Linux防火墙(firewalld)使用方法

置顶 已于 2023-03-20 10:04:13 修改
阅读量8.6k 收藏 71
点赞数 13
文章标签: linux 运维 服务器
于 2021-11-06 23:42:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51697917/article/details/121186515
版权

防火墙服务操作:

启动防火墙# systemctl start firewalld

关闭防火墙# systemctl stop firewalld

重启防火墙# systemctl restart firewalld

查看防火墙状态# systemctl status firewalld

设置防火墙开机启动# systemctl enable firewalld

关闭防火墙开机启动# systemctl disable firewalld

常用命令(加--permanent参数才会写入配置文件以永久生效)

重新加载防火墙配置# firewall-cmd --reload  规则更改后必须重新加载生效

查看防火墙运行状态# firewall-cmd --state   等于#systemctl status firewalld

查看所有区域配置#firewall-cmd --list-all-zones

查看防火墙默认区域配置# firewall-cmd --list-all

查看防火墙默认区域名#firewall-cmd --get-default-zone

设置防火强默认区域#firewall-cmd --set-default-zone=public

把网卡分配给区域#firewall-cmd --zone=public --add-interface=ens32

查看指定网卡所在区域#firewall-cmd --get-zone-of-interface=ens32

更改网卡所属区域#firewall-cmd --zone=public --change-interface=ens32

应急模式管理(加--permanent参数才会写入配置文件以永久生效)

拒绝所有流量# firewall-cmd --panic-on

取消应急模式# firewall-cmd --panic-off(但需要重启firewalld后才可以远程ssh)

查看是否为应急模式# firewall-cmd --query-panic

服务添加示例(加--permanent参数才会写入配置文件以永久生效)

添加服务#firewall-cmd --add-service=Telnet

移除服务#firewall-cmd --remove-service=Telnet

查看开启的服务# firewall-cmd --list-services

端口添加示例(加--permanent参数才会写入配置文件以永久生效)

添加端口和协议# firewall-cmd --add-port=3306/tcp

删除端口和协议# firewall-cmd --remove-port=3306/tcp

查看开启的端口# firewall-cmd --list-ports

协议添加示例(加--permanent参数才会写入配置文件以永久生效)

添加协议# firewall-cmd --add-protocol=icmp

取消协议# firewall-cmd --remove-protocol=icmp

查看添加的协议# firewall-cmd --list-protocols

端口流量转发示例(加--permanent参数才会写入配置文件以永久生效)

将原本访问本机888端口的流量转发到本机22端口:
 

firewall-cmd --add-forward-port=port=888:proto=tcp:toport=22


将原本访问本机888端口的流量转发到ip为192.168.2.208的主机的22端口(需要开启masquerade):

firewall-cmd --add-masquerade

firewall-cmd --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.2.208

测试端口转发功能是否生效:在客户端尝试访问192.168.2.210主机的888端口,连上去后发现实际连接的是192.168.2.208主机,测试OK。

富规则临时添加示例(加--permanent参数才会写入配置文件以永久生效)

允许192.168.2.208主机的所有流量:

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" accept"


允许192.168.2.208主机的icmp协议,即允许192.168.2.208主机ping:

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" protocol value="icmp" accept"


取消允许192.168.2.208主机的所有流量

firewall-cmd --remove-rich-rule="rule family="ipv4" source address="192.168.2.208" accept"


允许192.168.2.208主机访问ssh服务
 

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" service name="ssh" accept"

禁止192.168.2.208访问https服务,并返回错误信息:

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" service name="https" reject"


注:如果是drop的话是直接丢弃,会返回timeout(连接超时)
允许192.168.2.0/24网段的主机访问22端口:
 

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="22" accept"

允许192.168.2.1地址的主机访问22端口:

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.1" port protocol="tcp" port="22" accept"


允许任意地址的主机访问5601端口:

firewall-cmd --add-rich-rule="rule family="ipv4" port  protocol="tcp" port="5601" accept"


每分钟允许2个新连接访问ftp服务:

firewall-cmd --add-rich-rule="rule service name=ftp limit value=2/m accept"


允许新的ipv4和ipv6连接ftp,并使用日志和审核,每分钟允许访问一次:
 

firewall-cmd --add-rich-rule="rule service name=ftp log limit value="1/m" audit accept"


拒绝来自192.168.2.0/24网段的连接,10秒后自动取消:

firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 reject" --timeout=10


允许ipv6地址为2001:db8::/64子网的主机访问dns服务,并且每小时审核一次,300秒后自动取消:

firewall-cmd --add-rich-rule="rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject" --timeout=300


将来自192.168.2.0/24网段访问本机80端口的流量转发到本机的22端口:

firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 forward-port port=80 protocol=tcp to-port=22"


将来自192.168.2.0/24网段访问本地80端口的流量转发到192.168.2.208主机的22端口:
 

firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.2.0/24 forward-port port=80 protocol=tcp to-port=22 to-addr=192.168.2.208"

防火墙脚本示例:

#!/bin/bash

systemctl stop firewalld

\cp -p /usr/lib/firewalld/zones/drop.xml /etc/firewalld/zones/

systemctl start firewalld

firewall-cmd --set-default-zone=drop

firewall-cmd --permanent --change-interface=ens32

firewall-cmd --permanent --add-service=https

firewall-cmd --permanent --add-protocol=icmp

firewall-cmd --permanent --add-masquerade

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.2.208" port protocol="tcp" port="5210" accept"

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.2.206" port protocol="tcp" port="5210" accept"

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="116.226.230.115" port protocol="tcp" port="8023" accept"

firewall-cmd --reload

附加:

  1. rich rules----富规则,即更细致、更详细的防火墙规则策略,它的优先级在所有的防火墙策略中也是最高的,这个要注意。
  2. 以上端口、服务、协议、端口流量转发配置都是临时添加,重启就丢失;建议在/etc/firewalld/zones/配置文件里配置规则,以永久生效。
centreon~
关注
  • 13
    点赞
  • 71
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
systemctl stop firewalld和systemctl status firewalld防火墙关闭和状态查看】
一杯派蒙的博客
09-30 1万+
[root@node1601232218 ui]# systemctl status firewalldfirewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled) Active: active (running) since Wed 2020-09-30
linux系统中防火墙的常用命令
随风的博客
03-04 7644
linux系统中开启设置防火墙的常用命令
Linux——Firewall防火墙firewalld与iptables两种管理方式)_firewalld 旁路由 透明代理
最新发布
m0_61943758的博客
04-26 849
经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!
CentOS 防火墙设置
1853
12-09 469
CentOS 防火墙 基础命令 功能 命令 备注 查看状态 firewall-cmd --state 开启 systemctl start firewalld.service 重启 systemctl restart firewalld.service 设置开启自启动 systemctl enable firewalld.service 查看自启设置是否成功...
Linux(CentOS)下使用firewall-cmd查看、开放、关闭端口及防火墙设置
热门推荐
Ditto的分享
09-23 1万+
Linux操作系统中使用firewall-cmd查看、开放、关闭端口及设置防火墙,同时进行流量转发。
Linux防火墙firewalld只允许特定IP访问
noya202020的博客
12-30 1万+
只允许特定IP访问服务器端口实例
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start...
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
linux_防火墙[iptables][firewalld]使用.txt
08-28
该笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
CentOS 7关闭与开启防火墙方法以及systemctl命令的命名解读
COCO56的博客
03-10 3861
文章目录1. 命令解读2. 关闭防火墙3. 开启防火墙4. 重启防火墙4.1. 方法 14.2. 方法2 1. 命令解读 命令解析:systemctl为system control的缩写,意为系统控制 2. 关闭防火墙 查看防火墙当前的状态systemctl status firewalld.service 防火墙默认为开启状态,如果自己之前没有关闭过,则会是active(running) 关闭防火墙systemctl stop firewalld.service 关闭防火墙之后再次查看状态,会看到
Linux关闭防火墙命令
weixin_45428910的博客
10-21 1131
Linux关闭防火墙命令
防火墙firewalld 开启关闭端口
Allen技术小站
05-17 1959
防火墙firewalld 开启关闭端口
firewalld 操作指令
Stars.Sky 的博客
06-15 4619
firewall-cmd 操作指令。
3剑客第10天练习题_linux截取ip,并用ip 192,2024Linux运维大厂面试集合
2401_83946070的博客
04-15 521
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。/排除内容/{print}’ 文件名。sed -n ‘/排除内容/!1.如何进行排除过滤?
Linux操作系统:Firewalld
m0_51456787的博客
08-09 1867
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
linux关闭防火墙命令
xxy1022_的博客
07-19 667
需要注意的是,如果当前防火墙是处理开启状态,使用disable禁用防火墙之后,并不会直接处于关闭状态,如果想要直接让他处于关闭状态,需要运行一下。
Linux防火墙之关闭firewalld防火墙(centos7)_disable firewalld(2)
04-18 399
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。我们都知道iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
linux防火墙firewalld配置
10-10
Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

centreon~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值