Firewall

已于 2024-07-07 18:02:30 修改
阅读量533 收藏 10
点赞数 10
分类专栏: Linux 文章标签: 网络 服务器 linux 网络安全 安全架构 安全 系统安全
于 2024-06-25 09:09:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54799594/article/details/139945800
版权

一、Firewall简介

Firewalld是Linux系统下一款核心的防火墙管理工具,用于保护系统的网络安全。Firewalld通过硬件和软件在内部和外部网络之间产生一种保护屏障,有效地监控并控制网络的信息流。Firewalld的基本结构由表(Tables)、链(Chains)和规则(Rules)组成。每个链包含多个规则,用于匹配数据包并根据结果执行相应操作。Firewalld使用iptables、ip6tables、ebtables和nftables作为后端处理网络数据包。Firewalld提供两种配置模式:运行时(Runtime)模式和永久(Permanent)模式。在运行时模式下,配置的策略会立即生效,但系统重启后失效;而在永久模式下,配置的策略会在系统重启后依然生效,但需要手动执行firewall-cmd --reload命令才能立即生效。

二、Firewall区域 

1.drop:丢弃

任何传入的网络数据包都被丢弃,没有回复。只能进行传出网络连接
2.block:阻止

任何传入的网络连接被拒绝,其中包含用于IPv4的icmp-host-prohibited消息和用于IPV6的icmp6-adm-prohibited。
3.public: 公共《默认)
用于公共场所您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接.
4.external:外部网络
用于特别为路由器启用伪装的外部网络。
5.dmz:管制区
适用于非军事区中的计算机,这些计算机可公开访问,并且对内部网络的访问权限有限。仅接受选定的传入连接.
6.work:工作
用于工作区域。您最常信任网络上的其他计算机,以免损害您的计算机。仅接受选定的传入连接。
6.home: 家庭
适用于家庭领域。您最常信任网络上的其他计算机,以免损害您的计算机。仅接受选定的传入连接。
7.internal: 内部
用于内部网络。您最常信任网络上的其他计算机,以免损害您的计算机。仅接受选定的传入连接
8.trusted:受信任
接受所有网络连接。可以将这些区域中的一个指定为默认区域。将接口连接添加到NetworkManager时,会将它们分配给默认区域。安装时,firewalld中的默认区域将设置为公共区域。

三、常用命令

查看防火墙状态:firewall-cmd --state

拒绝所有包: firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic

查看有哪些区域:firewall-cmd --get-zones

查看有哪些区域:firewall-cmd --get-services

查看已有的规则:firewall-cmd --list-all


暂时开放 ftp 服务: firewall-cmd --add-service=ftp

永久开放 ftp 服务: firewall-cmd --add-service=ftp --permanent

查询服务的启用状态: firewall-cmd --query-service ftp

开放mysql端口: firewall-cmd --add-service=mysql

阻止http端口: firewall-cmd --remove-service=http

查看开放的服务: firewall-cmd --list-services
查看对应规则库文件: cd /usr/lib/firewalld/services


开放通过tcp访问3306:firewall-cmd --add-port=3306/tcp
阴止通过tcp访问3306: firewall-cmd --remove-port=80tcp

永久开放80端口:firewall-cmd --zone=public --add-port=80/tcp--permanent

查看80端口:firewall-cmd --zone=public --query-port=80/tcp
查看所有开放端口: firewall-cmd --zone=public --list-ports
删除80端: firewall-cmd --zone=public --remove-port=80/tcp --permanent

开放postgresgl服务: firewall-cmd --add-service=postgresql --permanent


允许http服务通过1分钟: firewa11-cmd--zone=public --add-service=http --timeout=1m,这个 timeout 选项是一个以秒(s)、分(m)或小时(h)为单位的时间值。


重载防火墙: firewall-cmd --reload
检查防火墙状态: firewall-cmd --state
让设定生效: systemctl restart firewalld

四、富规则

添加指定ip访问特定端口规则:

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.112.1 port port=80protocol=tcp accept'
删除指定某个ip访问特定端口规则:

firewall-cmd --permanent--remove-rich-rule="rule family="ipv4”source address="192.168.112.1" portprotocol="tcp" port="80" accept"
禁止某个ip访问:
iptables -I INPUT -S 138.138.138.138 -j DROP
firewall -cmd --add-rich-rule='rule family=ipv4 source address="192.168.112.1" drop
允许ping:

firewall-cmd --add-rich-rule='rule family="ipv4" protocol value="icmp" source address="192.168.112.1 "accept'
接受192.168.112.0网段所有IP访问SSH服务:
firewall-cmd --add-rich-rule='rule family="ipv4" source address="192.168.112.0/24" service name=ssh accept'
直接模式:
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 192.168.112.1 -j ACCEPT 

 

 

Cityミ slaves
关注
  • 10
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
personal firewall
01-24
控制程序对互联网的访问,日志记录,数据报文匹配截获报警。
Sophos XG Firewall SFOS 18.0.rar
11-02
目录 网盘文件,永久连接 SW-18.0.0 GA-Build379-379,iso V-18.0.0_GA-Build379. HYV-379 zip V-18.0.0 GA-Build379. VMW-379zIp VI-18.0._GA-Build379.XEN-379 zip VI-18.0.0 GA-Build379.KVM-379z
WindowsFirewall.diagcab
07-26
当然,如果遇到有 WindowsFirewall.diagcab 无法解决的问题,可以点击查看详细信息来获取相关问题的报告,再到搜索引擎去查找或者咨询 IT Pro。 win10系统如何重置防火墙设置? 如果排查工具没有发现任何错误,可以将...
firewall防火墙
11-01
firewall防火墙配置与使用, CentOS7使用firewalld打开关闭防火墙与端口
firewall-cmd命令.txt
09-16
3、firewalld防火墙有两个管理工具,命令行工具:firewall-cmd,图型化的管理工具:firewall-config 。也可以直接编辑XML文件(官方不建议使用些方法)。 4、frewall-cmd创建防火墙规则分基本规则与富规则(Rich ...
Iperf基本用法
peterhunter0320的博客
07-04 327
Iperf支持TCP和UDP协议,可以用于点对点或客户端-服务器等模式的网络测试。在Windows系统中,您可以下载Iperf的预编译版本,并将其解压到任意文件夹中。以上是Iperf的一些基本用法,您可以根据实际需要调整各种参数来满足不同的测试需求。更多详细的使用方法和参数,您可以通过运行iperf3 -h命令来查看帮助文档。在Linux系统中,您可以使用包管理器安装Iperf。Iperf的使用非常灵活,可以通过命令行参数来调整测试的各种参数。iperf3 -c <服务器IP地址> -u -b 10M。
Zabbix自动发现
Lzcsfg的博客
07-08 376
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
基于STM32设计的管道有害气体检测装置(ESP8266局域网)176
07-06 97
基于STM32设计的管道有害气体检测装置采用了一系列先进的传感器技术,针对多种有害气体进行检测,通过实时监测烟雾浓度、甲烷、一氧化碳、甲醛等有害气体的浓度以及温湿度等参数,并通过OLED显示和ESP8266上传数据至手机端,可以使相关工作人员及时了解管道环境的情况,采取相应的控制和调节措施,从而保障工作人员和公众的健康与安全。 为了确保传感器正常工作和数据的准确性,装置还引入了温湿度检测机制,因为气体传感器的性能受温湿度影响较大,适宜的温度和湿度条件能够确保传感器的稳定工作和数据准确性。
华为HCIP Datacom H12-821 卷28
QIN_yuexiang的博客
07-05 172
因此,路由器在收到一份来自源S发往组G的组播数据报文之后,首先会在组播转发表中查找有无相应的(S,G)组播转发表项:如果不存在(S,G)转发表项,则对该报文执行RPF检查,将检查到的RPF接口作为入接口,创建组播路由表项,下发到组播转发表中。AS_Set属性是一种无序的AS_Path属性,标明聚合路由所经过的AS号。在广播环境中,DIS 发送 hello 报文的周期更加的短,是普通ISIS路由器的1/3,普通ISIS路由器发送hello的时间为10s,所以DIS发送hello的周期是3.3s。
【计算机网络——1.2网络边缘】
2301_76758064的博客
07-03 1001
流量阻塞控制:比如A和B互通,会走某条线路,C和D也会经过这条路,或者这条路的一部分,就很有可能阻塞,当信息量太大时,交换节点就会丢东西,信息就不完整,TCP检测线路阻塞情况,从而限值发送速率。其实就是端系统/主机,上面运行着分布式系统,那么这些运行的网络应用就是网络存在的理由,应用由端系统的基础设施(操作系统,硬件,实体协议,网络核心,包括对方主机的应用层下面的基础设施)支撑。不需要握手,直接发送,直接回应,不可靠(TCP的特性一个不占),但是效率高,应用一些不需要数据太准确方面(视频,语音)
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 606
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
常见网络攻击方式及防御方法
2301_76786857的博客
07-04 935
网络攻击对个人、组织和整个社会都带来了严重的威胁,因此必须采取有效的安全措施来保护网络系统和用户的信息安全。
SQL Server设置端口:跨平台指南
最新发布
招风的黑耳CSDN
07-09 361
在使用SQL Server时,设置或修改其监听的端口是确保数据库服务安全访问和高效管理的重要步骤。由于SQL Server可以部署在多种操作系统上,包括Windows、Linux和Docker容器等,因此设置端口的步骤和方法也会因平台而异。本文将为您提供一个跨平台的指南,帮助您在不同环境下设置SQL Server的端口。
AVIO自定义读写
qq_54017644的博客
07-05 188
AVIO编程实战---极精简代码
红日靶场----(二)1.信息收集
zhouA0221的博客
07-04 1191
上期靶场环境已经搭建完成,接下来我们开始渗透测试!主要是学习内网安全、内网横向移动、域渗透。
医疗器械网络安全| 常见安全漏洞与防护措施
网 安 云
07-08 533
通过加强代码审查和安全测试、采用安全设计原则和最佳实践、加强网络安全保护、实施严格的访问控制、建立安全监控和响应机制、关注并遵循相关标准和规范以及加强安全培训和意识提升等措施,可以有效防止医疗器械软件被攻击和滥用,为患者提供更加安全可靠的医疗服务。
内网信息收集:手动、脚本和工具查IP、端口
8888的博客
07-08 302
以下命令在CS执行时命令前须加shell,如:shell ipconfig1.收集IP网卡: ipconfig2.收集操作系统和软件信息: systeminfo3.查看操作系统的体系结构:echo %PROCESSOR_ARCHITECTURE%4.查看目录和文件夹:shell dir shell type 文件名5.查看操作系统的软件及版本信息:6.本机的服务信息: wmic service list brief。
ubuntu防火墙指定端口开放设置
weixin_73044854的博客
07-06 362
这将显示防火墙的当前状态以及所有已允许和已拒绝的规则。这将提供更详细的信息,包括默认策略和日志记录状态。在 Ubuntu 中管理防火墙通常使用。你也可以指定协议,例如仅允许。现在已经被允许访问。
【Linux】探索网络编程:TCP/UDP协议解析与Socket应用实例
Colorful___的博客
07-04 990
在现代信息技术飞速发展的今天,网络通信已经成为我们日常生活和工作中不可或缺的一部分。无论是通过电子邮件、社交媒体还是在线会议,网络通信都扮演着至关重要的角色。而在这背后,是复杂的网络协议和编程技术支撑着这一切的运行。本文旨在深入探讨网络编程的基础知识,特别是UDP和TCP这两种常用的传输层协议,以及它们在socket编程中的应用。通过本文,读者将能够理解源IP地址、目的IP地址、端口号等概念,并学习如何使用socket编程接口来创建网络应用程序。
linux firewall
09-15
Linux firewall是一种用于保护Linux系统安全的防火墙软件。它可以通过过滤网络流量来阻止潜在的入侵,并允许合法的网络通信。为了配置Linux firewall防火墙,您可以使用一些常用的命令。 首先,您可以使用命令`systemctl start firewalld`来开启firewall防火墙。这个命令会启动firewalld服务,使防火墙开始工作。 接下来,您可以使用其他一些命令来配置防火墙规则。例如,您可以使用`firewall-cmd`命令添加规则来允许或阻止特定的网络流量。比如,`firewall-cmd --zone=public --add-port=80/tcp --permanent`可以允许在公共区域(public zone)的80端口的TCP流量。 另外,您还可以使用`firewall-cmd --reload`命令重新加载防火墙规则,以使新的规则生效。这个命令在修改了防火墙规则后很有用。 除了命令行方式,还可以通过配置文件`/etc/firewalld`来进行更复杂的防火墙配置。您可以编辑这个文件来添加、删除或修改防火墙规则。 总的来说,使用这些命令和配置文件,您可以灵活地配置Linux firewall防火墙以满足您的安全需求。请确保在对防火墙进行任何更改之前,您已经了解了防火墙的基本知识,并且谨慎操作。希望这些信息对您有帮助!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值