命令行增加防火墙入站规则

已于 2024-09-13 15:58:14 修改
阅读量3.5k 收藏 4
点赞数 1
分类专栏: 操作系统 # Linux 文章标签: Linux CentOS
于 2022-07-01 15:11:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsdhla/article/details/125447023
版权

 批量增加入站规则可参考:批量增加防火墙入站规则_wsdhla的博客-CSDN博客

如何通过命令行增加防火墙入/出站规则?

Windows系统是可以直接从防火墙高级里面增加入站出站规则的,一步一步的挺方便,但是有的时候需要添加多个端口或IP,这样就显得十分笨拙,还是用命令行更省事。

一、Windows系统

以Windows Server 2008为例:

# 创建的规则类型为程序
# program="C:\xxx.exe"

# 创建的规则类型为端口
# protocol=TCP
# localport=1521

# 规则方向:入站
# dir=in

# 指定在连接与规则中指定的条件相匹配时要执行的操作
# action=allow

# 指定此规则应用的配置文件:域,专用,公用
# profile=ALL

# 指定作用域中的远程IP地址
# remoteip

# 示例1
netsh advfirewall firewall add rule name="应用程序入站规则测试" dir=in action=allow program="C:\xxx.exe" enable=yes remoteip=xxx.xxx.xxx.xxx,xxx.xxx.xxx.xx/xx,LocalSubnet profile=private,domain


# 示例2
netsh advfirewall firewall add rule name="端口入站规则测试" dir=in action=allow protocol=TCP localport=1234  enable=yes remoteip=xxx.xxx.xxx profile=domain



# 示例3
@echo off

REM 端口列表
set port_list=80,443,1521

REM IP列表
set ip_list=xxx.xxx.xxx.xxx,xxx.xxx.xxx.xxx

REM 先删
netsh advfirewall firewall delete rule name="入站规则-端口"
REM 后增
netsh advfirewall firewall add rule name="入站规则-端口" dir=in action=allow protocol=TCP localport=%port_list% enable=yes profile=domain,private remoteip=%ip_list%

​​​​​​官方直飞

更新已存在的规则

netsh advfirewall firewall set rule name="远程桌面(TCP-In)" new remoteip=XXX.XXX.XXX.XXX,LocalSubnet

启用程序示例:

# 旧版
netsh firewall add allowedprogram C:\MyApp\MyApp.exe "My Application" ENABLE


netsh firewall add allowedprogram program=C:\MyApp\MyApp.exe name="My Application" mode=ENABLE scope=CUSTOM addresses=157.60.0.1,172.16.0.0/16,LocalSubnet profile=Domain


netsh firewall add allowedprogram program=C:\MyApp\MyApp.exe name="My Application" mode=ENABLE scope=CUSTOM addresses=157.60.0.1,172.16.0.0/16,LocalSubnet profile=ALL



# 新版
netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yes


netsh advfirewall firewall add rule name="My Application" dir=in action=allow program= "C:\MyApp\MyApp.exe" enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain


netsh advfirewall firewall add rule name="My Application" dir=in action=allow program= "C:\MyApp\MyApp.exe" enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=domain
netsh advfirewall firewall add rule name="My Application" dir=in action=allow program="C:\MyApp\MyApp.exe" enable=yes remoteip=157.60.0.1,172.16.0.0/16,LocalSubnet profile=private

二、Linux系统

以CentOS7为例:

目前有个缺点,命令行没有找到增加多个IP的方法,有了解的大佬可以交流下。

可以临时编辑/etc/firewalld/zones/public.xml文件用来批量添加。

批量已解决,详见《批量增加防火墙入站规则《》

比如:

<rule family="ipv4">
    <source address="10.72.143.252"/>
    <port protocol="tcp" port="10250-10258"/>
    <accept/>
</rule>

补充firewall-cmd命令:

firewall-cmd --list-all

firewall-cmd --permanent --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=6379 protocol=tcp accept'


# 限制IP地址段
# 针对IP:192.168.172.18,从左侧开始,每一个点位代表8位,规律为
# 192.0.0.0/8,代表192开头的所有ip;
# 192.168.0.0/16,代表192.168开头的所有ip;
# 192.168.172.0/24,代表192.168.172开头的所有ip。
firewall-cmd --permanent --zone=public --add-source=192.168.1.0/24
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.172.0/24" port protocol="tcp" port="443" reject"

# 开启端口
firewall-cmd --zone=public --add-port=80/tcp --permanent

# 关闭端口
firewall-cmd --zone=public --remove-port=80/tcp --permanent


# 批量添加区间端口
firewall-cmd --zone=public --add-port=4400-4600/udp --permanent
firewall-cmd --zone=public --add-port=4400-4600/tcp --permanent

firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="xxx.xxx.xxx.xxx" port protocol="tcp" port="4400-4600" accept"

# 查看端口列表
firewall-cmd --permanent --list-ports
firewall-cmd --permanent --list-all
firewall-cmd --permanent --list-rich-rules


# 删除rule
firewall-cmd --permanent --remove-rich-rule "rule family="ipv4" port port="22" protocol="tcp" accept"


# 端口转发
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

firewall-cmd --reload

补充脚本方式:

# iptables: Saving firewall rules to /etc/sysconfig/iptables

# 查看规则
iptables -L -n --line-number

# -I 插入  -A 追加


# 禁用
iptables -I INPUT -p tcp --dport 1521 -j DROP

# 单IP
iptables -I INPUT -s 192.168.10.0 -p tcp --dport 1521 -j ACCEPT

# 多IP
iptables -I INPUT -s 192.168.10.49,192.168.10.33 -p tcp --dport 54321 -j ACCEPT

# 掩码
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 1521 -j ACCEPT

# IP段
iptables -I INPUT -m iprange --src-range 192.168.10.0-192.168.10.255 -p tcp --dport 1521 -j ACCEPT

# 指定网卡
iptables -I INPUT -s 192.168.10.0 -p tcp -i eno1 --dport 1521 -j ACCEPT

# 指定目的IP
iptables -I INPUT -s 192.168.10.0 -p tcp -d 192.168.10.1 --dport 1521 -j ACCEPT

# 端口区间
iptables -I INPUT -s 192.168.10.0 -p tcp --dport 0:65535 -j ACCEPT

# 保存规则,永久生效(否则重启服务器则失效)
iptables-save > /etc/sysconfig/iptables
service iptables save
# 老版:service iptables restart
# /etc/init.d/iptables restart
systemctl restart iptables.service

# 提示:The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl

# 需安装iptables服务,重新执行 service iptables save
yum install iptables-services

# 配置iptables开机自启
# 老版:service iptables on
# 新版
systemctl enable iptables.service
systemctl is-enabled iptables.service



# 先看一下防火墙的状态
firewall-cmd --state
# 或者
systemctl status firewalld


# 若没有安装
yum install firewalld


# 如果没有启用,先启用
systemctl start firewalld


# 查询端口
firewall-cmd --query-port=5005/tcp

# 开启某个端口
# 临时:
firewall-cmd --zone=public --add-port=80/tcp
# 永久:
firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --permanent --zone=public --add-port=10250/tcp 

# 为特定IP开放特定端口
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="xxx.xxx.xxx.xxx" port protocol="tcp" port="3443" accept"

firewall-cmd --zone=public --add-rich-rule 'rule family="ipv4" source address="192.168.1.10" port port=22 protocol=tcp accept' --permanent

# 示例2(使用rich-rule)
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" port protocol="tcp" port="3306" accept'

# 示例3(禁用规则)
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="xxx.xxx.xxx.xxx" port protocol="tcp" port="3306" drop'

# 关闭开放的某个端口
firewall-cmd --zone=public --remove-port=3306/tcp

# 重新加载规则
firewall-cmd --reload
# 重启防火墙 
service firewalld restart

# 查看端口开放情况、查看设置的所有规则
firewall-cmd --list-all

注意有些操作系统重启服务不再通过 service  操作,而是通过 systemctl 操作

# 查看 firewalld 服务是否启动
systemctl status firewalld
systemctl status firewalld.service


# 启动 firewalld 服务
systemctl start firewalld

# 重启 firewalld 服务
systemctl restart firewalld

# 设置 firewalld 服务开启自启动
systemctl enable firewalld

特殊场景:22端口(ssh服务)

ssh的22端口实测无法直接适用以上规则,搜索了一番,网上提供的思路是找另外的端口替代22,然后再给新端口添加防火墙规则

务必!!!谨慎操作!!!

# 禁用ssh服务
# firewall-cmd --permanent --zone=public --remove-service=ssh
# firewall-cmd --reload


# 直接禁用22端口,会导致所有新的会话都无法连接
# firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" port protocol="tcp" port="22" drop'
# firewall-cmd --reload

1、修改SSH服务器的配置文件/etc/ssh/sshd_config

修改前

#Port 22

修改后

# 22先放开以防万一,等2002端口正常之后再注释掉
Port 22
Port 2002

2、重启sshd
systemctl reload sshd.service
3、启用新端口
# firewall-cmd --zone=public --remove-port=22/tcp --permanent
# firewall-cmd --zone=public --add-port=2002/tcp --permanent

# firewall-cmd --permanent --remove-rich-rule "rule family="ipv4" port port="22" protocol="tcp" accept"
firewall-cmd --zone=public --permanent --add-rich-rule="rule family="ipv4" source address="xxx.xxx.xxx.xxx" port protocol="tcp" port="2002" accept"

firewall-cmd --reload
4、修改/etc/ssh/sshd_config,关闭22端口,再重启sshd
# Port 22
Port 2002

注意:

如果发现新端口依然无法实现IP白名单控制的话,请参考以下内容:

运行firewall-cmd --list-all,仔细观察发现services里有一个ssh

所以需要删除ssh服务的规则

# 禁用ssh服务
firewall-cmd --permanent --zone=public --remove-service=ssh
firewall-cmd --reload

还有的服务器遇到以下问题

[root@localhost ~]# firewall-cmd --permanent --remove-rich-rule "某rule"
You're performing an operation over default zone ('public'),
but your connections/interfaces are in zone 'docker' (see --get-active-zones)
You most likely need to use --zone=docker option.
[root@localhost ~]# firewall-cmd --get-active-zones
docker
  interfaces: docker0

执行:firewall-cmd --zone=public --change-interface=docker0 

之后

临时删除docker0

sudo ip link delete docker0

firewall-cmd --permanent --zone=public --change-interface=ens192
firewall-cmd --get-zone-of-interface=ens192

但是一直提示 no zone

重启了一下就可以了。 

最好发现这台服务器是CentOS8,并且启用了SELinux,SELinux会阻止ssh绑定其他端口

sudo sestatus

  • 确认防火墙或 SELinux 没有阻止 SSH 服务绑定到端口 2002。
  • SELinux 可能会对端口绑定有限制。
# 暂时将SELinux设为 permissive 模式以排除干扰
sudo setenforce 0

# 检查 SELinux 端口策略
sudo semanage port -l | grep ssh

# 如果没有显示端口 2002,你可以使用以下命令添加端口 2002 到 SSH 服务的 SELinux 策略
sudo semanage port -a -t ssh_port_t -p tcp 2002


# 检查防火墙规则
sudo firewall-cmd --permanent --zone=public --add-port=2002/tcp
sudo firewall-cmd --reload


# 检查网络配置: 确认网络配置没有阻止 SSH 服务绑定到端口 2002
sudo ip addr show

# 重新启动 SSH 服务
sudo systemctl restart sshd

# 检查服务状态
sudo systemctl status sshd

# 检查端口监听情况:
sudo netstat -tuln | grep 2002
sudo ss -tuln | grep 2002

其他乱七八糟的

firewall-cmd --permanent --zone=public --remove-interface=docker0
firewall-cmd --permanent --zone=public --add-interface=ens192
firewall-cmd --permanent --zone=public --change-interface=ens192

firewall-cmd --zone=public --list-services

firewall-cmd --get-services
firewall-cmd --get-active-zones
firewall-cmd --zone=public --query-service=ssh

firewall-cmd --set-default-zone=public
firewall-cmd --get-default-zone


firewall-cmd --permanent --zone=public --change-interface=ens192
firewall-cmd --get-zone-of-interface=ens192
ls /etc/firewalld/zones/

wsdhla
关注
专栏目录
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 5795
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
面试题分享
WzZ1L的博客
05-22 1425
自行整理的笔试题目,仅供自学使用
windows bat脚本,使用命令行增加/删除防火墙入站-出站,规则
问题的博客
08-17 3400
常常手动设置防火墙入站或出站规则,比较麻烦,其实可以用命令行搞定。
windows 2008、2012防火墙添加入站规则教程(端口例外)
weixin_30390075的博客
01-05 2014
windows2008、2012的设置方法基本一样,以下是以windows2008为例做添加80端口的步骤。 1、依次点“控制面板”→“系统和安全”→“windows防火墙”→“高级设置”,打开“高级安全windows防火墙”设置界面 2、点“入站规则”,“新建规则”,在新建入站规则向导窗口选择“端口”,点下一步。 3、在协议和端口向导界面,“特定本地端口”输入框...
windows server 防火墙添加出入站规则方法
最新发布
Yuperman的专栏
09-03 637
windows系统默认的规则:默认阻止入站连接,默认允许出站连接。也就是说,凡是入站连接,任何程序和端口都要在防火墙配置入站规则,否则都会被禁止。【入站规则】:允许其他机器访问本服务器的端口或地址,增加入站规则【出站规则】:允许本服务器访问其他机器端口或地址,增加出站规则
防火墙添加新的端口入站规则.bat
08-26
自动添加防火墙规则,双击运行输入端口即可
windows 通过命令增加防火墙规则
kfzx3427的博客
04-18 406
os.system(f'netsh advfirewall firewall set rule name="端口3389" new remoteip={ips}')ip.append(df.loc[idx, '地址'])input('输入任意键结束')excel必须有的字段为"地址"
firewall-cmd设置防火墙规则
一点见解
11-23 8318
目录1.基础命令2.示例 1.基础命令 ##查看帮助: firewall-cmd --help ##查看版本: firewall-cmd --version ##默认防火墙状态(关闭后显示notrunning,开启后显示running) firewall-cmd --state ##查看所有打开的端口: firewall-cmd --zone=public --list-ports ##查看防火墙规则(只显示/etc/firewalld/zones/public.xml中防火墙策略) firewal
firewall-cmd命令:使用xml文件配置防火墙规则(附实战案例)
XXxia1XX的博客
09-06 731
策略与区域策略制定流量之间的流动区域制定特定的信任级别,通常用于定义广泛的网络环境设置策略->设置区域->设置策略对象->设置策略筛选规则(对区域设置部分规则)创建策略与区域对策略创建规则对区域创建规则创建策略制定区域设置策略对象为全部流量设置策略为仅有http与httpd可以通过对区域内部配置隐式规则 允许该区域所有主机都可以发送https请求。
Windows cmd 防火墙配置
热门推荐
one-ccs 的博客
12-25 1万+
windows 环境下,使用 cmd 命令打开/关闭防火墙,添加/删除 入站/出站规则
共享资源库系统
gokings的博客
03-17 4720
共享资源库系统 案例目标 (1)了解FTP工作原理,客户端工具,FTP状态码以及vsftp服务的安装。 (2)了解FTP虚拟用户配置以及黑白名单规则使用限制。 (3)FTP客户端安装以及使用FTP客户端测试。 (4)熟悉NFS工作原理,服务部署安装,以及配置文件中参数的使用。 (5)了解showmount命令的使用,熟练挂载共享目录以及永久挂载的操作。 (6)了解crond命令使用,shell脚本备份资源库编写。 FTP服务 什么是FTP FTP(FileTransferProtocol)是一个非常古老并且
乱的笔记
weixin_34357962的博客
03-22 1万+
链接:https://pan.baidu.com/s/1jBlX2OoWALMaLuMkx21H7w 提取码:mzl4 复制这段内容后打开百度网盘手机App,操作更方便哦如果看的不舒服可以上百度网盘下载完整的 第二本书 一、Linux基本命令1.基础命令 vi /etc/sysconfig/network-scripts/ifcfg-ens32DNBBOT=NO改成DNBBOT=YES//...
网络安全知识体系
鱼的博客
03-13 5501
SIEM (安全信息和事件管理) SIEM(安全信息和事件管理)是一个由不同的监视和分析组件组成的安全和审计系统。最近网络攻击的增加,加上组织要求更严格的安全法规,使SIEM成为越来越多的组织正在采用的标准安全方法。 但是SIEM实际上涉及到什么呢?它由哪些不同的部分组成?SIEM实际上如何帮助减轻攻击?本文试图提供一种SIEM 101。后续文章将深入探讨一些可用于实际实现SIEM的解决方案。...
windows下使用命令行添加防火墙规则
matchbox1234的博客
12-23 2570
dir=in 表示添加入站规则 netsh advfirewall firewall add rule name="Remote PortNumber" dir=in action=allow protocol=TCP localport=1234 dir=out 表示添加出站规则 netsh advfirewall firewall add rule name="Remote PortNumber" dir=out action=allow protocol=TCP localport=1234 .
firewalld简单添加规则学习
qq_48440248的博客
04-24 867
只有在/usr/lib/firewalld/services目录中存在的服务才可以用服务名设置规则
Windows防火墙设置入站策略
weixin_52136088的博客
01-21 1178
4. 我们选择端口,然后点击下一步,一般会选择TCP协议,然后选择特定端口,输入想要可以外网访问的端口号,如果有多个的话,使用英文逗号进行隔开,然后继续下一步,选择允许连接,继续下一步,默认会选择所有网络,可以根据自己的需要进行勾选,再点击下一步,设置这个规则的名称,建议为了方便运维人员知道这个规则是为了开放的端口的用途,可以写的简明扼要一点。5. 点击完成,这个入站规则就建立完成了,使用公用网络也可以访问设定的端口号了。3. 我们选择入站规则,点击新建规则
防火墙入站规则配置
weixin_49891801的博客
09-19 1404
防火墙入站规则配置 1:打开防火墙,Win + R,输入firewall.cpl 2:选择高级设置配置防火墙入站规则(点击新建规则) 3:根据要创建的规则选择对应类型(比如,对445端口做访问控制) 4:选择对端口的操作 5:选择该规则应用范围 6:对该规则命名并描述 至此,一条禁止445端口被访问的规则创建成功。 7:查看 ...
使用命令配置Windows防火墙
javachtml的博客
07-12 1559
注意一点:虚拟机如果是net网卡,那就不能用物理机的网卡去ping,只能用物理机的VMnet8这块网卡的ip地址ping。删除规则时,如果只指定规则名称,那么将删除所有符合名称的规则,如果有多个相同名称的规则,可以添加其他的限定条件来筛选。action:是对规则的操作,allow 表示允许连接,block 表示阻止连接,bypass 表示只允许安全连接。可以指定端口号,默认为 any,表示任何端口。dir:是指方向,in 表示入站,out 表示出站。name:是规则名称,必须是唯一,不能是all。
使用firewall-cmd配置Docker防火墙规则
Leon_Jinhai_Sun的博客
07-09 263
使用firewall-cmd配置Docker防火墙规则
Windowscmd开启防火墙
05-31
您可以按照以下步骤在Windows命令提示符中启用防火墙: 1. 打开命令提示符:按下Windows键 + R,键入"cmd"并按下Enter键。 2. 启用防火墙:在命令提示符中,键入以下命令并按下Enter键: netsh advfirewall set allprofiles state on 3. 检查防火墙状态:键入以下命令并按下Enter键: netsh advfirewall show allprofiles 如果防火墙已启用,您将在输出中看到"State"为"on"的行。 请注意,您需要以管理员身份运行命令提示符才能启用防火墙
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wsdhla

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值