防火墙基础Firewalld命令配置

最新推荐文章于 2024-08-12 18:43:13 发布
最新推荐文章于 2024-08-12 18:43:13 发布
阅读量678 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50344843/article/details/109778540
版权

防火墙基础Firewalld命令配置

防火墙

Firewalld

  • 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
  • 支持IPv4,IPv6防火墙设置以及以太网桥
  • 支持服务或应用程序直接添加防火墙规则接口
  • 拥有两种配置模式
    • 运行时配置:临时命令在重启前有效,重启后清空
    • 永久配置:配置命令只有在重启后才能生效 +(–permanent)
      在这里插入图片描述

firewalld和iptables的关系

netfilter

位于linux内核中的包括过滤功能体系
称为linux防火墙的“内核态”

firewalld/iptables

centos7默认的管理防火墙规则的工具(firewalld)
称为linux防火墙的“用户态”

firewalld和iptables的区别

.Firewalldiptables
配置文件/usr/lib/firewalld 或/etc/firewalld/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失连接
防火墙类型动态防火墙静态防火墙
Firewalld定义好策略不需要重启服务需要重启

firewalld网络区域

区域介绍
区域如同进入主机的安全门,每个区域都具有不同限制成都的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联地址或接口→网络接口→网卡
默认情况下,public区域是默认区域,包含所有接口(网卡)

firewalld数据处理流程

检查数据来源的源地址

  • 若源地址关联到特定区域,则执行该区域所指定的规则 #源地址关联
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则 #网卡关联区域
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则 #网卡关联区域

优先级 :源地址关联>网卡关联

Firewalld将网卡对应到不同的区域(zone),zone默认共有九个

drop(丢弃):任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
block(限制):任何接收的网络连接都被IPV4的icmp-host-prohibited信息和IPV6的icmp6-adm-prohibited信息所拒绝。
public(公共):在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
external(外部):特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
dmz(军事区域):用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
work(工作):用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
home(家庭):用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部):用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接收经过选择的连接。
trusted(信任):可接受所有的网络连接。指定其中一个区域为默认区域是可行的。当接口连接加入了NetworkManager,它们就被分配为默认区域。

Firewalld防火墙的配置方法

运行时配置

  • 实时生效,并持续至Firewalld重新启动或重新加载配置
  • 不中断现有连接
  • 不能修改服务配置(临时有效,重新加载失效)

永久配置

  • 不立刻生效,除非Firewalld重新启动或重新加载配置
  • 中断现有连接
  • 可以修改服务配置 (永久有效,前提是需要重新加载)

两种配置模式

firewall-cmd 命令工具有两种配置模式:

  • 运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或 firewalld 服务重启、停止时配置将失效
  • 永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的
firewall-cmd 命令工具与配置模式相关的选项有三个。
–reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置。
–permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动
firewalld 或重新加载防火墙规则时才会生效;若不带有此选项,表示用于设置运行时规则。
–runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性

Firewall-config图形工具

在这里插入图片描述

firewall-cmd命令行工具

获取预定义信息
firewall-cmd 预定义信息主要包括三种:

  • 可用的区域
  • 可用的服务
  • 可用的 ICMP 阻塞类型
[root@localhost ~]# firewall-cmd --get-zones    //显示预定义的区域 
work drop internal external trusted home dmz public block 

[root@localhost ~]# firewall-cmd --get-service   //显示预定义的服务 
RH-Satellite-6 amanda-client amanda-k5-client baculabacula-client cephceph
mondhcp dhcpv6 dhcpv6-client dnsdocker-registry dropbox-lansyncfreeipa-ldap 
freeipa-ldapsfreeipa-replication ftp high-availability http https imapimaps 
ippipp-clientipseciscsi-target kadminkerberoskpasswdldapldapslibvirt 
libvirt-tlsmdns mosh mountdms-wbtmysqlnfsntpopenvpnpmcdpmproxypmwebapi 
pmwebapis pop3 pop3s postgresqlprivoxy proxy-dhcpptppulseaudiopuppetmaster 
radiusrpc-bindrsyncd samba samba-client sane smtpsmtpssnmpsnmptrap squid ssh 
synergy syslog syslog-tls telnet tftptftp-client tinc tor-socks transmission
clientvdsmvnc-serverwbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server 

[root@localhost ~]# firewall-cmd --get-icmptypes    //显示预定义的 ICMP 类型 
destination-unreachable echo-reply echo-request parameter-problem redirect router 
-advertisement router-solicitation source-quench time-exceeded timestamp-reply 
timestamp-request 

firewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。 
1、 destination-unreachable:目的地址不可达。 
2、 echo-reply:应答回应(pong)。 
3、 parameter-problem:参数问题。 
4、 redirect:重新定向。 
5、 router-advertisement:路由器通告。 
6、 router-solicitation:路由器征寻。 
7、 source-quench:源端抑制。 
8、 time-exceeded:超时。 
9、 timestamp-reply:时间戳应答回应。 
10、timestamp-request:时间戳请求。
区域管理

使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。
常用选项

1、--get-default-zone 显示网络连接或接口的默认区域 
2、--set-default-zone=<zone> 设置网络连接或接口的默认区域 
3、--get-active-zones 显示已激活的所有区域 
4、--get-zone-of-interface=<interface> 显示指定接口绑定的区域 
5、--zone=<zone> --add-interface=<interface> 为指定接口绑定区域 
6、--zone=<zone> --change-interface=<interface> 为指定的区域更改绑定的网络接口 
7、--zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口 
8、--list-all-zones 显示所有区域及其规则 
[--zone=<zone>] --list-all 显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作

显示默认区域的所有规则
在这里插入图片描述
显示所有激活区域
在这里插入图片描述

服务管理

为 了 方 便 管 理 , firewalld 预 先 定 义 了 很 多 服 务 , 存 放 在/usr/lib/firewalld/services/ 目录中,服务通过单个的 XML 配置文件来指定。service 配置具有以下优点。

  • 通过服务名字来管理规则更加人性化。
  • 通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
    常用选项
[–zone=] --list-services 显示指定区域内允许访问的所有服务
[–zone=] --add-service= 为指定区域设置允许访问的某项服务
[–zone=] --remove-service= 删除指定区域已设置的允许访问的某项服务
[–zone=] --list-ports 显示指定区域内允许访问的所有端口号
[–zone=] --add-port=[-]/ 为指定区域设置允许访问的某个/某段端口号
(包括协议名)
[–zone=] --remove-port=[-]/ 删除指定区域已设置的允许访问的端口号(包括
协议名)
[–zone=] --list-icmp-blocks 显示指定区域内拒绝访问的所有 ICMP 类型
[–zone=] --add-icmp-block= 为指定区域设置拒绝访问的某项 ICMP 类型
[–zone=] --remove-icmp-block= 删除指定区域已设置的拒绝访问的某项 ICMP 类 型,省略–zone=时表示对默认区域操作

为默认区域设置允许访问的服务

[root@localhost ~]# firewall-cmd --list-services #显示默认区域内允许访问的所有服务
dhcpv6-clientssh
[root@localhost ~]# firewall-cmd --add-service=http #设置默认区域允许访问 http 服务success
[root@localhost ~]#firewall-cmd --add-service=https #设置默认区域允许访问 https 服务
success
[root@localhost ~]# firewall-cmd --list-services
dhcpv6-clientssh https http

为 internal 区域设置允许访问的服务

[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql //设置 internal 区域允许访问 mysql 服务
success
[root@localhost~]#firewall-cmd --zone=internal --remove-service=samba-client //设置 internal 区域不允许访问 samba-client 服务
success
[root@localhost ~]# firewall-cmd --zone=internal --list-services //显示 internal 区域内允许访问的所有服务
sshmdns dhcpv6-client mysql
端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口

例如

  • 执行以下操作即可实现在 internal 区域打开 443/TCP 端口
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
  • 若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success

firewalld用法示例

ls  /usr/lib/firewalld/services       #可以使用容易理解的名称表示的所有服务.
firewall-cmd --get-services       #查看支持的所有服务名称
firewall-cmd --get-zones           #查看所有区域     ,一共九个
firewall-cmd --get-default-zone     #查看当前默认区域
firewall-cmd --get-zone-of-interface=ens33          #查看指定网卡所处的区域
firewall-cmd --zone=public --qluery-service=ssh   #查看指定区域中有没有相关的服务开放,本命令查看public区域ssh服务有没有开放
firewall-cmd --zone=public --query-service=http   #查看public区域ssh服务有没有开放
firewall-cmd --list-services         #查看当前区域允许的服务
firewall-cmd --list-services --zone=public    #查看指定区域允许的服务,本命令查看public区域允许的服务
firewall-cmd --list-all --zone=public    #查看指定区域允许的所有服务
firewall-cmd --list-all-zones         #查看所有区域允许的服务
flirewall-cmd  --zone=public  --add-service=http --permanent   #永久配置public区域开放http服务
flirewall-cmd  --zone=public  --remove-service=http --permanent   #永久配置public区域删除http服务
firewall-cmd --reload                 #重新加载配置文件
wo66zz
关注
专栏目录
Centos7默认防火墙firewalld
Z__Cheng的博客
05-03 2560
Centos7默认防火墙firewalldfirewalld概述firewalld 与 iptables 的区别区别一区别二区别三firewalld 区域的概念firewalld防火墙预定义了9个区域firewalld数据处理流程firewalld检查数据包的源地址的规则firewalld防火墙配置方法常用的firewall-cmd 命令选项区域管理服务管理端口管理 firewalld概述 irewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络
Firewalld防火墙及相关工具使用介绍
weixin_47403060的博客
10-06 904
一、Firewalld简介 1、支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 2、支持IPv4,IPv6防火墙设置以及以太网桥; 3、支持服务或应用程序直接添加防火墙规则接口; 4、拥有两种配置模式: 运行时配置(一般测试的时候使用); 永久配置。 二、补充内容: 1、firewalld是7.0才开始有,6.0一直都是iptables; 2、防火墙工作在第四层传输层,和端口有关TCP、UDP; 3、大型数据中心用的背靠背方式–两个硬防火墙; 4、按区域进行定义:高安全区域和低安全区域(
linux: firewalld防火墙可以放行所有服务
十年运维开发经验的王义杰在此分享自己的知识和经验
11-30 496
的默认区域(zone)设置为可信(trusted),就会放行所有进出该区域的通信。这种配置适用于完全信任网络环境的情况。进行这样的设置时,请确保我们了解其安全风险,因为这将允许所有流量通过,不再进行任何过滤。请注意,这种设置将对整个系统的安全性产生重大影响,因为它禁用了防火墙的过滤功能。在执行此操作之前,请确保我们完全理解其后果,并考虑到环境的安全需求。在大多数情况下,推荐使用更精细的防火墙规则来管理网络通信。然后,将默认区域设置为。
Firewalld常用命令整理
m0_56375711的博客
03-14 2406
防火墙配置在网络安全领域十分重要,无论你是想为公司的防火墙配置入站出站规则防止恶意流量进入,还是当发现恶意流量之后要对恶意流量的来源IP进行封锁,都会使用到防火墙配置规则。当然配置规则的方法有很多,可以直接写在防火墙配置文件中,也可以通过iptable进行配置,本文主要整理了一下firewalld防火墙进行配置的常用命令,以后在学习和工作中方便查看。
防火墙firewalld
weixin_48190887的博客
08-04 292
firewalld数据处理流程 检查数据来源、源地址 若源地址关联特定区域,则执行设设定区域所指定的规则 若源地址未关联到特定区域,则使用物理接口区域并执行该区域所指定的规则 若物理接口未关联特定区域,则使用默认区域(public)执行改区域所指定的规则 IP地址特性最高 IP地址不通走物理接口 都没有就选择默认区域 运行时配置runtime 实时生效并持续至firewalld重新启动或重新加载配置 不中断现有连接 不能修改服务配置 永久配置permanent 不立即生效,除非firewalld重新启
Linux防火墙基础Firewalld
最新发布
qq_40089934的博客
08-12 970
Firewalld是一个用于CentOS、Fedora和Red Hat Enterprise Linux(RHEL)等系统的动态防火墙管理工具。它是iptables的前端工具,可以帮助用户配置和管理Linux系统上的防火墙规则。Firewalld防火墙是一种简单的、有状态的、基于区域(zone)的防火墙。策略和zone用于组织防火墙规则。网络在逻辑上被划分为多个区域,它们之间的流量可以通过策略进行管理。
Linux-RHCE精讲教程之防火墙工具firewalld-配置反向路径筛选
理解防火墙firewalld 1.1 什么是防火墙 1.2 firewalld简介 1.3 为什么要配置反向路径筛选 ```markdown ### 1. 第一章:理解防火墙firewalld #### 1.1 什么是防火墙 防火墙是一种网络安全系统,用于监控和...
Linux防火墙——Firewalld基础命令
Parhoia的博客
10-11 708
Firewalld概述 Firewalld简介 (1)支持网络区域所定义的网络连接以及接口安全的动态防火墙管理工具。 (2)支持IPv4、IPv6防火墙设置以及以太网桥接 (3)支持服务或应运程序直接添加防火墙规则口 (4)拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter (1)位于linux内核中的包过滤功能体系 (2)称为Linux防火墙...
Linux防火墙——Firewalld高级配置
Parhoia的博客
10-16 881
Firewalld高级配置 IP伪装与端口转发 Firewalld 支持两种类型的网络地址转换 IP地址伪装 (1)可以实现局域网多个地址共享单一公网地址上网. (2)IP地址伪装仅支持IPv4,不支持IPv6。 (3)默认external区域启用地址伪装。 端口转发 (1)也称为目的地址转换或端口映射 (2)通过端口转发,指定IP地址及端口的流量将被转发到相同计算机上的不同端口,或者转发到不同计...
Linux-RHCE精讲教程之防火墙工具firewalld-配置基本规则
# 1. 概述防火墙firewalld 1.1 什么是防火墙防火墙是一种网络安全系统,通过监控和控制网络流量来保护内部网络免受恶意...firewalld提供了简单易用的命令行工具和图形化界面,方便管理员进行配置和管理。 1.3 f
Centos7(Firewall)防火墙开启常见端口命令
01-10
安装Firewall命令: yum install firewalld firewalld-config Firewall开启常见端口命令firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=443/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent firewall-cmd –zone=public –add-port=21/tcp –permanent firewall-
firewalld常用命令
weixin_43055250的博客
12-13 802
初级端口开放 firewall-cmd --add-port=3306/tcp --permanent firewall-cmd --remove-port=3306/tcp --permanent 中级端口开放-限制源IP firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.31.198.100" service name="http" accept" 高级端口映射 firewall-cm
CentOS7 中使用 firewall-cmd 配置只允许指定ip访问本机的指定端口
热门推荐
小啊宇的博客
12-23 1万+
1、启动firewalld服务并设置开机自动启动,下面的命令必须在防火墙开启的状态下才可用 ,由于firewalld默认不是放行所有端口,所以启动firewalld会造成该机器的某些端口无法访问。 systemctl enable firewalld systemctl start firewalld 2、更改防火墙默认区域为trusted,默认放行所有连接请求 firewall-cmd --set-default-zone=trusted 3.新建一个zone,将想要访问本机80端口的ip,如:192.1
Firewalld 允许指定IP访问端口
zengjianze的博客
11-15 7265
首先创建一个适当的区域名称(在我们的例子中,我们使用了mariadb access来允许访问MySQL数据库服务器)。 # firewall-cmd --new-zone=mariadb-access --permanent 接下来,重新加载firewalld设置以应用新更改。如果跳过此步骤,则在尝试使用新区域名称时可能会出错。这一次,新区域应该出现在区域列表中,如下面的屏幕截图所示。 # firewall-cmd --reload # firewall-cmd --get-zones 接下来,添加要在
【Linux命令每日一知】firewall-cmd--防火墙管理
简简单单兔呦
07-18 2345
2020-07-18 上海 firewalld服务 firewalld是Linux系列最新的网络防火墙管理服务,它包装了之前iptables,并非替换iptables,通过提供更加方便操作来提升服务质量。 firewalld中引入zone和services的概念,而不是iptables中的chain和rules firewalld能够动态的改变规则集,同时不会影响已经建立起来的connection和session 安装和管理firewalld sudo yum install firewalld # 安.
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1947
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
Linux防火墙----firewalld
我的博客
05-22 880
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。
Linux Firewalld防火墙基础
一名北漂Java程序员的学习记录!
06-30 1550
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙
CentOS 7 Firewalld防火墙基础命令深度解析与实战
CentOS 7中的Firewalld防火墙是一个强大的网络访问控制工具,它作为Linux内核的一部分,通过用户态的firewalld命令程序来管理和控制包过滤机制。火walld主要负责为内核的netfilter子系统提供策略,通过定义规则决定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值