firewalld防火墙简单理解总结

最新推荐文章于 2023-11-14 15:12:51 发布
最新推荐文章于 2023-11-14 15:12:51 发布
阅读量1k 收藏
点赞数
文章标签: linux
原文链接:http://t.zoukankan.com/huangyanqi-p-9077936.html
版权

前言

防火墙基于源 IP、目标端口和协议来过滤入站包。因为这种方式中,仅有几个 IP/端口/协议的组合与系统交互,而其它的方式做不到过滤。

iptables 将包通过一系列的规则进行检查,如果包与特定的 IP/端口/协议的组合匹配,规则就会被应用到这个包上,以决定包是被通过、拒绝或丢弃。

firewalld和iptables service 之间最本质的不同是:

1、FirewallD 使用区域和服务而不是链式规则。
2、它动态管理规则集,允许更新规则而不破坏现有会话和连接。

iptables在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在
/usr/lib/firewalld/(不建议修改,后续升级会覆盖该区域) 和 /etc/firewalld/ (这些文件将会覆盖默认配置)中的各种XML文件里.


iptables每一个单独更改意味着清除所有旧有的规则并/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规
则;仅仅运行规则中的不同之处。
因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

一、firewalld的设计流程

firewalld 可以通过定义的源 IP 和/或网络接口将入站流量分类到不同区域(zone)。每个区域基于指定的准则按自己配置去通过或拒绝包。

注释:firewalld 通过使用服务名而不是它的端口和协议去指定服务,使它更易于使用,例如,是使用 samba 而不是使用 UDP 端口 137 和 138 和 TCP 端口 139 和 445。它进一步简化语法,消除了 iptables 中对语句顺序的依赖。

二、处理优先级

我们知道每个zone就是一套规则集,但是有那么多zone,对于一个具体的请求来说应该使用哪个zone(哪套规则)来处理呢?这个问题至关重要,如果这点不弄明白其他的都是空中楼阁,即使规则设置的再好,不知道怎样用、在哪里用也不行。

对于一个接受到的请求具体使用哪个zone,firewalld是通过三种方法来判断的:

1、source,也就是源地址 优先级最高

2、interface,接收请求的网卡 优先级第二

3、firewalld.conf中配置的默认zone 优先级最低

这三个的优先级按顺序依次降低,也就是说如果按照source可以找到就不会再按interface去查找,如果前两个都找不到才会使用第三个,也就是学生在前面给大家讲过的在firewalld.conf中配置的默认zone。

三、结构介绍

  1、区域

在 firewalld 中最上层的组织是区域。如果一个包匹配区域相关联的网络接口或源 IP/掩码 ,它就是区域的一部分。可用的几个预定义区域:

[root@firewall ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
注释:默认是这九个区域

任何配置了一个网络接口和/或一个源的区域就是一个活动区域active zone

  firewall-cmd --get-default-zone  找到默认区域

  firewall-cmd --set-default-zone=internal   修改默认区域(修改默认区域为internal)

  firewall-cmd --list-all-zones   列出所有区域配置

列出活动的区域:

[root@firewall ~]# firewall-cmd --get-active-zones
public
  interfaces: ens33 ens34

注释:

Interfaces (接口)是系统中的硬件和虚拟的网络适配器的名字,所有的活动的接口都将被分配到区域,要么是默认的区域,要么是用户指定的一个区域。但是,一个接口不能被分配给多于一个的区域。

在缺省配置中,firewalld 设置所有接口为 public 区域,并且不对任何区域设置源。其结果是,public 区域是唯一的活动区域。

Sources (源)是入站 IP 地址的范围,它也可以被分配到区域。一个源(或重叠的源)不能被分配到多个区域。这样做的结果是产生一个未定义的行为,因为不清楚应该将哪些规则应用于该源。

 因为指定一个源不是必需的,任何包都可以通过接口匹配而归属于一个区域,而不需要通过源匹配来归属一个区域。这表示通过使用优先级方式,优先到达多个指定的源区域,稍后将详细说明这种情况

  2、查看一个区域的配置信息

[root@firewall ~]# firewall-cmd --zone=public --list-all
public (active)      活动的区域
  target: default    默认启动的区域
  icmp-block-inversion: no
  interfaces: ens33 ens34   列出这个区域上关联的接口
  sources:                  列出这个区域的源。现在这里什么都没有,如果这里有内容,它们应该是这样的格式 xxx.xxx.xxx.xxx/xx。
  services: ssh dhcpv6-client       列出允许通过这个防火墙的服务。你可以通过运行 firewall-cmd --get-services 得到一个防火墙预定义服务的详细列表。
  ports: 80/tcp 10050/tcp 10051/tcp 列出允许通过这个防火墙的目标端口。(即 需要对外开放的端口)
  protocols:       协议值可以是一个协议 ID 数字,或者一个协议名
  masquerade: no   表示这个区域是否允许 IP 伪装。如果允许,它将允许 IP 转发,它可以让你的计算机作为一个路由器。
  forward-ports:   列出转发的端口
  source-ports: 
  icmp-blocks:     阻塞的 icmp 流量的黑名单。
  rich rules:      在一个区域中优先处理的高级配置。

四、常用命令

启动服务  systemctl start firewalld
开机自启  systemctl enable firewalld

停止服务  systemctl stop firewalld
禁用服务  systemctl disable firewalld

查看状态:systemctl status firewalld 或者 firewall-cmd --state

查看活动的区域信息   firewall-cmd --get-active-zones
查看指定接口所属区域 firewall-cmd --get-zone-of-interface=eth0

拒绝所有包:# firewall-cmd --panic-on
取消拒绝状态:# firewall-cmd --panic-off
查看是否拒绝:$ firewall-cmd --query-panic

更新防火墙规则:# firewall-cmd --reload

将接口添加到区域,默认接口都在public
# firewall-cmd --zone=public --add-interface=eth0
永久生效再加上 --permanent 然后reload防火墙

设置默认接口区域
# firewall-cmd --set-default-zone=public
立即生效无需重启

打开端口(貌似这个才最常用)
查看所有打开的端口:
# firewall-cmd --zone=dmz --list-ports
允许12345端口的TCP流量
firewall-cmd --zone=public --add-port=12345/tcp --permanent

四、常规配置示例

FirewallD 有两个配置集:“运行时”和“持久”。
运行时:在系统重新启动或重新启动 FirewallD时,不会保留运行时的配置更改;
持久: 持久配置集的更改不会应用于正在运行的系统。(重新加载配置可以生效)

默认情况下,firewall--cmd 命令适用于运行时配置,但使用 --permanent 标志将保存到持久配置中

firewall-cmd --zone=public --add-service=ssh --timeout=5m

说明:该命令的有效期为5分钟(s 秒  m分  h时)

  1、启动或禁止http服务

[root@text01 ~]# firewall-cmd --zone=public --add-service=http --permanent
success
[root@text01 ~]# firewall-cmd --zone=public --remove-service=http --permanent
success

2、只允许指定IP地址访问ssh(端口修改成了20000)

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="116.255.126.42/32" port protocol="tcp" port="50000" accept

firewall-cmd --permanent --remove-service=ssh
firewall-cmd --reload

1、禁止ping主机

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'

2、允许或禁用12345端口的TCP流量

firewall-cmd --zone=public --add-port=12345/tcp --permanent
firewall-cmd --zone=public --remove-port=12345/tcp --permanent

  3、端口转发

   在用一台服务上将80端口的流量转发到12345端口上

[root@text01 ~]# firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=12345
success

  将端口转发到另外一台服务器上:

    在需要的区域激活masquerade

firewall-cmd --zone=public --add-masquerade

    将本地的80端口的流量转发到IP地址为:10.0.0.90的远程服务器上的8080端口上

firewall-cmd --zone="public" --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.0.0.90

    4、删除规则,用--remove替换--add

firewall-cmd --zone=public --remove-masquerade

五、高级配置示例

服务和端口适用于基本配置,但对于高级情景可能会限制较多。 丰富Rich规则和直接Direct接口允许你为任何端口、协议、地址和操作向任何区域 添加完全自定义的防火墙规则。

可以使用 nam firewalld.richlanguage

使用 --add-rich-rule--list-rich-rules 、 --remove-rich-rule 和 firewall-cmd 命令来管理它们。

常见例子:

  1、允许来自主机 192.168.0.14 的所有 IPv4 流量

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address=192.168.0.14 accept'

  2、拒绝来自主机 192.168.1.14 到 22 端口的 IPv4 的 TCP 流量。

 firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.14" port port=22 protocol=tcp reject'

  3、允许来自主机 10.1.0.3 到 80 端口的 IPv4 的 TCP 流量,并将流量转发到 6532 端口上。 

firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source address=10.1.0.3 forward-port port=80 protocol=tcp to-port=6532'

   4、将主机 172.31.4.2 上 80 端口的 IPv4 流量转发到 8080 端口(需要在区域上激活 masquerade)。

firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 forward-port port=80 protocol=tcp to-port=8080 to-addr=172.31.4.2'

   5、列出你目前的丰富规则:

firewall-cmd --list-rich-rules

         6、指定一个固定IP访问指定端口

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="16.25.12.2" port protocol="tcp" port="21" accept"

六、iptables的直接接口

FirewallD 提供了一个直接Direct接口,允许你给它传递原始 iptables 命令。 直接接口规则不是持久的,除非使用 --permanent

要查看添加到 FirewallD 的所有自定义链或规则:

firewall-cmd --direct --get-all-chains
firewall-cmd --direct --get-all-rules

 七、开放一定范围的端口

Firewall开启常见端口命令:
firewall-cmd --zone=public --add-port=80/tcp --permanent

Firewall关闭常见端口命令:
firewall-cmd --zone=public --remove-port=80/tcp --permanent

批量添加区间端口
firewall-cmd --zone=public --add-port=4400-4600/udp --permanent

重启防火墙命令:
firewall-cmd --reload  或者   service firewalld restart

查看端口列表:
firewall-cmd --permanent --list-port

对指定IP地址开放一定范围的端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="16.25.12.2" port protocol="tcp" port="10000-20000" accept"
weixin_44256848
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Linux 清理 firewalld 和 iptables 所有规则
小康子的博客
08-23 6922
清理重置 Linux firewalld 及 iptables 防火墙规则。
Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 4790
1、与iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
linux服务篇-Firewalld服务
太极淘的博客
05-18 3783
所谓“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中。 防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 防火墙是在两个网络通讯时执行的一种访问控制尺度,能最大限度阻止网络中的黑客访问自己的网络。是指设置在不同网
Firewalld防火墙访问设置(二)
BBQwu1wukao的博客
05-12 884
Firewalld防火墙访问设置二一、firewalld高级配置1、IP地址地址伪装2、端口转发3、富语言规则二、配置防火墙1、富语言规则使用2、配置IP地址伪装3、配置端口转发 一、firewalld高级配置 1、IP地址地址伪装 1)IP地址伪装的作用 将多个私网IP地址映射到一个公网IP地址访问互联网 2)IP地址伪装特点 节约公网IP地址 隐藏内部网络 增强网络安全性 只能配置IPv4协议 2、端口转发 1)端口转发的作用 将一个IP地址和端口号映射到另一个IP地址和端口上上 2)
linux centos7 防火墙命令实操
不知道起什么名字
09-25 252
一、系统环境 Centos7 二、安装 $ yum install -y firewalld 三、 基本启动命令 $ systemctl status firewalld # 查看状态 $ systemctl start firewalld # 启动 $ systemctl stop f...
firewalld防火墙实操
09-19
firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linuxFirewalld防火墙
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
CentOS7下操作iptables防火墙firewalld防火墙
houzhizhen的专栏
03-21 949
查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0。查看所有打开的端口: firewall-cmd --zone=public --list-ports。查看区域信息: firewall-cmd --get-active-zones。查看是否拒绝: firewall-cmd --query-panic。取消拒绝状态: firewall-cmd --panic-off。拒绝所有包:firewall-cmd --panic-on。
阿里云服务器cnetos7常用命令
qiuboshi_的博客
11-24 311
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 2.配置firewalld-cmd 查看版本: firewall-cmd --version 查看帮助: firewall-cmd --help 显示状态: firewall-cmd --state 查看所有打开
CentOS7使用firewalld打开关闭防火墙与端口
wholve的博客
05-03 604
1、firewalld的基本使用启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体
centos7防火墙关闭以及清除防火墙规则
最新发布
qq_36781937的博客
11-14 758
【代码】centos7防火墙关闭以及清除防火墙规则。
firewalld 添加删除策略
alliswell95的博客
05-29 6111
添加: sudo firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="0.0.0.0/24" port protocol="tcp" port="10050" accept" 加载: firewall-cmd --reload 删除: sudo firewall...
CentOS 7中firewalld防火墙)服务中的zones详解
Jack_LEGION的专栏
04-09 5490
在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。 firewall还引入了防火墙的“zone”概念,即事先准备好的若干套防火墙策略模板,一般默认使用公共(public)区域。 首先,将所有网络流量分为多个区域(zone),然后,根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域, 同时,每个区域都定义了自己打开或者关闭的端口和服务列表。 [root@centos7 ~]# firewall-cmd --g.
firewalld防火墙配置
热门推荐
qq_40907977的博客
04-28 1万+
参考链接 : https://www.jianshu.com/p/ec18f9faaa69
firewalld:禁ping设置
刘元林的博客
01-12 9156
目录 1、rich rule禁ping 2、通过icmp-block-inversion实现禁ping 3、通过icmp-block实现禁ping Firewalld禁ping配置,可以通过多种方式实现,这里介绍三种方法: 1、rich rule禁ping 通过rich rule实现禁ping,是我们最容易想到,且效果也符合要求的方案。但是,如果在此基础上还需要配置白名单,允许某些源地址可以Ping通该服务器,将无法实现! rich rule会完全封堵icmp包,不再允许白名单设置:..
如何禁用自动 L2TP/IPSec 策略
风之羽
04-17 2333
1、启动注册表编辑器 (Regedt32.exe)。 2、找到并单击下面的注册表项: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 3、在编辑菜单上,单击添加数值。 4、在值名称框中键入 prohibitipsec,在数据类型框中单击 REG_DWORD,然后单击
firewalld防火墙
Pyy0928的博客
02-02 181
文章目录一、Firewalld概述二、firewalld与iptables 的区别三、firewalld区域的概念1、firewalld防火墙9个区域四、firewalld数据处理流程五、firewalld检查数据包的源地址规则六、firewalld防火墙的配置方法1.常用的firewall-cmd 命令选项七、区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应的网卡接口(4)设置默认区域八、服务管理(1)查看默认区域内允许访问的所有服务(2)添加http
firewalld防火墙命令
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start firewalld ``` 2. 停止 firewalld 服务: ``` sudo systemctl stop firewalld ``` 3. 设置 firewalld 为开机...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值