zones  显示当前正在使用的区域与网卡名称
--add-source=  将源自此 IP 或子网的流量导向指定的区域
--remove-source=  不再将源自此 IP 或子网的流量导向某个指定区域
--add-interface=<网卡名称>  将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称> 将某个网卡与区域进行关联
--list-all  显示当前区域的网卡配置参数、资源、端口以及服务等信息
--list-all-zones  显示所有区域的网卡配置参数、资源、端口以及服务等信息
--add-service=<服务名>  设置默认区域允许该服务的流量
--add-port=<端口号/协议>  设置默认区域允许该端口的流量
--remove-service=<服务名>  设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>  设置默认区域不再允许该端口的流量
--reload  让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
--panic-on  开启应急状况模式
--panic-off  关闭应急状况模式

2、常用命令

# 查看设置:
firewall-cmd --state  # 显示状态
firewall-cmd --get-active-zones  # 查看区域信息
firewall-cmd --get-zone-of-interface=eth0  # 查看指定接口所属区域
firewall-cmd --panic-on  # 拒绝所有包
firewall-cmd --panic-off  # 取消拒绝状态
firewall-cmd --query-panic  # 查看是否拒绝

firewall-cmd --reload # 更新防火墙规则
firewall-cmd --complete-reload
# 两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务


# 将接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=eth0
# 永久生效再加上 --permanent 然后reload防火墙

# 设置默认接口区域,立即生效无需重启
firewall-cmd --set-default-zone=public

# 查看所有打开的端口:
firewall-cmd --zone=dmz --list-ports

# 加入一个端口到区域:
firewall-cmd --zone=dmz --add-port=8080/tcp
# 若要永久生效方法同上

# 打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档
firewall-cmd --zone=work --add-service=smtp

# 移除服务
firewall-cmd --zone=work --remove-service=smtp

# 显示支持的区域列表
firewall-cmd --get-zones

# 设置为家庭区域
firewall-cmd --set-default-zone=home

# 查看当前区域
firewall-cmd --get-active-zones

# 设置当前区域的接口
firewall-cmd --get-zone-of-interface=enp03s

# 显示所有公共区域(public)
firewall-cmd --zone=public --list-all

# 临时修改网络接口(enp0s3)为内部区域(internal)
firewall-cmd --zone=internal --change-interface=enp03s

# 永久修改网络接口enp03s为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=enp03s

服务管理

# 显示服务列表  
Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:

firewall-cmd --get-services

# 允许SSH服务通过
firewall-cmd --enable service=ssh

# 禁止SSH服务通过
firewall-cmd --disable service=ssh

# 打开TCP的8080端口
firewall-cmd --enable ports=8080/tcp

# 临时允许Samba服务通过600秒
firewall-cmd --enable service=samba --timeout=600

# 显示当前服务
firewall-cmd --list-services

# 添加HTTP服务到内部区域(internal)
firewall-cmd --permanent --zone=internal --add-service=http
firewall-cmd --reload     # 在不改变状态的条件下重新加载防火墙

端口管理

# 打开443/TCP端口
firewall-cmd --add-port=443/tcp

# 永久打开3690/TCP端口
firewall-cmd --permanent --add-port=3690/tcp

# 永久打开端口需要reload一下,reload后临时打开的端口就失效了
firewall-cmd --reload

# 查看防火墙,添加的端口也可以看到
firewall-cmd --list-all

直接模式

# FirewallD包括一种直接模式,使用它可以完成一些工作,例如打开TCP协议的9999端口
firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 9000 -j ACCEPT
firewall-cmd --reload

控制端口 / 服务
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。

firewall-cmd --add-service=mysql        # 开放mysql端口
firewall-cmd --remove-service=http      # 阻止http端口
firewall-cmd --list-services            # 查看开放的服务
firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp         # 开放通过udp访问233
firewall-cmd --list-ports               # 查看开放的端口

伪装 IP

firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade   # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题:

比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
其次检查是否允许伪装 IP,没允许的话要开启伪装 IP

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。

IM魂影
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS 7下用firewall-cmd控制端口与端口转发详解
01-10
一、firewalld 守护进程 firewall-cmd命令需要firewalld进程处于运行状态。我们可以使用systemctl status/start/stop/restart firewalld来控制这个守护进程。firewalld进程为防火墙提供服务。 当我们修改了某些配置之后(尤其是配置文件的修改),firewall并不会立即生效。可以通过两种方式来激活最新配置systemctl restart firewalld和firewall-cmd --reload两种方式,前一种是重启firewalld服务,建议使用后一种“重载配置文件”。重载配置文件之后不会断掉正在连接的tcp会话
centos 7中firewall防火墙的常用命令总结
01-10
前言 在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令,但已经仅是名称相同而已。 firewallcentos7的一大特性,最大的好处有两个: 支持动态更新 不用重启服务; 关于CentOS7Firewall防火墙配置用法可以通过这篇文章进行查看,下面来看看本文的主要内容关于centos 7中firewall防火墙的常用命令,需要的朋友们可以参考学习。 一、开启、关闭firewall 启动: systemctl start firewalld 查看状态: systemctl status firewalld
CentOS 7 中firewall-cmd命令详细介绍
01-10
CentOS 7 中firewall-cmd命令 在 CentOS 7 暂时开放 ftp 服务 # firewall-cmd –add-service=ftp 永久开放 ftp 服务 # firewall-cmd –add-service=ftp –permanent 永久关闭 # firewall-cmd –remove-service=ftp –permanent success 让设定生效 # systemctl restart firewalld 检查设定是否生效 # iptables -L -n | grep 21 ACCEPT     tcp  —  0.0.0.0/0    
CentOS 7.3 下的firewall-cmd命令使用
01-09
CentOS 7.3 下的firewall-cmd命令使用 本文是基于CentOS 7.3系统环境,使用firewall-cmd命令 CentOS 7.3 一、防火墙命令firewall-cmd (1) 开启 systemctl start firewall-cmd (2) 停止 systemctl stop firewall-cmd (3) 重启 systemctl restart firewall-cmd (4) 查看所有开启的端口 firewall-cmd --list-ports (5) 开启端口访问 firewall-cmd --zone=public --add-port
Centos7(Firewall)防火墙开启常见端口命令
01-10
安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=443/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent firewall-cmd –zone=public –add-port=21/tcp –permanent firewall-
Linux firewall-cmd 命令详解
热门推荐
三生万物
09-26 6万+
宽为限 紧用功 功夫到 滞塞通 firewall-cmd Linux上新用的防火墙软件,跟iptables差不多的工具。补充说明firewall-cmdfirewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld跟iptables比起来至少有两大好处:firewalld
Linux之Firewalld安装及使用
月生的静心苑
02-18 1万+
Firewalld提供了动态托管的防火墙,并支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了一个接口,以直接添加防火墙规则。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略
-bash: firewall: 未找到命令Error: INVALID_ZONE: =public解决方案
m0_64295612的博客
07-06 1万+
-bash: firewall: 未找到命令Error: INVALID_ZONE: =public解决方案,firewall-cmd --zone=public --add-port=1551/tcp --permanent
CentOS查询 杀死进程
db5404的博客
08-28 670
ps aux | grep XXX 查询进程 ps a 显示现行终端机下的所有程序,包括其他用户的程序。ps -A 显示所有程序。ps c 列出程序时,显示每个程序真正的指令名称,而不包含路径,参数或常驻服务的标示。ps -e 此参数的效果和指定"A"参数相同。ps e 列出程序时,显示每个程序所使用的环境变量。ps f 用ASCII字符显示树状结构,表达程序间的相互关系。...
防火墙firewall
s990420的博客
07-04 379
linux firewall防火墙设置
CentOS7防火墙的一些常用配置介绍
01-10
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于CentOS7防火墙的一些常用配置。 # 启动 systemctl start firewalld # 查看状态 systemctl ...
Centos7系列(四)防火墙永久区域与富规则1
08-03
域] --remove-icmp-block=icmp类型)13)在区域中启用端口转发或映射(格式:firewall-cmd [--zone=区域] --add
Centos 7之Firewalld相关命令详细介绍
01-20
Centos 7之Firewalld相关命令详细介绍 引言:Centos 7是目前非常流行的Linux发行版本,本文将重点介绍如何来使用firewalld相关命令启动服务以及添加服务或者端口等操作。 1. 查看firewall服务状态  >> systemctl ...
Centos7.1防火墙开放端口快速方法
01-10
例如安装Nagios后,要开放5666端口与服务器连接,命令如下: [root@centos7-1 ~]# firewall-cmd --add-...[root@centos7-1 ~]# firewall-cmd --reload 重启防火墙 success [root@centos7-1 ~]# CentOS 7开放端口: C
CentOS 7如何快速开放端口
01-10
CentOS升级到7之后,发现无法使用iptables控制Linuxs的端口,google之后发现Centos 7使用firewalld代替了原来的iptables。下面记录如何使用firewalld开放Linux端口: 开启端口 firewall-cmd --zone=public --add-...
Centos7离线安装Cockpit 依赖包(navigator文件管理器)
08-10
Centos7离线安装Cockpit 依赖包(navigator文件管理器) Cockpit(驾驶舱)是一个用于管理和监控 Linux 服务器的 Web 控制台。支持终端操作,以及在线文件管理。 使用教程 ...使用方法: 1.Cockpit离线安装依赖项 ...
centos-8-install
03-18
centos-8-安装 更改密码 : sudo passwd 我以root身份登录: 更新 : yum update 安装Apache: dnf install httpd 安装防火墙: dnf install httpd 启动防火墙: systemctl enable firewalld --now 允许http和...
解决centos7中tomcat启动与本机访问问题
01-20
firewall -cmd –state 总结 以上所述是小编给大家介绍的解决centos7中tomcat启动与本机访问问题,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对软件开发网网
CentOS 服务器安全配置策略
01-20
近期服务器频繁有被暴力破解,大致分析了一下入侵行为,整理了常用的安全策略: 最小的权限+最少的服务=最大的安全 ...firewall-cmd –permanent –zone=public –add-port=48489/tcp【添加端口】
firewall-cmd命令
最新发布
09-14
firewall-cmd是一个用于配置和管理防火墙规则的命令行工具,它在CentOS和RHEL系列的Linux发行版中使用。 以下是一些常见的firewall-cmd命令示例: 1. 查看防火墙状态: ``` firewall-cmd --state ``` 2. 查看所有开放的端口: ``` firewall-cmd --list-ports ``` 3. 添加一个允许通过的端口: ``` firewall-cmd --add-port=<port>/tcp --permanent ``` 4. 移除一个已添加的端口: ``` firewall-cmd --remove-port=<port>/tcp --permanent ``` 5. 列出所有已添加的规则: ``` firewall-cmd --list-all ``` 6. 重新加载防火墙配置: ``` firewall-cmd --reload ``` 这只是一些基本的命令示例,还有其他更高级的用法和选项,你可以通过查阅相关文档获得更多信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值