Linux安全——firewall防火墙的基本设置

最新推荐文章于 2024-05-23 13:14:20 发布
最新推荐文章于 2024-05-23 13:14:20 发布
阅读量984 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48760717/article/details/110134750
版权

firewalld 将网卡对应到不同的区域(zone),zone默认共有9个
block dmz drop external home internal public trusted work.

drop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。

block(限制)
任何接收的网络连接都被ipv4的icmp-host-prohibited信息和ipv6的icmp-adm-prohibited信息所拒绝。

public(公共)
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成伤害,只能接收经过选取的连接。

external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。

dmz(非军事区)
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的电脑内部,仅仅接收经过选择的连接。

work(工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。

home(家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。

internal(内部)
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算急。仅仅接收经过选择的连接。

trusted (信任)
可接受所有的网络连接。
指定其中一个区域为默认区域是可行的。当接口连接加入了NetworkManager,他们就被分配为默认区域。
不同的区域之间的差异是其对对待数据包的默认行为不同,在Centos7系统中,默认区域被设置为public。

ls /usr/lib/firewalld/service/ #可以使用容易理解的名称表示的所有服务
firewall-cmd --get-services #查看支持的所有服务名称
firewall-cmd --get-zones #查看所有区域
firewall-cmd --get-default-zone #查看当前默认区域
firewall-cmd --get-zone-of-interface=ens33 #查看指定网卡所处的区域
firewall-cmd --zone=public --query-service=ssh #查看指定区域中有没有相关的服务开启
firewall-cmd --zone=public --query-service =http #查看指定区域中有没有相关的服务开启
firewall-cmd --list-services #查看当前区域允许的服务
firewall-cmd --reload #重新加载配置文件
[root@server1 ~]# firewall-cmd --list-all #查看防火墙规则
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	

[root@server1 ~]# firewall-cmd --list-all --zone=public #查看指定区防火墙规则
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

设置服务或端口放行

firewall-cmd --add-service=http
firewall-cmd --permanent --zone=pubilc --add-service=http
firewall-cmd --reload

firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd reload

[root@server1 ~]# firewall-cmd --zone=public --remove-service=http #删除指定区域的指定服务

为网卡设置区域

firewall-cmd --permanent --zone=external --change-interface=ens33
firewall-cmd --reload

[root@server1 ~]# firewall-cmd --permanent --zone=external --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'external'.
success
[root@server1 ~]# firewall-cmd --reload
success
[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens33
external

firewall-cmd --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.12/32" service name="ssh" reject" #拒绝20.0.0.12网络用户访问ssh(赋规则)

设置默认区域

firewall-cmd --set-default-zone=work

查看活动区域及端口

firewall-cmd --get-active-zones

firewall-cmd --zone=work --add-interface=ens33 #将接口加入到相关区域(work)
firewall-cmd --zone=public --remove-interface=ens33 #将接口移除相关区域(work)回到默认区域(public)

配置public zone的icmp

查看所有支持的icmp类型

[root@server1 ~]# firewall-cmd --get-icmptypes 
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option

列出

[root@server1 ~]# firewall-cmd --zone=public --list-icmp-blocks #默认无

添加echo-request屏蔽

[root@server1 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request

移除echo-request屏蔽

[root@server1 ~]# firewall-cmd --zone=public --remove-icmp-block=echo-reply

IP封禁

#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='20.0.0.12' reject"  单个IP
#firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='20.0.0.12/24' reject" IP段
#firewall-cmd --permanent --add-rich-rule="rule family=ipv4 source address=20.0.0.12 port port=80  protocol=tcp  accept" 单个IP的某个端口
reject 拒绝 accept 允许

禁止主机ping服务器(IP封禁)

root@server1 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request 
success
[root@server1 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http
  ports: 80/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules: 
	```
## 只允许20.0.0.13主机访问SSH服务
```python
firewall-cmd --permanent --zone=dmz --change-interface=ens33
firewall-cmd --permanent --zone=dmz --remove-service=ssh
firewall-cmd --permanent --zone=public --add-source=20.0.0.12/32
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.12" service name="ssh" accept"

允许所有主机访问Apache服务

[root@server1 ~]# firewall-cmd --permanent --zone=public --add-service=http
[root@server1 ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp
l文峰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
centos8 配置 dns_Firewalld防火墙配置与管理-CentOS8.1Linux运维实战十七
weixin_39655993的博客
11-08 608
Firewalld防火墙配置与管理-CentOS8.1Linux运维实战十七Linux系统运维实战系列 CentOS 8/RHEL 8 Linux系统运维实战系列原创持续更新中…… 求关注,转发,点赞,收藏!Firewalld防火墙是一种监视和过滤传入和传出网络流量的方法。它通过定义一组安全规则来确定是否允许或阻止特定的流量。正确配置的防火墙是整个系统安全性的最重要方面之一。在CentOS 8中,...
Linuxfirewalld防火墙学习笔记220929
kfepiza的博客
09-30 1059
预定义文件夹 :自定义文件夹 :来自官方文档 https://firewalld.org/documentation/zone/predefined-zones.htmlPredefined Zones 预定义区域下面这些是 firewalld 提供的预定义区域,根据其默认的信任级别从不信任到信任排序, 按信任度从低到高排列drop信任度最低任何传入的网络数据包都被丢弃,没有回复。只有传出网络连接是可能的。只能发送,不能接收block任何传入的网络连接都会被拒绝,并使用 IPv4 的。
云计算基础服务(十一)firewalld限制网络通信
qq_57258570的博客
02-15 1255
[root@node02 ~]# systemctl start firewalld [root@node02 ~]# firewall-cmd --get-zones block dmz drop external home internal public trusted work block: dmz: 传出流量, 否则丢弃所有传入的流量(ICMP) drop: 传出流量或与预定义的服务匹配 (ssh), 否则拒绝传入流量 external: 传出流量或与预定义的服务匹配 (...
Linuxfirewalld-cmd的常用命令配置以及解释
最新发布
fox_kang的博客
05-23 208
【代码】Linuxfirewalld-cmd的常用命令配置以及解释。
防火墙firewall-cmd命令
热门推荐
花语无痕的博客
11-02 3万+
防火墙状态及规则 1、查看防火墙状态:firewall-cmd --state [root@localhost ~]# firewall-cmd --state running [root@localhost ~]# 2、查看防火墙firewall-cmd --list-all [root@localhost ~]# firewall-cmd --list-all public (active) target: default icmp-block-inversion: no
防火墙详解
qq_42340084的博客
09-22 703
1.概念 防火墙是用于公网和内网之间的一道屏障,有硬件和软件之分,但主要功能都是设置对应的策略对经过防火墙的网络包进行过滤。防火墙的策略可以基于源地址、目的地址、端口号、协议、应用等信息去设置策略。 2.iptables和firewalld的区别 iptables和firewalld都不是真正意义上的防火墙,只是用来定义防火墙策略的一个工具而已,也可以说是一种服务。iptables会把配置好的策略交给内核层面的netfilter网络过滤器来处理,而firewalld则把配置好的策略交给内核层面的nftabl
Linux 中的防火墙 ufw 简介
01-20
我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。 ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认...
整合造就成功——首例在IBM莲花宝箱上的Linux解决方案成功实施.pdf
09-07
《整合造就成功——首例在IBM莲花宝箱上的Linux解决方案成功实施》 本文主要讲述了IBM莲花宝箱(IBM eServer i系列820型)上成功实施的Linux解决方案,这是国内首个此类案例,展示了Linux操作系统在企业级整合应用...
linux-使用NginxLua实现的WAF
08-13
而为了增强其安全防护能力,我们可以利用Nginx的扩展模块——Lua来构建Web应用防火墙(Web Application Firewall,简称WAF)。本篇文章将深入探讨如何使用Nginx与Lua结合,来实现一个高效且自定义程度高的WAF。 **1...
linux telnet 64位系统包
02-03
6. 配置防火墙规则,允许外部设备通过端口23访问,例如:`firewall-cmd --permanent --add-service=telnet`,然后重启防火墙:`firewall-cmd --reload`。 7. 检查服务状态,确保其正在运行:`systemctl status ...
linux开启telnet服务
05-04
redhat-config-services 或“主菜单”——“系统设置”——“服务器设置”——“服务” 需要注意的是,Telnet 登陆时是明文传送密码,所以不安全,建议使用 SSH(Secure Shell)替代! Telnet 服务的配置步骤如下...
linux内核启动过程
千霜的博客
03-13 722
目录一 介绍二 systemd2.1 介绍2.2 配置2.2.1 [Unit]2.2.2 [Install]2.2.3 [Service]2.2.4 其他2.2.5 systemd参数2.3 systemctl参考 一 介绍 linux启动过程涉及很多阶段,如固件初始化,引导程序执行,内核镜像加载和启动,各种守护进程和脚本的运行。每一步都有不同的不同的方法。 开机后,会执行主板上固件(firmwa...
firewalld的配置
period000的博客
06-08 4531
一、防火墙 1.概述 动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.域 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务 internal(...
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2289
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
centos7版本firewalld防火墙基本命令配置管理
weixin_34123613的博客
01-12 341
centos7/redhat7已经默认使用firewalld作为防火墙,其使用的方式已经变化,基于iptables的防火墙默认不启用,但是仍可以继续使用注意:centos7/redhat7中有几种防火墙共存:firewalld、iptables、ebtablesd、默认使用的是firewalld作为防火墙,管理工具是firewalld、Centos7的内核版本是3.10una...
FirewallD详解(转载)
菲比他爹的专栏
01-29 1487
在CentOS7开始,默认是没有iptables的,而是使用了firewall防火墙. 与时俱进,简单的整理了一下firewall的使用方法. 关于详细的介绍参考官网,就不搬字了.这个网站有中文选项.可以直接看中文.关于CentOS7 非常多是资料这里面都能找到. 官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat
RHEL 7中防火墙的配置和使用
小单的博客专栏
08-22 2万+
RHEL7 中使用了firewalld代替了原来的iptables,操作设置和原来有点不同:查看防火墙状态:systemctl status firewalld启动防火墙:systemctl start firewalld停止防火墙:systemctl stop firewalld防火墙中的一切都与一个或者多个区域相关联,下面对各个区进行说明:Zone
Centos7-firewall(初学转发及访问控制)
splenday的专栏
09-08 1万+
1、添加永久有效规则 –permanent 1)方式: 允许 firewall-cmd –permanent –add-rich-rule ‘rule family=ipv4 source address=192.168.0.104 port port=9100 protocol=tcp accept’ 拒绝 firewall-cmd –permanent –add-rich-rule ‘r
Linux防火墙——Firewall的认识与使用
灵魂在求知中净化。。。
05-26 500
Linux防火墙——Firewall的认识与使用 1.Firewalld的认识 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4、IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置(即时生效,直至重启或关闭防火墙) 永久配置(重启生效,一直有效) 2.了解Firewalld和iptables的共同的与区别 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” Firewa
rhel8怎么清除已经设置Firewall防火墙
05-24
在 RHEL 8 中,你可以使用以下命令来清除已经设置好的防火墙规则: 1. 首先,停止 Firewall 服务: ``` sudo systemctl stop firewalld ``` 2. 然后,删除所有已经配置的防火墙规则: ``` sudo firewall-cmd --state sudo firewall-cmd --list-all sudo firewall-cmd --permanent --delete-all sudo firewall-cmd --reload ``` 这些命令将会删除所有已经配置的防火墙规则并重新加载防火墙。注意,这将会关闭防火墙,因此在清除规则之前请确保你的系统已经得到充分保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值