firewalld防火墙的使用

最新推荐文章于 2024-07-10 10:55:31 发布
最新推荐文章于 2024-07-10 10:55:31 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: linux系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whoim_i/article/details/103883291
版权

目录

         ~~~~~~~~         因为想要面对一个新的开始,一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些,就不叫新的开始,而叫逃亡。 ​​​​
                                                                                                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~                                                                                                 ————玛丽亚·杜埃尼亚斯

前言

与之前提到的iptables防火墙类似,firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,他们的作用都是用于维护规则,而真正使用规则的是内核的netfilter。相较于iptables防火墙而言,firewalld支持动态更新技术并且加入了区域(zone)的概念。简单的说,zone就是firewalld预先准备的几套防火墙策略集合,用户可以根据实际情况选择不同的策略集合,从而实现防火墙策略之间的快速切换。

区域的概念

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。

区域名称默认配置说明
Trusted (信任区域)允许所有的传入流量
Home (家庭区域)允许与ssh、mdns、ipp-client、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
Internal (内部区域)默认值时与home区域相同
Work (工作区域)允许与ssh、ipp-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
Public (公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
External (外部区域)允许与ssh预定义服务匹配的传入流量,其余均拒绝。默认将经过此区域转发的IPv4地址传出流量进行地址伪装。
Dmz (隔离区域)允许与ssh预定义服务匹配的传入流量,其余均拒绝。
Block (阻塞区域)拒绝所有传入流量
Drop (丢弃区域)丢弃所有传入流量

用户可以根据具体环境选择使用区域。管理员也可以对这些区域进行自定义,使其具有不同的设置规则。
在流量经过防火墙时,firewalld防火墙会对传入的每个数据包进行检查,如果此数据包的源地址关联到特定的区域,则会应用该区域的规则对此数据包进行处理,如果该源地址没有关联到任何区域,则将使用传入网络接口所在的区域规则进行处理。如果流量与不允许的端口、协议或者服务匹配,则防火墙拒绝传入流量。

防火墙基本指令参数

firewall-cmd #是命令行配置
firewall-config #是图形化配置

firewall-cmd是firewalld防火墙自带的字符管理工具,它分为两种状态。
runtime(正在运行生效的状态):
在runtime状态添加新的防火墙规则,这些规则会立即生效,但是重新加载防火墙配置或者重启系统后这些规则将会失效;
permanent(永久生效的状态):
在permanent状态添加新的防火墙规则,这些规则不会马上生效,需要重新加载防火墙配置或者重启系统后生效。
在使用firewall-cmd命令管理防火墙时,需要添加为永久生效的规则需要在配置规则时添加–permanent选项(否则所有命令都是作用于runtime,运行时配置),如果让永久生效规则立即覆盖当前规则生效使用,还需要使用firewall-cmd --reload命令重新加载防火墙配置
常用firewall-cmd命令如下:

firewall-cmd命令说明
–get-default-zone查看当前默认区域
–get–active-zones列出当前正在使用的区域及其所对应的网卡接口
–get-zones列出所有可用的区域
–set-default-zone=设置默认区域(注意此命令会同时修改运行时配置和永久配置)
–add-source=[–zone=]将来自IP地址或网段的所有流量路由到指定区域,没有指定区域时使用默认区域。
–remove-source=[–zone=<ZONE]从指定区域中删除来自IP地址或网段的所有路由流量规则,没有指定区域时使用默认区域。
–add-interface=[–zone=<ZONE]将来自该接口的所有流量都路由到指定区域。没有指定区域时使用默认区域。
–change-interface=[–zone=<ZONE]将接口与指定区域做关联,没有指定区域时使用默认区域。
–list-all[–zone=<ZONE]列出指定区域已配置接口、源、服务、端口等信息,没有指定区域时使用默认区域。
–add-service=[–zone=<ZONE]允许到该服务的流量通过指定区域,没有指定区域时使用默认区域。
–remove-service=[–zone=<ZONE]从指定区域的允许列表中删除该服务,没有指定区域时使用默认区域。
–add-port=<PORT/PROTOCOL>[–zone=<ZONE]允许到该端口的流量通过指定区域,没有指定区域时使用默认区域。
–remove-port=<PORT/PROTOCOL>[–zone=<ZONE]从指定区域的允许列表中删除该端口,没有指定区域时使用默认区域。

区域管理

#firewall -cmd
--get-default-zone  查询默认的区域名称
--set-default-zone=<区域名称>   设置默认的区域
--get-active-zones  显示当前正在使用的区域与网卡名称
--get-zones 显示总共可用的区域
--new-zone= 新增区域

服务管理

#firewall -cmd
--get-services  显示预先定义的服务
--add-service=<服务名> 设置默认区域允许该服务的流量
--remove-service=<服务名>  设置默认区域不再允许该服务的流量
--list-all --zone=<区域名> 查看相应区域已配置的规则
--add-service=http --add-service=https  将多个服务添加到某一个区域

端口管理

#firewall -cmd
--add-port=3306/tcp 允许TCP的3306端口到public区域
--remove-port=3306/tcp  从public区域将TCP的3306端口移除
--add-port=2048-2050/udp --zone=public 允许某一范围的端口,如允许UDP的2048-2050端口到public区域
--list-ports  查看加入的端口操作是否成功

伪装ip

通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包源地址更改为其NAT设备自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。

#firewall -cmd
--query-masquerade # 检查是否允许伪装IP
--permanent --add-masquerade # 允许防火墙伪装IP
--permanent --remove-masquerade# 禁止防火墙伪装IP

端口转发

当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。

firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:to port=8080  转发本机80/tcp端口的流量至8080/tcp端口,要求当前和长期有效
firewall-cmd --remove-forward-port=port=80:proto=tcp:toport=8080  移除转发

富规则策略

区域里的富规则按先后顺序匹配,按先匹配到的规则生效。

#firewall-cmd 
--add-rich-rule='<RULE>'    //在指定的区添加一条富规则
--remove-rich-rule='<RULE>' //在指定的区删除一条富规则
--query-rich-rule='<RULE>'  //找到规则返回0 ,找不到返回1
--list-rich-rules       //列出指定区里的所有富规则
--list-all 和 --list-all-zones 也能列出存在的富规则
rule family="ipv4" source address="192.168.0.0/24" service name="tftp" log prefix="tftp" accept //在192.168.0.0/24这个段里可以访问tftp服务
rule family="ipv4" source address="192.168.0.0/24" forward-port to-addr="local" to-port="8080" protocol="tcp" port="80" //来自192.168.0.0/24这个段的8080端口数据转发到本地的80端口
rule family="ipv4" source address="192.168.2.4" drop //拒绝192.168.2.4这个ip访问
whoim_i
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux——firewalld防火墙基础(防火墙的配置方法、firewall-cmd命令行工具)
CN_PanHao的博客
07-29 1041
文章目录前言Firewalld概述Firewalld和iptables的关系netfilterFirewalld、iptablesnetfilter和Firewalld,iptables关系Firewalld和iptables的区别Firewalld网络区域Firewalld防火墙的配置方法Firewall-config图形工具“区域”选项卡“服务”选项卡Firewalld防火墙案例 前言 Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙
Firewalld防火墙
夏颜的博客
05-13 176
文章目录一.Firewalld概述二.Firewalld与iptables的区别三.Firewalld区域3.1Firewalld九大区域3.2数据处理流程3.3firewalld数据包检查规则四.Firewalld配置 一.Firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向net
Linux Firewall-cmd --permanent选项详解及示例
最新发布
Leon_Jinhai_Sun的博客
07-10 360
Linux Firewall-cmd --permanent选项详解及示例
Firewalld 用法解析
weixin_30879169的博客
11-03 694
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
firewalld防火墙总结
weixin_45190065的博客
09-06 3616
最全firewalld总结
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 7401
查看防火墙策略。
Centos7的Firewalld防火墙基础命令详解
09-14
主要介绍了Centos7的Firewalld防火墙基础命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
linux 防火墙zone,Linux firewalld防火墙使用
weixin_32747681的博客
05-14 631
一、Firewalld概述动态防火墙管理工具定义区域与接口安全等级运行时和永久配置项分离两层结构核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器;顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld使用该接口提供在线工具。原理图二、Firewalld与iptables对比firewalld 是 iptables 的前端控...
Firewalld防火墙基础
rqaz123的博客
05-23 266
本章的结构 Firewalld概述 Firewalld和iptables的关系 Firewalld网络区域 Firewalld防火墙的配置方法 Firewall-config图形工具 Firewalld防火墙案例 本章注意区分Firewalld和iptables区别,他们定义好策略后,前者不需要重启服务,而后者需要重启服务。 记住何为“内核态” 何为“用户态” 一、Firewalld概述 ​支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具; 支持IPv4,IPv6防火墙设置以
firewalld防火墙常用命令
weixin_45290734的博客
10-06 464
1,防火墙启动 systemctl start firewalld 2.开启某个端口 firewall-cmd --permanent --zone=public --add-port=80/tcp 3.设置某个端口白名单 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1" port protocol="tcp" port="2222" accept" ......
firewalld防火墙
gcc001224的博客
05-13 9490
文章目录 Firewalld
firewall防火墙详解(持续更新中...)
Quan的博客
09-12 1869
永久开放端口 firewall-cmd--add-port=8080/tcp --permanent 重新加载生效开放的端口 firewall-cmd--reload 在CentOS7 中,引入了一个新的服务,Firewalld,下面一张图,让大家明确的了解防火墙 Firewall 与 iptables 之间的关系与区别。 安装它,只需 yum install ...
Firewalld 防火墙常用命令汇总
m0_63761361的博客
03-05 4722
目录 一、firewalld概述 二、firewalld与iptables的区别 三、firewalld区域的概念 四、firewalld防火墙预定义了9个区域 五、Firewalld数据处理流程 六、Firewalld防火墙的配置方法 1、运行时配置 2、永久配置 七、firewalld防火墙的配置方法 八、常用的 firewall-cmd 命令选项 (一)、常用命令 (二)、区域管理 (三)、服务管理 (四)、端口管理 一、firewalld概述 firewalld
Linux学习笔记(20)——firewalld防火墙管理服务
Zone的博客
06-19 1000
firwalld firewalld(Dynamic Firewall Manager of Linux systems, Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于 CLI (命令行界面)和基于 GUI(图形用户界面)的两种管理方式。 相较于传统的防火墙管理配置工具,firewalld 支持动态更新技术并加入了区域(zone)的概念。区域就是 fire...
Linux系统- firewall-cmd的使用详解
鬼刺
10-15 2156
1 引言
firewall防火墙规则
cjm712的博客
03-02 1255
https://blog.csdn.net/s_p_j/article/details/80979450 firewalld配置 防火墙放行端口: systemctl unmask firewalld firewall-cmd --list-all-zones firewall-cmd --permanent --add-port=15672/tcp firewall-cmd --perma...
firewalld的各种需求
Jun____________的博客
03-20 374
文章目录firewalld概述firewalld 与 iptables 的区别:1.2.3.firewalld 区域的概念:firewalld防火墙预定义了9个区域:1、trusted(信任区域):2、public(公共区域):3、external(外部区域):4、home(家庭区域):5、internal(内部区域):6、work(工作区域):7、dmz(隔离区域也称为非军事区域):8、block(限制区域):9、drop(丢弃区域):firewalld数据处理流程:firewalld检查数据包的源地址的
firewalld防火墙命令
09-13
以下是一些常用的 firewalld 防火墙命令: 1. 启动 firewalld 服务: ``` sudo systemctl start firewalld ``` 2. 停止 firewalld 服务: ``` sudo systemctl stop firewalld ``` 3. 设置 firewalld 为开机启动: ``` sudo systemctl enable firewalld ``` 4. 禁止 firewalld 的开机启动: ``` sudo systemctl disable firewalld ``` 5. 查看 firewalld 状态: ``` sudo systemctl status firewalld ``` 6. 开启指定端口: ``` sudo firewall-cmd --zone=public --add-port=<port_number>/tcp --permanent ``` 7. 关闭指定端口: ``` sudo firewall-cmd --zone=public --remove-port=<port_number>/tcp --permanent ``` 8. 重新加载防火墙配置: ``` sudo firewall-cmd --reload ``` 这些是一些基本的 firewalld 命令,你可以根据实际需求进行配置和调整。记得在修改配置后重新加载防火墙才能生效。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值