Firewalld 防火墙配置

最新推荐文章于 2024-07-03 17:07:26 发布
最新推荐文章于 2024-07-03 17:07:26 发布
阅读量1.6k 收藏 21
点赞数 26
分类专栏: Linux 文章标签: 网络安全 系统安全 安全 Firewalld
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58783105/article/details/134940940
版权

文章目录

Firewalld 防火墙配置

1. Firewalld 概述

firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。

在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。

firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略。每个区域都对应一组特定的规则,用于定义该区域内允许和禁止的网络访问。

firewalld 还可以动态更新防火墙规则,而无需重启防火墙服务。这意味着管理员可以在运行时添加、删除或修改规则,使网络访问控制更加灵活和实时。此外,firewalld 还支持连接跟踪,可以自动管理由于网络连接状态的变化而需要调整的规则。

除了基本的端口过滤、包转发和网络地址转换等功能外,firewalld 还提供了高级功能,如源地址验证、负载均衡、IPset、Rich Rules 等。管理员可以使用这些功能来创建更复杂、更精细的防火墙策略。

注意:firewalld不要与iptables混用,如果要使用firewalld就将iptables规则清空。

2. 区域名称及策略规则

firewalld九个区域

  • trusted(信任区域):允许所有的数据包

  • home(家庭区域):拒绝流入的流量,除非与流出的流量相关,而如果是与ssh,mdns,ipp-client,amba-client与dhcp-client服务相关流量,则是允许通过。

  • internal(内部区域):默认值时与homel区域相同。

  • work(工作区域):拒绝流入的流量,除非与流出的流量相关,而如果是与ssh,ipp-client与dhcpv6-client服务相关流量,则是允许通过。

  • public(公共区域):拒绝流入的流量,除非与流出的流量相关;而如果是与ssh或dhcpv6-client服务相关流量,则允许通过。

  • external(外部区域):拒绝流入的流量,除非与流出的流量相关;而如果与ssh服务相关流量,则允许通过。

  • dmz(隔离区域也称为非军事区域):拒绝流入的流量,除非与流出的流量相关;而如果与ssh服务相关流量,则允许通过。

  • block(限制区域):拒绝流入的流量,除非与流出的流量相关。

  • drop(丢弃区域):拒绝流入的流量,除非与流出的流量相关。

3. Firewalld 配置方法

使用Firewalld命令行工具

firewalld-cmd

使用Firewalld图形工具

firewalld-config

4. Firewalld 参数和命令

参数作用
-get-default-zone查询默认区域
-set-default-zone=区域名称设置默认区域,使其永久生效
–get-zones显示可用的区域
–get-active-zones显示当前正在使用的区域以及网卡的名称
–add-source=ip将源自此的IP或子网的流量导向指定的区域
–remove-source=ip不再将源自此的IP或子网的流量导向指定的区域
–add-interface=网卡名称将源自此的网卡的流量导向指定的区域
–change-interface=网卡名称将某个网卡与区域进行关联
–list-all显示当前区域的网卡配置参数,资源,端口及服务信息
–list-all-zones显示所有区域的网卡配置参数,资源,端口及服务信息
–add-service=服务名称设置默认区域允许该服务的流量
–add-port=端口协议设置默认区域允许该端口的流量
–remove-service=服务名称不再设置默认区域允许该服务的流量
–remove-port=端口协议不再设置默认区域允许该端口的流量
–reload让永久生效的配置规则立即生效,并覆盖当前的配置规则
–panic-on开启应急模式
–panic-off关闭应急模式
–query-masquerade检查是否允许伪装IP
–add-masquerade允许防火墙伪装IP
–remove-masquerade禁止防火墙伪装IPs

5. Firewalld 两种模式

运行时模式 Runtime

  • 配置后立即生效,重启后失效

永久生效模式 permanent

  • 当前不生效,重启后生效

6. Firewalld 使用

查看当前使用的区域

firewall-cmd --get-default-zone

image-20230910180729382

显示可用的区域

firewall-cmd --get-zones

image-20230910180818592

显示当前正在使用的区域以及网卡的名称

firewall-cmd --get-active-zones

image-20230910181942660

查看指定网卡所在的区域

firewall-cmd --get-zone-of-interface=ens224

image-20230910185100966

显示当前区域的网卡配置参数,资源,端口及服务信息

firewall-cmd --list-all

image-20230910182723070

显示所有区域的网卡配置参数,资源,端口及服务信息

firewall-cmd --list-all-zones

image-20230910182817082

修改当前网卡所在的区域,并永久生效

firewall-cmd --permanent --zone=external --change-interface=ens224

image-20230910192906185

重启服务器,查看网卡所在区域

firewall-cmd --get-zone-of-interface=ens224

image-20230910192959119

开启应急模式

firewall-cmd --panic-on

image-20230910193645411

开启后ssh服务就无法使用了,因为应急模式拦截一切流量。

关闭应急模式

firewall-cmd --panic-off

image-20230910193943460

关闭后SSH即可正常连接

image-20230910194011817

因为我们现在的处于public区域,所以SSH的流量可以进入。

image-20230910194414184

来日可期x
关注
  • 26
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
firewalld防火墙(一)firewalld防火墙的基本应用 防火墙的基本配置 配置防火墙规则
月亮不营业Mk的博客
12-03 493
firewalld防火墙 结构 概述 以上两种称呼都可以表示Linux 防火墙 防火墙:管理防火墙内核的工具 firewalld防火墙配置方法 进入图形化界面 [root@centos01 ~]# init 5 启动防火墙服务 [root@centos01 ~]# systemctl start firewalld 在图形化中启动firewalld服务 [root@centos01 ~]# friewall-config 默认所有网卡都属于public区 切换到字符界面 [root@c
firewalld防火墙配置(二)
m0_56629272的博客
05-12 218
基本环境配置 1)网关服务器配置ip地址及路由 网站服务器配置ip地址搭建网站 安装httpd服务和mod_ssl软件包 创建网站测试页并启用httpd服务 网关服务器配置防火墙 更改ssh端口号编辑防火墙规则 网站服务器配置防火墙 更改ssh端口号编辑防火墙规则 外网服务器配置防火墙 内网客户端访问网站 内网客户端sshweb站点,外网服务器sshgateway服务器 配置地址伪装 将源网络100.0伪装到外网接口ip地址 客户端访问外网ip地址验证 配置
firewalld 配置
lianggx6的博客
02-24 176
github原文链接(welcome give me a star on github): https://github.com/lianggx6/Tools/wiki/boost库配置 参见博客: https://blog.csdn.net/period000/article/details/80622265 https://blog.csdn.net/xlgen157387/article/d...
Firewalld 防火墙基础
最新发布
m0_71548847的博客
07-03 1672
firewalld 简介frewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewald 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接日。firewalld和iptables 的关系。
firewalld配置与使用
chairuo19890515的博客
07-04 301
临时永久关闭 #临时关闭 systemctl stop firewalld #永久关闭,即设置开机的时候不自动启动 systemctl disable firewalld 添加删除端口 #添加 firewall-cmd --zone=public --add-port=80/tcp --permanent (--permanent永久生效,没有此参数重启后失效) #重新载入...
防火墙配置————firewalld
LULUBAO1997的博客
12-06 698
这篇我们主要讲firewalld服务 系统提供了图像化的配置工具firewall-config、 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变
firewalld防火墙基本配置
qq_57258570的博客
11-16 3997
firewalld防火墙基本配置 1、firewalld的结构 与iptables一样,分为内核态和用户态,firewalld代替了iptables,是iptables的功能增强版。 比iptables增强的功能: 1.增强了对IPv6的支持 2.增加了9个基本安全区域,使基本配置更简单。 3.向下兼容iptables的语法。 4.支持图形化界面配置 2、firewalld数据处理流程 1.将数据包中的源IP地址,定义到指定的安全区域,先执行安全区域的规则。 2.如果源地址未...
firewalld防火墙高级配置
Huangzh1992的博客
01-09 630
IP伪装与端口转发 当用户数据包经过NAT设备时,NAT设备将源地址替换为公网IP地址,而返回的数据包就可以被路由。NAT技术一般都是在企业边界路由器或防火墙配置。 IP地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改改为原始的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址...
Firewalld防火墙配置.pdf
04-16
防火墙的一些常用的命令,可以帮助熟悉linux下Firewalld防火墙
Linux服务器安全加固:Firewalld防火墙配置与富规则设置
本文将重点介绍Linux服务器安全加固中的关键一环:Firewalld防火墙配置与富规则设置。 ## 1.2 Firewalld防火墙的作用 Firewalld防火墙是Linux系统中一种较为先进的防火墙解决方案,可以帮助管理员灵活设置网络访问...
Linux基础(firewalld防火墙配置管理工具的图形用户界面)
weixin_45626468的博客
04-13 1029
firewall-config的界面如图所示 我们先将当前区域中请求http服务的流量设置为允许,但仅限当前生效。具体配置如图
linux firewalld防火墙配置
04-29
Linux firewalld 是一种防火墙管理器,它能够控制网络流量并保护系统免受恶意攻击。下面是一些常见的 firewalld 配置命令: ...以上是一些常见的 firewalld 配置命令,使用这些命令可以轻松配置和管理 Linux 防火墙
Linux服务器安全加固:Firewalld防火墙配置与高级规则设置详解
#### 1.1 什么是Firewalld防火墙 Firewalld是一个动态管理工具,用于在Linux系统上管理网络防火墙。它可以方便地配置各种防火墙规则,并支持动态更新规则,适应网络环境的变化。 #### 1.2 Firewalld防火墙的重要性...
【Linux】—管理、设置防火墙规则(firewalld详解)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-18 8534
【Linux】—管理、设置防火墙规则(firewalld详解)
Linux CentOS 8(firewalld配置与管理)
正月十六工作室
10-24 3846
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
firewalld防火墙配置
BiQing11的博客
06-17 1851
1、确认并开启firewalld服务。上面是两个常见到得配置文件。
firewalld防火墙配置应用
看清所以看轻
08-31 343
实验环境 如图2.11所示,企业网络中,网关服务器和网站服务器采用Linux CentOS 7.3操作系统,网关服务器安装3块千兆网卡,分别连接Internet、企业内网、网站服务器。 ◆实验需求 ➢网关服务器连接互联网网卡ens33地址为100.1.1.10. 为公网IP 地址,分配到firewall的external (外部)区域;连接内网网卡ens37地址为192.168.1.1.分配到f...
firewalld防火墙配置和应用
chenxinmeng
05-25 892
firewalld介绍 firewalld和iptables的区别(动态防火墙和静态防火墙) 我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下 iptables service 管理防火墙规则的模式:用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 service iptables ...
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6586
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

来日可期x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值