第7周第5课:iptables、firewalld

最新推荐文章于 2024-09-15 14:50:06 发布
最新推荐文章于 2024-09-15 14:50:06 发布
阅读量129 收藏
点赞数
文章标签: 运维 python 开发工具
原文链接:https://my.oschina.net/greenfinch/blog/1613765
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

10.19 iptables规则备份和恢复

备份(另存为):iptables-save

iptables-save > /tmp/ipt.txt

恢复:

iptables-restore < /tmp/ipt.txt

10.20 firewalld的9个zone

## 关闭iptables
[root@greenfinch ~]# systemctl disable iptables
[root@greenfinch ~]# systemctl stop iptables

## 开启firewalld
[root@greenfinch ~]# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/basic.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
[root@greenfinch ~]# systemctl start firewalld

注意:此时防火墙的规则已发生改变,可以使用命令 iptables -nvL 查看。

关于9种zone的解析:

Markdown

查看系统zone的类型:

[root@greenfinch ~]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block

查看系统默认的zone:

[root@greenfinch ~]# firewall-cmd --get-default-zone
public

10.21 firewalld关于zone的操作

[root@greenfinch ~]# firewall-cmd --set-default-zone=work   ## 设置默认的zone
success
[root@greenfinch ~]# firewall-cmd --get-default-zone   ## 查看系统默认的zone
work

查看指定网卡的zone:

[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=ens33
work
[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=ens37
work
[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=lo
no zone
  • 给指定网卡增加zone,两种方法:

方法1:编辑网卡配置文件(复制系统网卡配置文件进行更名)的方法为其添加zone(配置完成后重启网络服务,并重新加载firewalld服务:systemctl restart firewalld)。

方法2:

[root@greenfinch ~]# firewall-cmd --zone=dmz --add-interface=ens37
success
[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=ens37
dmz

[root@greenfinch ~]# firewall-cmd --zone=public --add-interface=lo
success
[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=lo
public
  • 给指定网卡更改zone
[root@greenfinch ~]# firewall-cmd --zone=block --change-interface=ens37
success
[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=ens37
block
  • 给指定网卡删除zone
[root@greenfinch ~]# firewall-cmd --zone=block --remove-interface=ens37
The interface is under control of NetworkManager and already bound to the default zone
The interface is under control of NetworkManager, setting zone to default.
success
[root@greenfinch ~]# firewall-cmd --get-zone-of-interface=ens37
work
  • 查看系统中所有网卡所在的zone
[root@greenfinch ~]# firewall-cmd --get-active-zones 
work
  interfaces: ens33
public
  interfaces: lo

10.22 firewalld关于service的操作

  • 查看系统所有service:firewall-cmd --get-services
  • 查看当前zone下的service:firewall-cmd --list-services
  • 查看指定zone下的service:firewall-cmd --zone=public --list-services

添加一个服务到某个zone下:

  • 临时添加(配置文件中不存在,重启会恢复原配置)
[root@greenfinch ~]# firewall-cmd --zone=public --add-service=http
success
[root@greenfinch ~]# firewall-cmd --zone=public --add-service=ftp
success
[root@greenfinch ~]# firewall-cmd --zone=public --list-service
dhcpv6-client ssh http ftp
  • 永久添加(更改配置文件):

firewall-cmd --zone=public --add-service=ftp --permanent

zone的系统配置文件位置 /etc/firewalld/zones/

[root@greenfinch ~]# ls /etc/firewalld/zones/
public.xml  public.xml.old
[root@greenfinch ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks o not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
</zone>

说明:public.xml.old相当于一个备份文件,每次编辑public.xml时,系统会自动将原public.xml内容备份到public.xml.old文件中去。

  • zone配置文件模板
[root@greenfinch ~]# ls /usr/lib/firewalld/zones/
block.xml  drop.xml      home.xml      public.xml   work.xml
dmz.xml    external.xml  internal.xml  trusted.xml
  • firewalld内各项服务的配置文件模板
[root@greenfinch ~]# ls /usr/lib/firewalld/
icmptypes  ipsets  services  xmlschema  zones

实例需求:ftp服务自定义端口1121,需要在work zone下面放行ftp。

步骤一:复制ftp的配置文件到 /etc/firewalld/services/

[root@greenfinch ~]# cp /usr/lib/firewalld/services/ftp.xml  /etc/firewalld/services/

步骤二:编辑该文件,将port="21"改为port="1121"

[root@greenfinch ~]# vim /etc/firewalld/services/ftp.xml

步骤三:复制workzone的配置文件到/etc/firewalld/zones/

[root@greenfinch ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

步骤四:编辑该文件,增加一行“<service name="ftp"/>”

[root@greenfinch ~]# vim /etc/firewalld/zones/work.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Work</short>
  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="ftp"/>
</zone>

步骤五:重新加载

[root@greenfinch ~]# firewall-cmd --reload

执行结果验证

[root@greenfinch ~]# firewall-cmd --zone=work --list-service
ssh dhcpv6-client ftp

转载于:https://my.oschina.net/greenfinch/blog/1613765

weixin_34043301
关注
Linux--firewalld防火墙字符管理工具(防火墙维护和状态查询命令,重载配置,区域操作,服务操作,端口操作,阻塞ICMP操作命令详解与总结)
CN_TangZheng的博客
12-09 991
firewall-cmd是firewalld防火墙自带的字符管理工具,可以用来设置firewalld防火墙的各种规则 - firewalld防火墙规则分为两种状态: 一种是runtime,指正在运行生效的状态,在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者再重启系统后这些规则将会失效 - 另一种是permanent,指永久生效的状态,在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效
Linux——防火墙(二)
ML908的博客
12-09 708
文章目录Firewalld防火墙的配置一、Firewalld防火墙的配置方法运行时配置永久配置二、Firewall-config图形工具配置运行时配置/永久配置重新加载防火墙关联网卡到指定区域修改默认区域连接状态“区域”选项卡“服务”选项卡案例三、Firewall-cmd字符界面配置1、Firewalld防火墙维护命令2、Firewalld防火墙重载配置的命令重新加载Firewalld的配置3、查...
linux防火墙
weixin_45725244的博客
12-09 508
Firewalld简介 1、支持网络区域所定义的网络连接以及接口安全等管理 2、支持IPv4、ipv6防火墙设置及以太网桥 3、支持服务或应用程式直接添加防火墙接口 4、拥有两种配置模式 1运行时配置 实时生效,并持续至firewalld重新启动或重新加载配置 不中断现有连接 不能修改服务配置 2永久配置 不立即生效,除非firewalld重新启动或加载配置 中断现有链接 可以修改服务配置 Fir...
Linux防火墙-----iptablesfirewalld
qq_42761527的博客
12-09 677
一.netfilter、iptablesfirewalld的概念 netfilter netfilter位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”。 netfilter的主要工作模块位于内核,在网络层的五个位置(prerouting,posrouting,input,output,forware)注册了一些函数,用来抓取函数包 把数据包的信息拿出来匹配各个链位...
2017-12-1 7周5次 linux防火墙--netfilter
wagskun的博客
12-03 384
保存和备份iptables 规则 [root@wagskun ~]# iptables-save > /tmp/ipt.txt [root@wagskun ~]# cat /tmp/ipt.txt # Generated by iptables-save v1.4.21 on Sun Dec 3 09:03:14 2017 *mangle :PREROUTING ACCEPT [1013:93
iptablesfirewalld防火墙
m0_62948770的博客
08-14 5263
认识安全的重要性,学习iptablesfirewalld
iptables&firewalld
携手凡生的博客
08-18 340
一、iptables1) iptables实验的环境配置:为了避免防火墙之间互相影响,在作iptables的实验之前,先做一点准备工作: systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl unmask iptables.service systemctl strt iptab
Linux防火墙之firewalldiptables
day day up
07-15 2605
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
linux-运维进阶-13 iptablesfirewalld防火墙
weixin_42560249的博客
03-26 1455
linux-运维进阶-13 iptablesfirewalld防火墙 iptables iptables是centos6以及之前版本的默认防火墙工具,在centos7中默认防火墙工具已经替换为firewalld。 区别: iptables防火墙的底层是netfiter firewalld防火墙的底层是iptables 注意:iptablesfirewalld是冲突的,同时只能使用一个防火墙 在...
第七章 IptablesFirewalld防火墙
龙狼刺的博客
05-08 811
TCP Wrappers是RHEL 6/7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作,当前8版本中已经被Firewalld正是替代。换句话说,Linux系统中其实有两个层面的防火墙,第一种是基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Linux系统提供服务的防火墙,从而在更高层面保护了Linux系统的安全运行。
2.8 Linux的火墙策略优化
黑羽冰音的博客
03-02 213
FirewallDiptables的操作方法,火墙三张表及其策略的管理.
日常运维常用命令工具3-firewalld、任务计划、systemd等
weixin_33943347的博客
06-09 589
为什么80%的码农都做不了架构师?>>> ...
7.16任务
chenglichu0862的博客
07-17 424
10.19iptables规则备份和恢复 service iptables save #会把规则保存到/etc/sysconfig/iptables里去 但是我想把它保存到别的地方,就可以这么做。 [root@localhost: ~]# iptables-save > ipt...
Linux故障-CentOS7系统firewall报错"Error: INVALID_ZONE"
极墨
05-28 2万+
虚拟化libvirtd与firewall不兼容导致firewalld报错 ERROR: INVALID_ZONE
docker 端口映射错误解决方法
热门推荐
JackLiu16的博客
02-24 2万+
COMMAND_FAILED: '/sbin/iptables -t nat -A DOCKER -p tcp -d 0/0 --dport 8111 -j DNAT --to-destination 172.17.0.6:8111 ! -i docker0' failed: iptables: No chain/target/match by that name.pkill dockeripta...
ZONE_CONFLICT: ‘docker0‘ already bound to a zone
黄树茂博客
07-26 3821
无法启动docker, sudo journalctl -u docker.service 查到报"ZONE_CONFLICT: 'docker0' already bound to a zone"。 查看防火墙配置: sudo firewall-cmd --list-all-zones 看到 trusted (active) target: ACCEPT icmp-block-inversion: no interfaces: docker0 sources: se
CentOS7 Docker 端口映射
summer_fish的专栏
01-13 2561
一、安装RabbitMQ [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS
Linux入门1
最新发布
m0_62770407的博客
09-15 998
Linux的内核源码开源,所以只需要在内核的基础上加入内核程序就能形成一个完美可用的“操作系统”。虚拟机的名字密码根据自己喜好设置即可,接下来我将虚拟机放到了D盘中,大小根据需求,接下来直接点击下一步即可。第一种是绝对路径,第二种是在。当不使用选项和参数,直接使用ls命令本体,表示:以平铺形式,列出当前工作目录下的内容。不同的发行版在Linux的基础部分都是相同的,本教程是以常用的CentOS为例展开。当Linux终端(命令行)打开的时候,会默认以用户的HOME目录作为当前的工作目录。
阿里云镜像:CentOS-7-x86_64-DVD-1810.iso 下载指南
CentOS 7 是该系列的第七个主要版本,发布于2014年,并在后续的几年里进行了多次更新。其中,1810代表的是2018年10月的更新版本。这个版本带来了许多改进和新特性,包括: 1. **Systemd**:CentOS 7 引入了Systemd...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值