Linux——firewall防火墙

最新推荐文章于 2024-09-07 22:31:22 发布
最新推荐文章于 2024-09-07 22:31:22 发布
阅读量311 收藏 4
点赞数 3
分类专栏: Linux系列 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45191791/article/details/106568839
版权

Firewalld

  • Centos 7系统中集成了多款防火墙管理工具,其中firewalld(DynamicFirewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
  • 相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。例如,我们有一台笔记本电脑,每天都要在办公室、咖啡厅和家里使用。按常理来讲,这三者的安全性按照由高到低的顺序来排列,应该是家庭、公司办公室、咖啡厅。当前,我们希望为这台笔记本电脑指定如下防火墙策略规则:在家中允许访问所有服务;在办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。在以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后只需轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率

区域默认规则策略

  • drop:丢弃所有进入的包,而不给出任何回应
  • block:拒绝所有外部发起的链接,允许内部发起的链接
  • public:允许指定的进入链接
  • external:通public,处理伪装的进入链接,一般用于路由转发
  • dmz:允许受限制的进入链接
  • work:允许受信任的计算机被限制的进入链接
  • home:同work,如果流量和ssh,dhcpv6-client等服务相关,则允许
  • internal:同work,范围针对所有互联网用户
  • trusted:信任所有链接
  • 不同的区域之间的差异是其对待数据包的默认行为不同,firewalld的默认区域为public

Firewalld的基础操作

启动

[root@localhost ~]# systemctl start firewalld.service

查看状态

[root@localhost ~]# systemctl status firewalld.service 
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2020-06-05 13:47:02 CST; 17s ago
     Docs: man:firewalld(1)
 Main PID: 2388 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─2388 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Jun 05 13:47:02 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Jun 05 13:47:02 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.


[root@localhost ~]# firewall-cmd --state 
running

停止

[root@localhost ~]# systemctl disable firewalld.service 
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.

禁用

[root@localhost ~]# systemctl stop firewalld.service

开放或限制端口

1、开放端口

(1)开放80给所有客户机

[root@localhost ~]# firewall-cmd  --add-port=80/tcp --permanent 
success

–permanent: 永久生效

(2)重新载入一下防火墙设置,使设置生效

[root@localhost ~]# firewall-cmd  --reload 
success

(3)查看是否生效

[root@localhost ~]# firewall-cmd  --query-port=80/tcp
yes

(4)查看当前系统打开的所有端口

[root@localhost ~]# firewall-cmd  --list-ports 
80/tcp

2.限制端口

(1)关掉刚刚打开的80端口

[root@localhost ~]# firewall-cmd --remove-port=80/tcp --permanent 
success

(2)重新载入一下防火墙设置,使设置生效

[root@localhost ~]# firewall-cmd  --reload 
success

(3)查看系统所有开放的端口,会发现刚刚开放的80端口已经没了

[root@localhost ~]# firewall-cmd  --list-ports

3.批量开放或限制端口

(1)批量开放端口,开放从100到200这之间的端口

[root@localhost ~]# firewall-cmd  --add-port=100-200/tcp --permanent 
success

(2)重新载入一下防火墙设置,使设置生效

[root@localhost ~]# firewall-cmd  --reload 
success

(3)查看系统所有开放的端口

[root@localhost ~]# firewall-cmd  --list-ports 
100-200/tcp

(4)限制

[root@localhost ~]# firewall-cmd  --remove-port=100-200/tcp --permanent 
success
[root@localhost ~]# firewall-cmd  --reload 
success
[root@localhost ~]# firewall-cmd  --list-ports

开放或限制IP

1.限制IP

(1)限制IP为192.168.1.10的地址禁止访问80端口

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.10" port protocol="tcp" port="80" reject"
success
[root@localhost ~]# firewall-cmd --reload 
success

reject : 拒绝

(2)查看设置的规则

[root@localhost ~]# firewall-cmd  --list-rich-rules 
rule family="ipv4" source address="192.168.1.10" port port="80" protocol="tcp" reject


[root@localhost ~]# firewall-cmd  --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client ssh
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  sourceports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="192.168.1.10" port port="80" protocol="tcp" reject

如设置未生效,可尝试直接编辑规则文件,删掉原来的设置规则,重新载入一下防火墙即可

[root@localhost ~]# vim /etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
    <source address="192.168.1.10"/>
    <port protocol="tcp" port="80"/>
    <reject/>
  </rule>
</zone>

2.解除IP地址限制

解除刚才被限制的IP

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.10" port protocol="tcp" port="80" accept"
success
[root@localhost ~]# firewall-cmd --reload 
success
[root@localhost ~]# firewall-cmd --list-rich-rules 
rule family="ipv4" source address="192.168.1.10" port port="80" protocol="tcp" accept

accept:允许

3.限制IP地址段

(1)如我们需要限制10.0.0.0-10.0.0.255这一整个段的IP,禁止他们访问80端口

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
success
[root@localhost ~]# firewall-cmd  --reload 
success
[root@localhost ~]# firewall-cmd  --list-rich-rules 
rule family="ipv4" source address="10.0.0.0/24" port port="80" protocol="tcp" reject

(2)接触限制同上一样

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
success
[root@localhost ~]# firewall-cmd  --reload 
success

删除设置的规则

[root@localhost ~]# firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port port="80" protocol="tcp" reject "
success
[root@localhost ~]# firewall-cmd  --reload 
success
[root@localhost ~]# firewall-cmd  --list-rich-rules

–remove:删除

有趣的灵魂!
关注
专栏目录
Linux——Firewall防火墙firewalld与iptables两种管理方式)_firewalld 旁路由 透明代理
2401_83620959的博客
05-05 1075
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux——Firewall防火墙
AmourHaiti的博客
08-19 269
服务设定:get-service 火墙的运行机制: 服务开启数据: 设置火墙允许服务:添加服务,用文件添加 火墙策略保存方式: –permanate参数就是添加在文件的协议 reload 管理当前火墙的状态,但是不会断掉原本连接的客户端的的链接 complete-reload管理当前火墙的状态,并且会断掉所有客户端的远程连接或连接该主机。 ##http让某主机不能访问 这些表是一个插件; nat...
LinuxFirewalld防火墙
weixin_44938203的博客
01-05 460
Firewalld防火墙 文章目录Firewalld防火墙Firewalld概述Firewalld 和 iptables 的关系Firewalld网络区域firewalld数据处理流程Firewalld防火墙的配置方法firewall-config图像工具Firewalld防火墙案例区域管理服务管理 Firewalld概述 Firewalld firewalld防火墙是centdos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和ip
linux系统防火墙firewall
dghfttgv的博客
11-23 2105
一.“防火墙”的概述 1、什么是“防火墙防火墙技术是通过有机结合各类用于==安全管理与筛选==的软件和硬件设备,帮助计算机网络与其==内、外网之间==构建一道相对隔绝的==保护屏障==,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术...
Linux运维--Firewall防火墙命令以及规则等详解(全)
lza20001103的博客
09-02 2791
Linux运维--Firewall防火墙命令以及规则等详解(全)
linux防火墙firewalld和iptables)_firewalld 和
2401_86358891的博客
09-07 1192
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务firewalld包提供。
linuxfirewall 防火墙的操作
zl_momomo的博客
11-20 540
firewall 防火墙的操作 centos7 使用systemctrl命令操作服务 #启动firewall 服务 systemctl start firewalld #关闭 systemctl stop firewalld #查看状态、 systemctl status firewalld #开机禁用 systemctl disable firewalld #开机启用 systemc...
Linux——firewalld防火墙基础(防火墙的配置方法、firewall-cmd命令行工具)
CN_PanHao的博客
07-29 1163
文章目录前言Firewalld概述Firewalld和iptables的关系netfilterFirewalld、iptablesnetfilter和Firewalld,iptables关系Firewalld和iptables的区别Firewalld网络区域Firewalld防火墙的配置方法Firewall-config图形工具“区域”选项卡“服务”选项卡Firewalld防火墙案例 前言 Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙
Linux——iptables防火墙
nwp0611的博客
06-01 1484
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个net filter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
Linux防火墙——firewalld防火墙
橘子的博客
05-13 218
每日分享: 必须从过去的错误学习教训而非依赖过去的成功。 文章目录一、firewalld介绍二、firewalld与iptables的区别三、firewalld区域1、概念2、firewalld防火墙9个区域3、firewalld网络区域3.1、区域介绍3.2、firewalld数据处理流程四、firewalld防火墙的配置方法1、查看现有firewall设置2、常用的firewall-cmd 命令选项五、区域管理1、显示当前系统的默认区域2、显示默认区域的所有规则3、显示当前正在使用的区域及其对应的网
12.16firewalld防火墙iptables防火墙
weixin_46837396的博客
04-05 389
一、防火墙基本概述 二、防火墙区域管理 三、防火墙基本指令参数 1.firewall-cmd命令分类列表 四、防火墙区域配置策略 1.禁用与取消禁用防火墙 2.操作防火墙 3.firewalld常用命令 1)查看默认使用的区域 2)查看默认区域的规则 3)查看指定区域的默认规则 4)查看区域是否允许某服务 五、防火墙配置 1.firewalld放行服务 1)firewalld放行一个服务 2)firewalld放行多个服务 3)自己添加服务,配置规则 2.firewalld放行端口 1)firewalld放
linux防火墙firewalld)简单使用
随便写写
10-08 1880
firewalld Linux下有几种方式对网卡上的流量进行过滤,一种是firewalld,一种是iptablesfirewalld是防火墙,可以设置可信任的网络链接可网卡,支持IPv4和IPv6,支持动态的添加规则。 iptables不仅仅可以当作防火墙使用,它可以对流量设置各种各样的规则,比如端口转发、开放端口等,比firewalld更为强大。 下面就简单记录下firewalld的使用方式。 1. 开启服务 firewalld一般是Linux下的自带服务,可以通过systemctl启动。 首先查
linux防火墙管理(1)--firewall
qq_34373016的博客
12-05 749
Firewall防火墙相关概念          所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使internet与intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问
Linux Firewalld防火墙——图形界面及字符管理介绍
Ora_G的博客
07-29 4876
Firewalld防火墙 防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙工具。 支持IPv4、IPv6防火墙设置及以太网桥 拥有两种配置模式 1、运行时配置 实时生效,
Linux的火墙:firewalliptables
dddxxy的博客
06-05 3654
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所...
Centos7 Linux 设置进入GUI界面或者纯命令行模式
热门推荐
天上掉下两毛钱
01-23 1万+
关闭图形界面的显示是为了进一步减少计算机性能的消耗。 检查当前默认设置: [root@centos01 ~]# systemctl get-default graphical.targe graphical.target表示开机将默认进入图形界面 切换方法: 1. 设置为命令模式   systemctl set-default multi-user.target 2. 设置为图...
linux设置firewall防火墙
sumengnan的博客
10-09 4821
启动防火墙:systemctl start firewalld 关闭防火墙:systemctl stop firewalld 查看防火墙状态:systemctl status firewalld 使用firewall-cmd命令管理防火墙 查看防火墙状态:firewall-cmd --state 查看所有打开的端口:firewall-cmd--zone=public--list-ports 查看区域信息: firewall-cmd --get-active-zones 添加规则:firew...
CentOS7.5 Active: failed (Result: timeout) Failed to start firewalld - dynamic firewall daemon.
小丽
10-11 1904
[root@hadoop10 ~]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled) Active: failed (Result: timeout) since 日 2020-10-11 0...
kail安装firewall防火墙
最新发布
11-06
Kali Linux 是一款针对网络安全的Linux发行版,其包含了许多用于渗透测试、网络取证等工具。如果你想在 Kali 上安装Firewalld 防火墙,这是一个动态包管理器,以下是简要步骤: 1. **更新系统**: ``` sudo apt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值