firewalld 操作指令

已于 2023-06-07 12:23:18 修改
阅读量4.6k 收藏 15
点赞数
分类专栏: Linux基础 文章标签: linux 运维 服务器
于 2022-06-15 16:18:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46560589/article/details/125293620
版权

目录

一、终端管理工具——firewall-cmd

1.查看 firewalld 服务当前所使用的区域

2.查询指定网卡在 firewalld 服务中绑定的区域

3.把网卡默认区域修改为 external,并立即生效

4.把 firewalld 服务的默认区域设置为 public

5. 查询 SSH 和 HTTPS 协议的流量是否允许放行

6.把 HTTPS 协议的流量设置为永久允许放行,并立即生效

7.把 HTTP 协议的流量设置为永久拒绝,并立即生效

8.把访问 8080 和 8081 端口的流量策略设置为允许,但仅限当前生效

9.把原本访问本机 888 端口的流量转发到 22 端口,要且求当前和长期均有效

        RHEL 8 系统中集成了多款防火墙管理工具,其中 firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。

        相较于传统的防火墙管理配置工具,firewald支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是 frewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。firewalld中常见的区域名称(默认为public)以及相应的策略规则如下:

firewalld 中常用的区域名称及策略规则
区域默认规则策略
trusted允许所有的数据包
home拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、smba-client、dhcpv6-client 服务相关,则允许流量
internal等同于home区域
work拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量
public拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client 服务相关,则允许流量
external拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
dmz拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量
block拒绝流入的流量,除非与流出的流量相关
drop拒绝流入的流量,除非与流出的流量相关

一、终端管理工具——firewall-cmd

        firewall-cmd命令的功能是用于防火墙策略管理,是firewalld服务的配置工具。使用firewall-cmd命令修改的防火墙策略会立即生效,但重启后失效,因此推荐要加上permanent参数。

语法格式:firewall-cmd [参数]

常用参数

--state显示当前服务运行状态
--zone=public --list-ports查看所有打开运行的端口
--permanent策略写入到永久生效表中
--reload不重启立即加载
--list-all-zones查看区域信息情况
--panic-on拒绝所有包
--panic-off取消拒绝状态
--query-panic查看是否拒绝
--runtime当前立即生效,重启后失效
--set-default-zone=<区域名称>设置默认的区域,使其永久生效
--add-port=<端口号/协议>设置默认区域允许该端口的流量
--add-service=<服务名>设置默认区域允许该服务的流量
--remove-service=<服务名>设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>设置默认区域不再允许该端口的流量
--add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>将某个网卡与区域进行关联

参考实例

1.查看 firewalld 服务当前所使用的区域

[root@RHEL8 ~]# firewall-cmd --get-default-zone 
public

2.查询指定网卡在 firewalld 服务中绑定的区域

        在生产环境中,服务器大多不止有一块网卡。一般来说,充当网关的服务器有两块网卡,一
块对公网,另外一块对内网,那么这两块网卡在审查流量时所用的策略肯定也是不一致的。因此,
可以根据网卡针对的流量来源,为网卡绑定不同的区域,实现对防火墙策略的灵活管控。

[root@RHEL8 ~]# firewall-cmd --get-zone-of-interface=ens160
public

3.把网卡默认区域修改为 external,并立即生效

[root@RHEL8 ~]# firewall-cmd --permanent --zone=external --change-interface=ens160
The interface is under control of NetworkManager, setting zone to 'external'.
success

[root@RHEL8 ~]# firewall-cmd --reload 
success

[root@RHEL8 ~]# firewall-cmd --get-zone-of-interface=ens160
external

4.把 firewalld 服务的默认区域设置为 public

        默认区域也叫全局配置,指的是对所有网卡都生效的配置,优先级较低。在下面的代码中可以看到,当前默认区域为public,而ens160网卡的区域为external。此时便是以网卡的区名称为准。
        通俗来说,默认区域就是一种通用的政策。例如,食堂为所有人准备了一次性套具,而环保
主义者则会自己携带碗筷。如果您自带了碗筷,就可以用自己的;反之就用食堂统一提供的。

[root@RHEL8 ~]# firewall-cmd --set-default-zone=public 
Warning: ZONE_ALREADY_SET: public
success

[root@RHEL8 ~]# firewall-cmd --get-default-zone 
public

[root@RHEL8 ~]# firewall-cmd --get-zone-of-interface=ens160
external

5. 查询 SSH 和 HTTPS 协议的流量是否允许放行

        在工作中可以不使用 --zone 参数指定区域名称,firewall-cmd 命令会自动依据默认区域进行查询,从而减少用户输入量。但是,如果默认区域与网卡所绑定的不一致时,就会发生冲突,因此规范写法的 zone参数是一定要加的

[root@RHEL8 ~]# firewall-cmd --zone=public --query-service=ssh
yes

[root@RHEL8 ~]# firewall-cmd --zone=public --query-service=https
no

6.把 HTTPS 协议的流量设置为永久允许放行,并立即生效

[root@RHEL8 ~]# firewall-cmd --permanent --zone=public --add-service=https
success

[root@RHEL8 ~]# firewall-cmd --reload 
success

[root@RHEL8 ~]# firewall-cmd --zone=public --query-service=https
yes

7.把 HTTP 协议的流量设置为永久拒绝,并立即生效

        由于在默认情况下HTTP协议的流量就没有被允许,所以会有“Warning:NOT_ENABLED:
http”这样的提示信息,因此对实际提作没有影响。

[root@RHEL8 ~]# firewall-cmd --permanent --zone=public --remove-service=http
Warning: NOT_ENABLED: http
success

[root@RHEL8 ~]# firewall-cmd --reload 
success

8.把访问 8080 和 8081 端口的流量策略设置为允许,但仅限当前生效

[root@RHEL8 ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
success

[root@RHEL8 ~]# firewall-cmd --zone=public --list-ports 
8080-8081/tcp

9.把原本访问本机 888 端口的流量转发到 22 端口,要且求当前和长期均有效

        使用firewall-cmd命令实现端口转发的格式有点长,这里为大家总结好了:

firewall-cmd --permanent--zone=<区域> --add-forward-port=port=<源端口号>:proto=
<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

        上述命令中的目标IP地址一般是服务器本机的IP地址:

[root@RHEL8 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.9.135
success

[root@RHEL8 ~]# firewall-cmd --reload 
success

        在客户端使用ssh命令尝试访问192.168.10.10主机的888端口,访问成功:

[root@RHEL8 ~]# ssh -p 888 192.168.9.135
Stars.Sky
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1922
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
linuxFirewalld防火墙概述
weixin_51725822的博客
02-25 741
linux防火墙之firewalld一、Firewalld概述1.1 firewalld防火墙1.2 firewalld 与 iptables 的区别(1)作用点(2)存储位置(3)新规则的使用(4)防火墙类型1.3 firewalld 区域的概念firewalld防火墙预定义了9个区域1.4 firewalld数据处理流程二、firewalld防火墙的配置2.1 firewalld防火墙的配置方法2.2 区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应
防火墙firewalld常用命令
Ho_mj的专栏
01-29 4893
防火墙firewalld常用命令
Firewalld 防火墙常用命令汇总
m0_63761361的博客
03-05 4677
目录 一、firewalld概述 二、firewalld与iptables的区别 三、firewalld区域的概念 四、firewalld防火墙预定义了9个区域 五、Firewalld数据处理流程 六、Firewalld防火墙的配置方法 1、运行时配置 2、永久配置 七、firewalld防火墙的配置方法 八、常用的 firewall-cmd 命令选项 (一)、常用命令 (二)、区域管理 (三)、服务管理 (四)、端口管理 一、firewalld概述 firewalld
Linux 防火墙 firewalld 常用命令
最新发布
凭心而动
05-28 1074
Linux 防火墙 firewalld 常用命令,包括防火墙的基础命令以及 firewalld 区域、端口、服务、富规则的配置命令,并提供了实操示例
Firewalld常用命令整理
m0_56375711的博客
03-14 2327
防火墙的配置在网络安全领域十分重要,无论你是想为公司的防火墙配置入站出站规则防止恶意流量进入,还是当发现恶意流量之后要对恶意流量的来源IP进行封锁,都会使用到防火墙的配置规则。当然配置规则的方法有很多,可以直接写在防火墙的配置文件中,也可以通过iptable进行配置,本文主要整理了一下firewalld对防火墙进行配置的常用命令,以后在学习和工作中方便查看
Firewalld常用命令
Graphite的博客
12-04 691
Firewalld常用命令
linux防火墙查看状态firewall
qq_44534541的博客
05-10 4313
我经常会遇到本地浏览器访问Linux虚拟机中搭建的环境,访问失败。原因很简单,一台新的虚拟机,很多窗口是没有打开的。我们需要在防火墙中打开对应的端口。比如MySQL的端口3306,本地Navicat 连接对应数据库是时,首先应该检查Linux防火墙是否打开了。 比如mysql连接失败: # 1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 # 2、查看firewall的状态
Centos 7之Firewalld相关命令详细介绍
01-20
引言:Centos 7是目前非常流行的Linux发行版本,本文将重点介绍如何来使用firewalld相关命令启动服务以及添加服务或者端口等操作。 1. 查看firewall服务状态  >> systemctl status firewalld [root@flybird ~]# ...
Linux防火墙-firewalld
01-09
2、Centos7操作 1、启动一个服务 systemctl start firewalld.service 2、关闭一个服务: systemctl stop firewalld.service 3、重启一个服务: systemctl restart firewalld.service 4、显示一个服
linux操作系统运维基础命令合集
02-06
4. **用户和组操作命令**: - `useradd`:创建新用户。 - `usermod`:修改用户属性,如主组、附加组、家目录和shell。 - `userdel`:删除用户,带`-r`选项会一并删除用户家目录。 5. **密码和账户管理**: - `...
centos 7.6手动分区安装操作
10-11
1. 关闭防火墙:使用命令`systemctl stop firewalld.service && systemctl disable firewalld.service`。 2. 调整SELinux策略:临时关闭使用`setenforce 0`,永久关闭则修改`/etc/selinux/config`文件,将`SELINUX=...
linux网络相关操作
01-09
linux网络相关操作 一、查看firewalld状态、关闭、开启、开机自动关闭、开机自动启动 [root@VM_0_12_centos ~]# systemctl status firewalld.service ● firewalld.service – firewalld – dynamic ...
Linux CentOS 8(firewalld的配置与管理)
正月十六工作室
10-24 3583
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
Linux【CentOS7.6】系统防火墙——firewalld
qq_29278515的博客
02-05 458
firewalld系统防火墙命令。
firewalld常用命令
abstractCla的博客
03-13 2686
1、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 开机禁用 : systemctl disable firewalld 开机启用 :systemctl enable firewalld 2.syste...
Linux(CentOS)下使用firewall-cmd查看、开放、关闭端口及防火墙设置
Ditto的分享
09-23 1万+
Linux操作系统中使用firewall-cmd查看、开放、关闭端口及设置防火墙,同时进行流量转发。
firewalld 规则配置
热门推荐
oToyix的博客
09-21 1万+
一、概念 1、动态防火墙 启动新规则时,不会像ipatbles一样,先清空规则,再启动所有规则,如此会对现在程序有影响,哪怕只是一条规则。而firewalld 规则变更不需要对整个防火墙规则重载,可直接添加新规则 2、iptables与firewalld的关系 firewalld底层使用iptables作为防火墙规则管理入口。 firewalld内核模块还是netfilter,只是firewalld修改了daemon和service 添加规则还是通过iptables管理的,可以通过iptables查看
centos firewalld
06-10
CentOS中的Firewalld是一个动态防火墙管理器,它允许您配置和管理网络连接的访问权限。您可以使用它来打开或关闭端口,限制访问IP地址,配置网络服务等。 以下是一些常用的CentOS Firewalld命令: - 启动Firewalld服务:sudo systemctl start firewalld - 停止Firewalld服务:sudo systemctl stop firewalld - 重启Firewalld服务:sudo systemctl restart firewalld - 查看Firewalld状态:sudo systemctl status firewalld - 查看可用的服务列表:sudo firewall-cmd --get-services - 打开端口:sudo firewall-cmd --zone=public --add-port=80/tcp --permanent(此命令将打开80端口,并将其永久性地添加到public区域的规则列表中) - 关闭端口:sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent(此命令将关闭80端口,并将其从public区域的规则列表中永久性地删除) 如果您需要更详细的Firewalld操作指南,可以参考官方文档或其他教程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Stars.Sky

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值