Linux——firewall防火墙

最新推荐文章于 2021-10-08 14:38:25 发布
最新推荐文章于 2021-10-08 14:38:25 发布
阅读量284 收藏 4
点赞数 3
分类专栏: Linux系列 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45191791/article/details/106568839
版权

Firewalld

  • Centos 7系统中集成了多款防火墙管理工具,其中firewalld(DynamicFirewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。
  • 相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。例如,我们有一台笔记本电脑,每天都要在办公室、咖啡厅和家里使用。按常理来讲,这三者的安全性按照由高到低的顺序来排列,应该是家庭、公司办公室、咖啡厅。当前,我们希望为这台笔记本电脑指定如下防火墙策略规则:在家中允许访问所有服务;在办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。在以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后只需轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率

区域默认规则策略

  • drop:丢弃所有进入的包,而不给出任何回应
  • block:拒绝所有外部发起的链接,允许内部发起的链接
  • public:允许指定的进入链接
  • external:通public,处理伪装的进入链接,一般用于路由转发
  • dmz:允许受限制的进入链接
  • work:允许受信任的计算机被限制的进入链接
  • home:同work,如果流量和ssh,dhcpv6-client等服务相关,则允许
  • internal:同work,范围针对所有互联网用户
  • trusted:信任所有链接
  • 不同的区域之间的差异是其对待数据包的默认行为不同,firewalld的默认区域为public

Firewalld的基础操作

启动

[root@localhost ~]# systemctl start firewalld.service

查看状态

[root@localhost ~]# systemctl status firewalld.service 
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2020-06-05 13:47:02 CST; 17s ago
     Docs: man:firewalld(1)
 Main PID: 2388 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─2388 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

Jun 05 13:47:02 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon...
Jun 05 13:47:02 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon.


[root@localhost ~]# firewall-cmd --state 
running

停止

[root@localhost ~]# systemctl disable firewalld.service 
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.

禁用

[root@localhost ~]# systemctl stop firewalld.service

开放或限制端口

1、开放端口

(1)开放80给所有客户机

[root@localhost ~]# firewall-cmd  --add-port=80/tcp --permanent 
success

–permanent: 永久生效

(2)重新载入一下防火墙设置,使设置生效

[root@localhost ~]# firewall-cmd  --reload 
success

(3)查看是否生效

[root@localhost ~]# firewall-cmd  --query-port=80/tcp
yes

(4)查看当前系统打开的所有端口

[root@localhost ~]# firewall-cmd  --list-ports 
80/tcp

2.限制端口

(1)关掉刚刚打开的80端口

[root@localhost ~]# firewall-cmd --remove-port=80/tcp --permanent 
success

(2)重新载入一下防火墙设置,使设置生效

[root@localhost ~]# firewall-cmd  --reload 
success

(3)查看系统所有开放的端口,会发现刚刚开放的80端口已经没了

[root@localhost ~]# firewall-cmd  --list-ports

3.批量开放或限制端口

(1)批量开放端口,开放从100到200这之间的端口

[root@localhost ~]# firewall-cmd  --add-port=100-200/tcp --permanent 
success

(2)重新载入一下防火墙设置,使设置生效

[root@localhost ~]# firewall-cmd  --reload 
success

(3)查看系统所有开放的端口

[root@localhost ~]# firewall-cmd  --list-ports 
100-200/tcp

(4)限制

[root@localhost ~]# firewall-cmd  --remove-port=100-200/tcp --permanent 
success
[root@localhost ~]# firewall-cmd  --reload 
success
[root@localhost ~]# firewall-cmd  --list-ports

开放或限制IP

1.限制IP

(1)限制IP为192.168.1.10的地址禁止访问80端口

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.10" port protocol="tcp" port="80" reject"
success
[root@localhost ~]# firewall-cmd --reload 
success

reject : 拒绝

(2)查看设置的规则

[root@localhost ~]# firewall-cmd  --list-rich-rules 
rule family="ipv4" source address="192.168.1.10" port port="80" protocol="tcp" reject


[root@localhost ~]# firewall-cmd  --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcpv6-client ssh
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  sourceports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="192.168.1.10" port port="80" protocol="tcp" reject

如设置未生效,可尝试直接编辑规则文件,删掉原来的设置规则,重新载入一下防火墙即可

[root@localhost ~]# vim /etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
    <source address="192.168.1.10"/>
    <port protocol="tcp" port="80"/>
    <reject/>
  </rule>
</zone>

2.解除IP地址限制

解除刚才被限制的IP

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.10" port protocol="tcp" port="80" accept"
success
[root@localhost ~]# firewall-cmd --reload 
success
[root@localhost ~]# firewall-cmd --list-rich-rules 
rule family="ipv4" source address="192.168.1.10" port port="80" protocol="tcp" accept

accept:允许

3.限制IP地址段

(1)如我们需要限制10.0.0.0-10.0.0.255这一整个段的IP,禁止他们访问80端口

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" reject"
success
[root@localhost ~]# firewall-cmd  --reload 
success
[root@localhost ~]# firewall-cmd  --list-rich-rules 
rule family="ipv4" source address="10.0.0.0/24" port port="80" protocol="tcp" reject

(2)接触限制同上一样

[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port protocol="tcp" port="80" accept"
success
[root@localhost ~]# firewall-cmd  --reload 
success

删除设置的规则

[root@localhost ~]# firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="10.0.0.0/24" port port="80" protocol="tcp" reject "
success
[root@localhost ~]# firewall-cmd  --reload 
success
[root@localhost ~]# firewall-cmd  --list-rich-rules

–remove:删除

有趣的灵魂!
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux中的Firewalld防火墙
weixin_44938203的博客
01-05 326
Firewalld防火墙 文章目录Firewalld防火墙Firewalld概述Firewalld 和 iptables 的关系Firewalld网络区域firewalld数据处理流程Firewalld防火墙的配置方法firewall-config图像工具Firewalld防火墙案例区域管理服务管理 Firewalld概述 Firewalld firewalld防火墙是centdos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和ip
linux系统中的防火墙firewall
dghfttgv的博客
11-23 2026
一.“防火墙”的概述 1、什么是“防火墙防火墙技术是通过有机结合各类用于==安全管理与筛选==的软件和硬件设备,帮助计算机网络与其==内、外网之间==构建一道相对隔绝的==保护屏障==,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术...
linuxfirewall 防火墙的操作
zl_momomo的博客
11-20 502
firewall 防火墙的操作 centos7中 使用systemctrl命令操作服务 #启动firewall 服务 systemctl start firewalld #关闭 systemctl stop firewalld #查看状态、 systemctl status firewalld #开机禁用 systemctl disable firewalld #开机启用 systemc...
12.16firewalld防火墙、iptables防火墙
weixin_46837396的博客
04-05 336
一、防火墙基本概述 二、防火墙区域管理 三、防火墙基本指令参数 1.firewall-cmd命令分类列表 四、防火墙区域配置策略 1.禁用与取消禁用防火墙 2.操作防火墙 3.firewalld常用命令 1)查看默认使用的区域 2)查看默认区域的规则 3)查看指定区域的默认规则 4)查看区域是否允许某服务 五、防火墙配置 1.firewalld放行服务 1)firewalld放行一个服务 2)firewalld放行多个服务 3)自己添加服务,配置规则 2.firewalld放行端口 1)firewalld放
linux防火墙firewalld)简单使用
随便写写
10-08 1719
firewalld Linux下有几种方式对网卡上的流量进行过滤,一种是firewalld,一种是iptables。 firewalld是防火墙,可以设置可信任的网络链接可网卡,支持IPv4和IPv6,支持动态的添加规则。 iptables不仅仅可以当作防火墙使用,它可以对流量设置各种各样的规则,比如端口转发、开放端口等,比firewalld更为强大。 下面就简单记录下firewalld的使用方式。 1. 开启服务 firewalld一般是Linux下的自带服务,可以通过systemctl启动。 首先查
Linux 中的防火墙 ufw 简介
01-20
我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。 ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认...
整合造就成功——首例在IBM莲花宝箱上的Linux解决方案成功实施.pdf
09-07
《整合造就成功——首例在IBM莲花宝箱上的Linux解决方案成功实施》 本文主要讲述了IBM莲花宝箱(IBM eServer i系列820型)上成功实施的Linux解决方案,这是国内首个此类案例,展示了Linux操作系统在企业级整合应用...
linux布署war环境处理(csdn)————程序.pdf
12-01
Linux环境中部署WAR应用,通常涉及的关键步骤包括安装Java开发工具包(JDK)、安装Tomcat服务器以及配置网络服务。以下是对这些知识点的详细说明: 1. **安装JDK**: Java Development Kit (JDK) 是运行Java应用...
linux telnet 64位系统包
02-03
6. 配置防火墙规则,允许外部设备通过端口23访问,例如:`firewall-cmd --permanent --add-service=telnet`,然后重启防火墙:`firewall-cmd --reload`。 7. 检查服务状态,确保其正在运行:`systemctl status ...
linux-使用NginxLua实现的WAF
08-13
而为了增强其安全防护能力,我们可以利用Nginx的扩展模块——Lua来构建Web应用防火墙(Web Application Firewall,简称WAF)。本篇文章将深入探讨如何使用Nginx与Lua结合,来实现一个高效且自定义程度高的WAF。 **1...
linux中的防火墙管理(1)--firewall
qq_34373016的博客
12-05 717
Firewall防火墙相关概念          所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使internet与intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问
Linux Firewalld防火墙——图形界面及字符管理介绍
Ora_G的博客
07-29 4306
Firewalld防火墙 防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。 支持网络区域所定义的网络连接以及接口安全等级的动态防火墙工具。 支持IPv4、IPv6防火墙设置及以太网桥 拥有两种配置模式 1、运行时配置 实时生效,
Linux中的火墙:firewall和iptables
dddxxy的博客
06-05 3611
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所...
Centos7 Linux 设置进入GUI界面或者纯命令行模式
热门推荐
天上掉下两毛钱
01-23 1万+
关闭图形界面的显示是为了进一步减少计算机性能的消耗。 检查当前默认设置: [root@centos01 ~]# systemctl get-default graphical.targe graphical.target表示开机将默认进入图形界面 切换方法: 1. 设置为命令模式   systemctl set-default multi-user.target 2. 设置为图...
linux设置firewall防火墙
sumengnan的博客
10-09 4760
启动防火墙:systemctl start firewalld 关闭防火墙:systemctl stop firewalld 查看防火墙状态:systemctl status firewalld 使用firewall-cmd命令管理防火墙 查看防火墙状态:firewall-cmd --state 查看所有打开的端口:firewall-cmd--zone=public--list-ports 查看区域信息: firewall-cmd --get-active-zones 添加规则:firew...
CentOS7.5 Active: failed (Result: timeout) Failed to start firewalld - dynamic firewall daemon.
小丽
10-11 1821
[root@hadoop10 ~]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled) Active: failed (Result: timeout) since 日 2020-10-11 0...
Firewalld 用法解析
weixin_30879169的博客
11-03 690
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
Linux 防火墙(详解 firewalld)
weixin_55609833的博客
05-26 3034
Linux 防火墙(详解 firewalld)firewalld概述firewalld和iptables的关系firewalld与iptables 的区别:firewalld区域的概念firewalld防火墙预定义了9个区域firewalld网路区域区域介绍 firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙
Linux中的防火墙技术(一)firewall
Sparks _Fly
03-25 2768
firewall火墙控制 1.selinux端口标签的修改 1)添加端口 semanage port -a -t http_port_t -p tcp 6666 &lt;1&gt;安装软件开启服务 [root@shenzhen ~]# yum install httpd 已加载插件:langpacks 软件包 httpd-2.4.6-17.el7.x86_64 已安装并且是最新版本 无须任何处理 ...
linux 7 firewall只做转发,CentOS 7 使用 firewall 防火墙转发端口(端口中转)
最新发布
06-07
好的,我明白了你的问题。对于这个问题,我可以给你提供一些指导。 首先,要在 CentOS 7 上使用 firewall 防火墙进行端口转发,需要遵循以下步骤: 1. 修改 /etc/sysctl.conf 文件,启用 IP 转发功能。将以下行添加到文件末尾: ``` net.ipv4.ip_forward = 1 ``` 然后运行以下命令以重新加载 sysctl 配置: ``` sudo sysctl -p ``` 2. 使用 firewall-cmd 命令添加一个转发规则。例如,如果要将外部端口 8080 转发到内部主机的端口 80,可以使用以下命令: ``` sudo firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=80 --permanent ``` 这将在永久区域中添加一个新的端口转发规则。 3. 重新加载防火墙规则以使更改生效: ``` sudo firewall-cmd --reload ``` 这些步骤应该可以帮助你在 CentOS 7 上使用 firewall 防火墙进行端口转发。希望这可以帮到你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值