linux firewalld二

最新推荐文章于 2024-05-10 11:38:49 发布
最新推荐文章于 2024-05-10 11:38:49 发布
阅读量245 收藏
点赞数
分类专栏: linux基础学习 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41708548/article/details/105024490
版权

目录

firewalld的开启

systemctl stop iptables 
systemctl disable iptables
systemctl mask iptables 
systemctl unmask firewalld
systemctl enable --now firewalld

为什么要使用mask呢?iptables可能是其他服务的依赖性,如果其他服务需要开启iptables时,iptables也会开启。
在这里插入图片描述
补充: 在rehl7中可以使用图形化工具firewall-config进行配置,而rehl8中没有这个工具,它把这个工具集成到了cockpit中,但是在cockpit中只能进行简单的设置。
在这里插入图片描述
在rehl8中安装cockpit
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

firewalld的域

在这里插入图片描述
trusted:接受所有的网络连接
home:用于家庭网络,允许接受ssh、mdns、ipp-client samba-client、dhcp-client
work:工作网络 ssh、ipp-client、dhcp-client
public:公共网络 ssh、dhcp-client
dmz:军级网络 ssh
block:拒绝所有
drop:丢弃,所有数据全部丢弃无任何回复
internal:内部网络 ssh、mdns、ipp-client、samba-client dhcp-client
external:ipv4网络地址伪装转发 sshd
这里注意:libvirt是安装完虚拟化才有的
实验步骤:
(1)查看虚拟机1(192.168.9.100)的默认域
默认域为public,public支持ping。
在这里插入图片描述
在这里插入图片描述
(2)在虚拟机3(172.25.254.101)中ping虚拟机1
发现可以ping通
在这里插入图片描述
(3)更改虚拟机1的默认域为block
在这里插入图片描述
(4)在虚拟机3中ping虚拟机1
发现失败
在这里插入图片描述
(5)更改虚拟机1的默认域为drop
在这里插入图片描述
(6)在虚拟机2中查看效果
在这里插入图片描述

firewalld的设定原理及数据存储

/etc/firewalld:火墙配置目录
/lib/firewalld:火墙模块目录
知识点:
1.查看/etc/firewalld/firewalld.conf文件
注意我们之前使用set-default-zone的方式,其实是修改了/etc/fiewalld/firewalld.conf主配置文件。
在这里插入图片描述
在这里插入图片描述
2.深入理解以下命令
firewall-cmd --add-service=http
firewall-cmd --permanent --add-service=http
firewall-cmd --reload
(1)我们使用firewall-cmd --add-service=http命令
发现更改之后立即生效,但重启服务后又没有http了,这是因为这个命令只是更改缓存信息。
在这里插入图片描述
在这里插入图片描述
(2)如果要永久更改,需要修改/etc/firewalld/ zones .p ublic .xml文件中的信息,这个过程就是firewall-cmd --permanent --add-service=http命令的含义。
在这里插入图片描述
在这里插入图片描述
我们使用firewall-cmd --permanent --add-service=http之后查看效果
在这里插入图片描述
(3)firewall-cmd --reload命令就是将刚才修改好的/etc/firewalld/zones/public.xml文件重新加载
在这里插入图片描述
3.如何将自己写的服务加上去呢?
(1)要注意不能直接添加,必须新建服务的.xml文件(xml将数据封装成一个文件)
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
(2)修改/etc/firewalld/zones/public.xml文件
在这里插入图片描述
(3)重载firewall
发现服务成功添加
在这里插入图片描述

firewalld的管理命令

firewall-cmd --state								#查看火墙状态
firewall-cmd --get-active-zones 					#查看当前防火墙中生效的域
firewall-cmd --get-default-zone						#查看默认域
firewall-cmd --list-all								#查看默认域中的防火墙策略
firewall-cmd --list-all --zone=work					#查看指定域的防火墙策略
firewall-cmd --set-default-zone=trusted				#设定默认域
firewall-cmd --get-services							#查看所有可以设定的服务
firewall-cmd --permanent --remove-service=cockpit	#移除服务
firewall-cmd --reload 
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block#指定数据来源访问指定域
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block#删除指定域中的数据来源
firewall-cmd --permanent --remove-interface=ens224 --zone=public#删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block#添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public#更改网络接口到指定域

命令展示:
(1)state、get-active-zones、get-default-zone、list-all、list-all --zone、set-default-zone
在这里插入图片描述
在这里插入图片描述
(2)get-services、remove-service、reload在这里插入图片描述
在这里插入图片描述
(3)add-source、remove-source
设定之前虚拟机3(172.25.254.101)可以ping通虚拟机1
在这里插入图片描述
设定虚拟机1
在这里插入图片描述
发现虚拟机3不能ping通虚拟机1
在这里插入图片描述
而虚拟机2(192.168.9.101)仍可以正常ping虚拟机1
在这里插入图片描述
现在删除指定域的数据来源
在这里插入图片描述
(4)remove-interface、add-interface、change-interface
在这里插入图片描述
在这里插入图片描述
发现在虚拟机2中可以正常ping通虚拟机1
在这里插入图片描述
在虚拟机3中无法ping通虚拟机1的172网段,因此也无法ping通虚拟机1的192网段。
在这里插入图片描述
现在将ens224移回去
在这里插入图片描述
补充: systemctl reload firewalld和firewall-cmd --reload的区别,第一个命令使用后会生成一个kill的进程,而第二个命令是firewall的内部命令,不会生成kill的进程,响应速度更快,但这两个命令的作用是一样的。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

firewalld的高级规则

firewall-cmd --direct --get-all-rules	#查看高级规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.0/24 -p tcp --dport 22 -j ACCEPT

实验步骤:
(1)设置之前,发现虚拟机2(192网段)可以ssh连接虚拟机1
在这里插入图片描述
(2)在虚拟机1中设置规则
注意链INPUT后必须加数字
在这里插入图片描述
(3)测试
发现虚拟机2不能ssh连接虚拟机1,而虚拟机3可以正常连接。
在这里插入图片描述
在这里插入图片描述

firewalld中的NAT

SNAT
firewall-cmd --permanent --add-masquerade
firewall-cmd --reload 
DNAT
firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toaddr=172.25.254.101
firewall-cmd --reload

实验步骤:
1.SNAT
(1)在开启masquerade之前,在虚拟机2中ping虚拟机1(172网段)无法ping通,ping虚拟机1(192网段)可以ping通。
在这里插入图片描述
在这里插入图片描述
(2)在虚拟机1中添加masquerade之后
在这里插入图片描述
(3)在虚拟机2中测试
发现在虚拟机2中可以ping通虚拟机1的172网段和192网段
在这里插入图片描述
2.DNAT
当访问我的22端口时,转发至172.25.254.101。
(1)在设置DNAT之前,在虚拟机2中连接虚拟机1,会真的连接上虚拟机1。
在这里插入图片描述
(2)在虚拟机1中设置DNAT之后
在这里插入图片描述
(3)在虚拟机2中测试
在虚拟机2中连接虚拟机1,发现实际连接上的是虚拟机3。
在这里插入图片描述
🌱

L*YUEYUE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux--基础知识点--15--firewalld
Chasing__Dreams的博客
12-05 131
1、查看firewall防火墙状态 firewall-cmd --state 或者 systemctl status firewalld 2:打开防火墙 systemctl start firewalld 3、关闭防火墙 systemctl stop firewalld 4、重启防火墙 firewall-cmd --relaod 或者 systemctl reload firewalld 5、开机自启动防火墙 systemctl enable firewalld 6、禁止开机启动防火墙 s
Centos7 防火墙 firewalld 实用操作
weixin_34161032的博客
10-18 416
一.前言 Centos7以上的发行版都试自带了firewalld防火墙的,firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域...
Linux中的火墙策略优化(iptables,firewalld)_firewalld使用drop策略(3)
最新发布
m0_61369523的博客
05-10 1011
nat表中的dnat snatsnatdnat。
【企业级Firewalld防火墙】【企业级防火墙配置】【fierwalld 操作案例】
mingqing的博客
10-05 1467
文章目录企业级Firewalld防火墙**1、区域:**命令详解**firewalld配置使用**更改默认区域向public区域添加服务企业级防火墙配置iptables -Ffierwalld 操作案例 企业级Firewalld防火墙 rhel 7:firewall-cmd工具,firewalld服务 1、区域: firewalld将网卡对应到不同的区域(zone),通过不同的zone定义了不同的安全等级 命令详解** firewalld配置使用** 查看默认区域: 更改默认区域 向public区域
firewalld的基础操作命令
weixin_54594148的博客
08-31 1594
firewalld防火墙
Centos7的Firewalld防火墙基础命令详解
wxqcom007的博客
06-13 3227
为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld的每个预定义的区域都设置了默认打开的服务。在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式;
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
详述LinuxFirewalld高级配置的使用
09-14
主要介绍了详述LinuxFirewalld高级配置的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
2024年Linux最全Linux下so动态库查看与运行时搜索路径的设置(1),2024年最新这里有份超全Linux运维体系化进阶学习图谱
ccc6553584的博客
05-03 867
/ 注:这里-ladd不能在main.cpp之前,否则连接器在链接main.o时找不到libadd.so。// libadd.so 在main.cpp 后,否则报链接错误。
Centos7 防火墙 firewalld drop 使用,2024年最新阿里架构师经验分享
2401_84240742的博客
04-13 582
vip1024b (备注软件测试)**[外链图片转存中…(img-8jt8HDme-1712956708845)]
Linux 防火墙(详解 firewalld
weixin_55609833的博客
05-26 3030
Linux 防火墙(详解 firewalldfirewalld概述firewalld和iptables的关系firewalld与iptables 的区别:firewalld区域的概念firewalld防火墙预定义了9个区域firewalld网路区域区域介绍 firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的
CentOS7使用firewalld打开关闭防火墙与端口 ,操作防火墙,开启一个端口
yubin1285570923的博客
10-23 383
CentOS7使用firewalld打开关闭防火墙与端口 1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 :systemct...
iptables防火墙规则的添加、删除、修改、保存
smh821025的专栏
02-26 1927
摘要 本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则、添加iptables规则、修改规则、删除规则等。 一、查看规则集     iptables --list -n // 加一个-n以数字形式显示IP和端口,看起来更舒服 、配置默认规则     iptables -P INPUT DROP  /
firewalld防火墙 禁止/限制 特定用户的IP访问,drop和reject区别
weixin_34367257的博客
03-27 8729
1.drop禁止特定ip连接ssh/22服务firewall-cmd--permanent--zone=public--add-rich-rule="rulefamily=ipv4sourceaddress='x.x.x.x/24'servicename='ssh'drop" firewall-cmd--reload ##重新加载防火墙配置,不然f...
firewalld防火墙详解
weixin_33749131的博客
07-06 639
众所周知,在RHEL7系统中,firewalld防火墙取代了iptables防火墙。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防...
firewalld的配置
period000的博客
06-08 4533
一、防火墙 1.概述 动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.域 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务 internal(...
linuxfirewalld
08-24
Linux firewalld 是一个用于管理网络防火墙的工具。它是为了替代之前的 iptables 服务而开发的,并且提供了一个更简单和易于使用的命令行接口。Firewalld 允许用户定义网络规则,以控制进出系统的网络流量。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值