firewalld(zone与service)

最新推荐文章于 2022-10-19 18:26:19 发布
最新推荐文章于 2022-10-19 18:26:19 发布
阅读量155 收藏
点赞数
文章标签: 运维 开发工具 数据库
原文链接:http://blog.51cto.com/shuzonglu/2065615
版权

firewalld

打开firewalld

systemctl disable iptables //关闭iptables
systemctl stop iptables //禁止iptables开机启动
systemctl enable firewalld //开启firewalld
systemctl start firewalld //让firewalld开机启动

[root@shu-test ~]# systemctl disable iptables
Removed symlink /etc/systemd/system/basic.target.wants/iptables.service.
[root@shu-test ~]# systemctl stop iptables
[root@shu-test ~]# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
[root@shu-test ~]# systemctl start firewalld
[root@shu-test ~]#

firewalld的9个zone

firewalld默认有9个zone
默认zone为public

drop(丢弃):任何接收的网络数据包都被丢弃,没有回复。仅能有发送出去的网络连接;
block(限制):任何接收的网络连接都会被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited所拒绝;
public(公共):在公共区域内使用,不能相信网络中的其他计算机不会队你造成危害,只接收经过选取的连接;
external(外部):为路由器启用伪装功能的外部网络。只接收经过选取的连接;
dmz(非军事区):用于你的非军事区的电脑,此区域内可以公开访问,可以有限的进入内部网络;只接收经过选取的连接;
work(工作):用于工作区,基本相信网络内的其它计算机;只接收经过选取的连接;
home(家庭):用于家庭网络,基本相信网络内的其他计算机;只接收经过选取的连接;
internal(内部):用于内部网络,基本相信;只接收经过选取的连接;
trusted(信任):可以接受所有的物理链接;

查询

查看所有zone

firewall-cmd --get-zones

[root@shu-test ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@shu-test ~]#

查询默认的zone

firewall-cmd --get-default-zone
[root@shu-test ~]# firewall-cmd --get-default-zone
public
[root@shu-test ~]#

查询指定网卡是在的zone

firewall-cmd --get-zone-of-interface=ens33
查询ens33网卡所在的zone;

[root@shu-test ~]# firewall-cmd --get-zone-of-interface=ens33
work
[root@shu-test ~]#

查询所有网卡所在zone

firewall-cmd --get-active-zones
将所有网卡所在zone分别列出:

[root@shu-test ~]#
[root@shu-test ~]# firewall-cmd --get-active-zones
dmz
  interfaces: ens37
work
  interfaces: ens33
[root@shu-test ~]#

修改与删除

修改默认的zone

firewall-cmd --set-default-zone=work
将默认的zone改为work;

[root@shu-test ~]# firewall-cmd --set-default-zone=work
success
[root@shu-test ~]# firewall-cmd --get-default-zone
work
[root@shu-test ~]#

修改指定网卡所在zone

firewall-cmd --zone=dmz --add-interface=ens37
将网卡ens37是在zone为dmz;ens33不变;

[root@shu-test ~]# firewall-cmd --zone=dmz --add-interface=ens37
The interface is under control of NetworkManager, setting zone to 'dmz'.
success
[root@shu-test ~]# firewall-cmd --get-zone-of-interface=ens37
dmz
[root@shu-test ~]#
[root@shu-test ~]# firewall-cmd --get-zone-of-interface=ens33
work
[root@shu-test ~]#

针对网卡更改zone

firewall-cmd --zone=dmz --change-interface=lo
针对网卡lo更改zone为dmz;

[root@shu-test ~]# firewall-cmd --get-zone-of-interface=lo
no zone
[root@shu-test ~]# firewall-cmd --zone=dmz --change-interface=lo
success
[root@shu-test ~]# firewall-cmd --get-zone-of-interface=lo
dmz
[root@shu-test ~]#

针对网卡删除zone****

firewall-cmd --zone=dmz --remove-interface=lo
针对网卡lo删除掉zone;

[root@shu-test ~]# firewall-cmd --get-zone-of-interface=lo
dmz
[root@shu-test ~]# firewall-cmd --zone=dmz --remove-interface=lo
success
[root@shu-test ~]# firewall-cmd --get-zone-of-interface=lo
no zone
[root@shu-test ~]#

firewalld的service操作

列出当前系统所有的service

firewall-cmd --get-services

[root@shu-test ~]#
[root@shu-test ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp open*** ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
[root@shu-test ~]#

查看当前zone下有哪些service

firewall-cmd --list-services

[root@shu-test ~]# firewall-cmd --list-services
ssh dhcpv6-client
[root@shu-test ~]#

查看指定zone下有哪些service

firewall-cmd --zone=public --list-services
查看public下有哪些service

[root@shu-test ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client
[root@shu-test ~]#

增加service到zone下

(内存中,重启失效)
firewall-cmd --zone=public --add-service=http
将http服务增加到public下;

[root@shu-test ~]# firewall-cmd --zone=public --add-service=http
success
[root@shu-test ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client http
[root@shu-test ~]#

删除zone中指定的service

firewall-cmd --zone=public --remove-service=http
将public中的http服务删除掉;

[root@shu-test ~]# firewall-cmd --zone=public --remove-service=http
success
[root@shu-test ~]# firewall-cmd --zone=public --list-services
ssh dhcpv6-client
[root@shu-test ~]#

永久增加service到zone下

(写入配置文档中)

zone的配置文档在/etc/firewalld/zones/目录下
模板在/usr/lib/firewalld/services/下
firewall-cmd --zone=public --add-service=http --perma
将http服务增加到public下,并写入配置文档中;

[root@shu-test ~]# firewall-cmd --zone=public --add-service=http --permanent
success
[root@shu-test ~]#
[root@shu-test ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="http"/>
</zone>
[root@shu-test ~]#

查询list-services是没有的,必须重启才有效;

小实验:

需求:ftp服务自定义端口1121,需要在work zone下面放行ftp;
思路:
用模板操作、先将ftp服务模板复制到配置模板下,这样firewall就会套用该模板,记得修改好端口为1121;
在work zone下面放行ftp,也就是将ftp服务添加到work中;但是之前不许讲work模板复制到firewall的zone下,
并在配置中添加ftp就ok;

1、复制ftp模板到/etc/firewalld/services/目录下

cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/

[root@shu-test ~]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/
[root@shu-test ~]# ls /etc/firewalld/services/
ftp.xml
[root@shu-test ~]#

2、修改文件、将ftp端口21给为1121;

vim /etc/firewalld/services/ftp.xml
将port=“21”改成port=“1121”

[root@shu-test ~]# vim /etc/firewalld/services/ftp.xml
[root@shu-test ~]# cat /etc/firewalld/services/ftp.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>FTP</short>
  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
  <port protocol="tcp" port="1121"/>
  <module name="nf_conntrack_ftp"/>
</service>
[root@shu-test ~]#

3、将work zone模板文件复制或移动到zone目录下;

cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

[root@shu-test ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/
[root@shu-test ~]#
[root@shu-test ~]# ls /etc/firewalld/zones/
public.xml  public.xml.old  work.xml
[root@shu-test ~]#

4、修改zone配置文件work.xml

vim /etc/firewalld/zones/work.xml
在文档中添加一行 <service name="ftp"/>
表示在work zone中增加ftp服务;

[root@shu-test ~]# vim /etc/firewalld/zones/work.xml
[root@shu-test ~]# cat /etc/firewalld/zones/work.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Work</short>
  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="ftp"/>
</zone>
[root@shu-test ~]#

5、重新加载firewall

firewall-cmd --reload

[root@shu-test ~]# firewall-cmd --reload
success
[root@shu-test ~]#

测试:

验证下work zone里面的service是否有FTP


[root@shu-test ~]# firewall-cmd --zone=work --list-services
ssh dhcpv6-client ftp
[root@shu-test ~]#

转载于:https://blog.51cto.com/shuzonglu/2065615

weixin_34355881
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
firewalldzonefirewalldservice
Linux从入门到弃坑
09-27 758
iptables规则备份和恢复 iptables备份数据到配置文件/etc/sysconfig/iptables,使用如下命令 [root@linux-001 ~]# service iptables save iptables备份规则到另外一个文件,而不是配置文件 在这里插入代码片 ...
firewalldzoneservice
weixin_33744141的博客
12-01 75
2019独角兽企业重金招聘Python工程师标准>>> ...
firewall定义service文件保存位置
meisanggou的博客
03-21 1580
firewall定义的service保存的路径可以为 /usr/lib/firewalld/services /etc/firewalld/services/ 一般系统自带的保存在/usr/lib/firewalld/services,一般是一些公共的,不修改的 自定义的保存在/etc/firewalld/services/ 可以通过 firewall-cmd --get-services 查看...
firewalld防火墙基础
weixin_59629968的博客
09-18 1645
firewalld防火墙区域配置实现对区域流量的规则放通,丢弃,禁止
linux的firewall配置命令
qq_17576885的博客
01-10 2878
firewall介绍 所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问自己的网络
itamae-plugin-resource-firewalld:Itamae资源插件来管理firewalld
05-05
service 'firewalld' do action [ :start , :enable ] end firewalld_zone 'external' do interfaces %w( enp0s8 enp0s9 ) services %w( ssh ) masquerade true notifies :restart , 'service[firewalld]' end ...
Centos8系统ftp安装与设置最终版.docx
07-12
CentOS 8 系统 FTP 服务器安装与设置 FTP(File Transfer Protocol)是一种常用的文件传输协议,用于在网络中传输文件。在 Linux 系统中,FTP 服务器可以通过安装 vsftpd 软件包来实现。在本文中,我们将介绍如何在...
Centos7下无法远程连接mysql数据库的原因与解决
12-16
systemctl restart firewalld.service ``` 2. **使用iptables开启3306端口**(如果需要): 添加以下规则允许TCP流量通过3306端口: ``` /sbin/iptables -I INPUT -p tcp -dport 3306 -j ACCEPT ``` 保存...
postgreSQL pgsql13.5 windows安装与 Linux 安装 及 常见命令 教程
06-13
systemctl restart firewalld.service ``` ### 二、Windows安装PostgreSQL 13.5 由于官方不再提供13.5.1的下载链接,可以从第三方网站如CSDN获取安装包。以下是安装步骤: 1. **下载安装** 双击下载的`...
Linux firewalld 防火墙使用
昭大人的博客
07-22 1260
Linux firewalld 防火墙使用
firewall火墙策略
sarauo的博客
08-20 1280
firewall的基本zone分类drop 丢弃所有进入的包,而不给出任何响应block 拒绝所有外部发起的连接,允许内部发起的连接 public 允许指定的进入连接 external 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接诶 dmz 仅接受ssh服务连接 work 一般用于工作区域,仅接受ssh ipp-client samba-client dh
CentOS 7 firewalld 配置相关教程
IT- 研究者
08-26 685
一、CentOS 7的防火墙 1.1、firewalld 在CentOS 7默认是使用firewalld为防火墙。不过CentOS 7里有几种防火墙共存:firewalld、iptables、ebtables。虽然CentOS 7默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。 1
CentOS 7 firewalld 配置详解 (转)
独乐乐不如众乐乐
03-25 5360
1.在CentOS 7里有几种防火墙共存:firewalld、iptables、ebtables。 默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。 而iptables里默认是每个服务是允许,需要拒绝的才去限制。 firewalld与iptables的关系 firewalld跟iptables比起来至少有两大好处: 1)firewalld可以动态修改
linux7保存防火墙配置,Centos7 firewall防火墙常用配置
weixin_29002961的博客
05-12 1479
一、 Centos7和Centos6 防火墙的区别:使用的工具不一样了。Centos6 使用的是iptables,Centos7 使用的是filewalliptables 用于过滤数据包,属于网络层防火墙。firewall 能够允许哪些服务可用,那些端口可用...属于更高一层的防火墙。二、常用命令:vim /usr/lib/firewalld/services/ssh.xmlvim /usr/...
firewalld服务讲解
Liang_GaRy的博客
10-19 1341
Linxu-firewalld服务讲解
Centos7 禁止ping的几种方式
06-18 2700
Centos7 禁止ping的几种方式 有梦想的程序丶猿关注 2019.02.27 17:53字数 143阅读 903评论 0喜欢 0 临时禁ping 将/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0临时改为1,从而实现禁止...
firewalld防火墙的9个zone的操作及zone下面service的操作
weixin_33913332的博客
05-11 1640
一、 iptables规则备份和恢复 1、service iptables save //把规则保存到 /etc/sysconfig/iptables 里面2、 iptables-save > /tmp/ipt.txt //把iptables规则备份到/tmp/ipt.txt文件中3、恢复iptables备份 iptables-restore < /tmp/ipt.txt ...
centos7版本firewalld防火墙的基本命令配置管理
weixin_34123613的博客
01-12 347
centos7/redhat7已经默认使用firewalld作为防火墙,其使用的方式已经变化,基于iptables的防火墙默认不启用,但是仍可以继续使用注意:centos7/redhat7中有几种防火墙共存:firewalld、iptables、ebtablesd、默认使用的是firewalld作为防火墙,管理工具是firewalld、Centos7的内核版本是3.10una...
日常运维(五):CentOS7 firewalld
宁信1617
10-31 6656
主要内容: iptables规则备份和恢复 firewalld的9个zone firewalld关于zone的操作 firewalld关于service的操作 1.iptables补充——规则备份和恢复 保存和备份iptables规则 service iptables save //会把规则保存到/etc/sysconfig/iptables 把iptables规则备份到
firewalld 允许ssh
最新发布
09-17
sudo firewall-cmd --add-service=ssh --zone=public ``` 7. 永久保存更改以便重新启动后保持设置: ```shell sudo firewall-cmd --runtime-to-permanent ``` 8. 最后,重新加载防火墙以使更改生效: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值