Centos 防火墙介绍

已于 2023-05-16 16:47:25 修改
阅读量9.4k 收藏 24
点赞数 3
分类专栏: Linux基础 文章标签: linux 运维 centos
于 2022-04-17 11:09:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42688499/article/details/124226669
版权

        

目录

一、防火墙基本介绍

二、iptables(Centos6)

2.1、介绍

2.2、相关命令

三、firewalld(Centos7)

3.1、介绍

3.1.1、zone分类及相关命令

3.1.2、预定义的服务

3.2、相关命令

3.2.1、服务安装

3.2.2、服务启停命令

3.2.3、firewalld规则添加

3.3、富规则

 

一、防火墙基本介绍

iptables服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,firewalld 服务则是把配置好的防火墙策略交由内核层面的 nftables 包过滤框架来处理。

  1. iptables、firewalld:仅仅是定义防火墙规则的一个工具,写规则使用
  2. netfilter、nftables:实现过滤功能,是真正实现防火墙功能的一个内核模块

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

 

二、iptables(Centos6)

2.1、介绍

iptables 服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类是

  1. ACCEPT(允许流量通过)
  2. REJECT(拒绝流量通过)
  3. LOG(记录日志信息)、
  4. DROP(拒绝流量通过)

 

REJECT 和 DROP 的不同点:

  1. 就 DROP 来说,它是直接将流量丢弃而且不响应;
  2. REJECT 则会在拒绝流量后再回复一条“您的信息已经收到,但是被扔掉了”信息,从而让流量发送方清晰地看到数据被拒绝的响应信息。

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_15,color_FFFFFF,t_70,g_se,x_16

tips:

1、在日常运维工作中,经常会使用 ping 命令来检查对方主机是否在线,而向防火墙的INPUT 规则链中添加一条允许 ICMP 流量进入的策略规则就默认允许了这种 ping 命令检测行为。

2、防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务。

3、配置的防火墙规则保存在以下文件中 /etc/sysconfig/iptables

 

 

2.2、相关命令

iptables中常用的参数

  1. -P 设置默认策略
  2. -F 清空规则链
  3. -L 查看规则链
  4. -A 在规则链的末尾加入新规则
  5. -I num 在规则链的头部加入新规则
  6. -D num 删除某一条规则
  7. -s 匹配来源地址 IP/MASK,加叹号“!”表示除这个 IP 外
  8. -d  匹配目标地址
  9. -i 网卡名称 匹配从这块网卡流入的数据
  10. -o  网卡名称 匹配从这块网卡流出的数据
  11. -p 匹配协议,如 TCP、UDP、ICMP
  12. --dport num    匹配目标端口号
  13. --sport num    匹配来源端口号
  14. -j 指定要进行的处理动作 (一般有 DROP(丢弃)、REJECT(拒绝)、ACCEPT(接受、允许))

 

开启防火墙

# service iptables start

 

关闭防火墙

# service iptables stop

 

查看防火墙状态

# service iptables status

 

设置开启禁用防火墙服务

# chkconfig iptables off

 

设置开机开启防火墙服务

# chkconfig iptables on

 

允许本地回环接口(即运行本机访问本机)

# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT             

 

允许已建立的或相关连的通行

  1. ESTABLISHED:已建立的链接状态
  2. RELATED:该封包为本机发出的封包有关

# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

 

允许所有本机向外的访问

# iptables -A OUTPUT -j ACCEPT        

 

允许访问22端口

# iptables -A INPUT -p tcp --dport 22 -j ACCEPT   

 

允许访问80端口

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT   

 

拒绝所有向内的访问

# iptables -A INPUT -j reject    

 

禁止转发所有数据包

# iptables -A FORWARD -j REJECT    

 

如果想让配置的防火墙策略永久生效,还要执行保存命令:

# service iptables save

 

三、firewalld(Centos7)

3.1、介绍

firewalld(Dynamic Firewall Manager of Linux systems,Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于 GUI(图形用户界面)的两种管理方式。

相较于传统的防火墙管理配置工具,firewalld 支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是 firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。

过滤规则(执行动作):

  1. accept 接受
  2. drop 丢弃
  3. reject 拒绝

 

firewalld 配置文件存放目录: /etc/firewalld

3.1.1、zone分类及相关命令

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

查看所有的zone

# firewall-cmd --list-all-zones

 

查看所有可用zone

# firewall-cmd --get-zones

 

查看默认zone

# firewall-cmd --get-default-zone

 

设置默认zone

# firewall-cmd --set-default-zone=<zone>

 

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

3.1.2、预定义的服务

查看预定义服务列表

# firewall-cmd --get-services

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

 

预定义服务的配置文件查看(在 /usr/lib/firewalld/services 目录下):

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

 

3.2、相关命令

3.2.1、服务安装

安装firewalld 命令

# yum install firewalld

 

安装图形化配置工具(可选)

# yum install firewall-config

直接在命令行输入:# firewall-config 进入图形化配置

 

查看防火墙版本

# firewall-cmd --version

 

 

3.2.2、服务启停命令

打开防火墙服务

# systemctl start firewalld

 

查看防火墙服务状态

# systemctl status firewalld

或者

# firewall-cmd –state

 

关闭防火墙服务

# systemctl stop firewalld

      

设置开机禁用防火墙

# systemctl disable firewalld

 

设置开机启用防火墙

# systemctl enable firewalld

 

检查服务是否正常运行

# systemctl is-active firewalld 

 

检查确认服务是否开机运行

# systemctl is-enabled firewalld 

 

设置开机禁用防火墙

# systemctl disable firewalld

 

设置开机启用防火墙

# systemctl enable firewalld

 

重新加载防火墙规则

# firewall-cmd --reload

 

3.2.3、firewalld规则添加

 

3.2.3.1、添加端口

查看所有打开的端口

# firewall-cmd --zone=public --list-ports

 

添加一个端口

# firewall-cmd --zone=public --add-port=80/tcp --permanent

 

删除一个端口

# firewall-cmd --zone=public --remove-port=80/tcp --permanent

 

查询防火墙有无开放某个端口

# firewall-cmd --query-port=23/tcp

 

tips:

1、-- permanent 持久配置: 修改后需要重载才会生效

注意:一旦使用了permanent,配置完成后一定要reload,否则只能待防火墙重启后这些配置才能生效。

 

 

3.2.3.2、添加服务(协议)

实质还是放行了服务默认的端口号

 

添加一个httpd服务设置

# firewall-cmd --permanent --add-service=http

 

删除一个httpd服务设置

# firewall-cmd --permanent --remove-service=http

 

查询一个httpd服务是否被添加

# firewall-cmd --query-service=http

3.2.3.3、添加IP

添加Postgresql端口设置。允许192.168.142.166访问5432端口

# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.209.134" port protocol="tcp" port="80" accept"

 

移除Postgresql端口访问设置

# firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.209.134" port protocol="tcp" port="80" accept"

 

 

3.3、富规则

watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5Yqq5Yqb5a2m5Lmg56C05aSp6I2S,size_20,color_FFFFFF,t_70,g_se,x_16

添加Postgresql端口设置。允许192.168.142.166访问5432端口

# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.209.134" port protocol="tcp" port="80" accept"

 

移除Postgresql端口访问设置

# firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.209.134" port protocol="tcp" port="80" accept"

 

 

努力学习破天荒
关注
  • 3
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos防火墙配置
qq_27567395的博客
10-13 357
centos防火墙配置,包括防火墙开启、关闭、重启以及开放、关闭端口
centos防火墙
eryou_979的博客
02-09 593
查看防火墙状态 firewall-cmd --state 或 systemctl status firewalld 开启防火墙 systemctl start firewalld 关闭/禁用防火墙 systemctl stop firewalld systemctl disable firewalld
CentOS防火墙用法浅析
01-11
本文实例讲述了CentOS防火墙用法。分享给大家供大家参考,具体如下: 关闭: /etc/init.d/iptables stop 开启: /etc/init.d/iptables start 重启: /etc/init.d/iptables restart 查看: /etc/init.d/iptables status 保存: /etc/init.d/iptables save 打开8080端口: /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 删除 -D 规则将会阻止来自某一特定IP范围内的数据包 # i
CentOS 配置防火墙操作实例(启、停、开、闭端口)
www.v5qq.com的技术博客
12-05 232
CentOS 配置防火墙操作实例(启、停、开、闭端口): 注:防火墙的基本操作命令: 查询防火墙状态: [root@localhost ~]# service iptables status&lt;回车&gt; 停止防火墙: [root@localhost ~]# service iptables stop &lt;回车&gt; 启动防火墙: [root@localh...
CentOS7下操作iptables防火墙和firewalld防火墙
Linux运维老纪的博客
07-27 961
CentOS 7在安全性方面提供了多层次的保护措施,‌包括防火墙管理、‌系统更新、‌用户管理、‌以及通过系统配置增强安全性。‌本章详细介绍Linux安全firewalld和iptables.
CentOS防火墙规则设置
最新发布
weixin_40833770的博客
08-02 26
CentOS系统中,为了保障服务器的安全性和网络访问的灵活性,经常需要配置防火墙规则以允许或拒绝特定的网络流量。当需要允许HTTP代理IP的流量时,可以通过以下步骤进行设置:一、了解防火墙服务CentOS 7及以上版本默认使用firewalld服务来管理防火墙规则。firewalld提供了一个动态管理防火墙的区域(zon...
Centos8防火墙设置
hcd1129的博客
01-19 544
#进程与状态相关 systemctl start firewalld.service #启动防火墙 systemctl stop firewalld.service #停止防火墙 systemctl status firewalld #查看防火墙状态 systemctl enable firewalld #设置防火墙随系统启动 systemctl disable firewalld
Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
AliceNo的博客
03-07 1521
理解和有效地配置防火墙是任何系统管理员的重要任务之一。在Linux系统中,CentOS防火墙(Firewalld)是一个强大的工具,可以帮助保护服务器免受恶意网络活动的侵害。本文将详细介绍CentOS防火墙的基本概念、常用命令以及实例操作,帮助你更好地了解和管理防火墙设置。通过本文的学习,你应该对CentOS防火墙有了更深入的了解,并能够使用Firewalld命令来配置和管理服务器的网络连接。记得根据实际需求和安全策略,及时更新防火墙规则,以确保服务器的安全性和稳定性。
centOS 防火墙
唯一的切慕,唯一的诗歌……
10-23 149
1. 查看已打开的端口 # netstat -anp 2. 查看想开的端口是否已开 # firewall-cmd --query-port=666/tcp 若此提示 FirewallD is not running 表示为不可知的防火墙 需要查看状态并开启防火墙 3. 查看防火墙状态 # systemctl status firewalld running 状态即防火墙已...
linux防火墙设置
chuzao6156的博客
07-08 100
本文转载自:https://blog.csdn.net/z13615480737/article/details/79178458 作者:舰_长 来源:CSDN 原文:https://blog.csdn.net/z13615480737/article/details/79178458...
CentOS 防火墙简介(firewalld)
shang_meng_的博客
02-14 176
firewalld基本使用 == firewalld防火墙是一款典型的包过滤防火墙,也就是网络层防火墙,同时支持ipv6与ipv4地址,通过命令字符firewall-cmd来管理,firewalld默认存在多个区域,帮助我们管理我们的数据流量。== 区域 默认配置说明 trusted 允许所有流量的传入 home 允许与某些预定义服务相关的服务传入,其余拒绝 intern...
centos防火墙内禁止某IP的访问.docx
10-31
centos防火墙内禁止某IP的访问.docx
CentOS防火墙学习教程
04-17
CentOS 防火墙学习教程主要介绍CentOS 7 中的防火墙设置,包括查看防火墙状态、关闭防火墙、查看端口状态、开启端口、删除端口、批量添加或删除端口等操作。 防火墙状态查看:使用 `systemctl status firewalld....
CentOS7 Docker防火墙的简单配置教程
01-10
CentOS7 Docker防火墙的简单配置 禁用 firewalld 服务 systemctl disable firewalld systemctl stop firewalld 安装 iptables 防火墙服务 yum install iptables-services 创建 iptables 配置脚本 cat >> /usr/...
linuxcentos7防火墙基本使用详解
01-10
2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。 启动防火墙: systemctl start firewalld.service 关闭防火墙: systemctl stop firewalld.service 重启防火墙: ...
CentOS 防火墙配置(firewall)
crayon
10-08 9695
9、重新加载(修改防火墙规则后需要执行reload)13、获取所有支持的ICMP类型。14、列出全部启用的区域的特性。2、允许\禁止开机自启动。6、查看指定端口是否开启。11、获取支持的区域列表。12、获取所有支持的服务。2、启动&停止&重启。
CentOS防火墙
Alan Zhuang的博客
03-04 710
 (1)  firewalld介绍 我们都是知道,在CentOS6中使用的默认防火墙是iptables,而在CentOS7之中,防火墙的变化是比较大的,CentOS7中默认使用firewalld来作为防火墙。firewalld有两个好处,第一个就是支持动态更新,不用重启服务。第二个加入了防火墙的“zone”概念firewalld的字符界面管理工具是 firewall-cmd,简单说就是Linux提...
Linux|CentOS】配置防火墙
Jack
05-17 9072
Linux配置防火墙
centos防火墙开启icmp
09-02
要在CentOS防火墙中开启icmp,你可以使用以下命令: 1. 首先,进入到配置文件的目录:`cd /etc/firewalld` 2. 使用文本编辑器打开配置文件:`vi firewalld.conf` 3. 在文件中找到`<icmp-block-in>`和`<icmp-block-out>`这两行,将它们的值改为`yes`,表示允许进入和离开的icmp流量。 4. 保存并退出文件。 5. 重新加载防火墙配置:`firewall-cmd --reload` 这样就开启了CentOS防火墙的icmp。如果你想在防火墙开启icmp之后,再次关闭icmp,可以使用以下命令: 1. 进入到配置文件的目录:`cd /etc/firewalld` 2. 使用文本编辑器打开配置文件:`vi firewalld.conf` 3. 将`<icmp-block-in>`和`<icmp-block-out>`这两行的值改为`no`,表示不允许icmp流量进入和离开。 4. 保存并退出文件。 5. 重新加载防火墙配置:`firewall-cmd --reload` 这样就关闭了CentOS防火墙的icmp。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Centos 防火墙介绍](https://blog.csdn.net/weixin_42688499/article/details/124226669)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值