作为Linux服务器用户,您可以选择使用firewalld防火墙允许或限制对某些服务或IP地址的网络访问,该防火墙是CentOS/RHEL 8和大多数基于RHEL的发行版(如Fedora)的本地防自带火墙。
firewalld防火墙使用防火墙cmd命令行实用程序来配置防火墙规则。在执行任何配置之前,我们首先使用systemctl实用程序启用防火墙服务,如下所示:
$ sudo systemctl enable firewalld
启用后,您现在可以通过执行以下命令启动防火墙服务:
$ sudo systemctl start firewalld
您可以通过运行以下命令来验证firewalld的状态:
$ sudo systemctl status firewalld
以下输出确认防火墙服务已启动并正在运行。
使用防火墙配置规则
现在我们已运行防火墙,我们可以直接进行一些配置。Firewalld允许您添加和阻止端口,黑名单以及白名单IP地址,以提供对服务器的访问权限。完成配置后,请务必确保重新加载防火墙以使新规则生效。
1、添加一个TCP / UDP端口
要添加端口,请为HTTPS说端口443,请使用以下语法。请注意,您必须在端口号后指定端口是TCP还是UDP端口:
$ sudo firewall-cmd --remove-port=22/tcp --permanent
同样,要添加UDP端口,请指定UDP选项,如下所示:
$ sudo firewall-cmd --remove-port=53/udp --permanent
该--permanent标识可确保规则即使在重新启动后也仍然存在。
2、阻止TCP / UDP端口
要阻止TCP端口(如端口22),请运行命令。
$ sudo firewall-cmd --remove-port=22/tcp --permanent
同样,阻止UDP端口将遵循相同的语法:
$ sudo firewall-cmd --remove-port=53/udp --permanent
3、允许服务
网络服务在/ etc / services文件中定义。要允许使用https之类的服务,请执行以下命令:
$ sudo firewall-cmd --add-service=https
4、阻止服务
要阻止服务,例如FTP,请执行:
$ sudo firewall-cmd --remove-service=https
5、将IP地址列入白名单
要在防火墙上允许一个IP地址,请执行以下命令:
$ sudo firewall-cmd --permanent --add-source=192.168.2.50
您还可以使用CIDR(无类域间路由)表示法来允许一系列IP或整个子网。例如,要允许255.255.255.0子网中的整个子网,请执行。
$ sudo firewall-cmd --permanent --add-source=192.168.2.0/24
6、删除列入白名单的IP地址
如果要删除防火墙上的白名单IP,请使用--remove-source如下所示的标志:
$ sudo firewall-cmd --permanent --remove-source=192.168.2.50
对于整个子网,运行:
$ sudo firewall-cmd --permanent --remove-source=192.168.2.50/24
7、封锁IP位址
到目前为止,我们已经了解了如何添加和删除端口和服务以及将白名单和IP列入白名单。为了阻止IP地址,为此使用了“ 丰富规则 ”。
例如,要阻止IP 192.168.2.50,请运行以下命令:
$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.50' reject"
要阻止整个子网,请运行:
$ sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.2.0/24' reject"
8、保存防火墙规则
如果您对防火墙规则进行了任何更改,则需要运行以下命令以立即应用更改:
$ sudo firewall-cmd --reload
9、查看防火墙规则
要查看防火墙中的所有规则,请执行以下命令:
$ sudo firewall-cmd --list-all
至此,本指南总结了如何在CentOS / RHEL 8上使用FirewallD允许或限制网络访问。
624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
