基于linux下的firewalld管理

最新推荐文章于 2023-10-24 11:24:21 发布
最新推荐文章于 2023-10-24 11:24:21 发布
阅读量435 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xdmaidou/article/details/80602533
版权

firewalld

区域:

  drop(丢弃)

       任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接

  block(限制)

       任何接收的网络连接都被拒绝

  public(公共)

       在公共区域里使用,不能呢个相信网络内的其他计算机不会对你的计算机造成危害,只能接收经过选取的连接

  external(外部)
       特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。

  dmz(非军事区)
       用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。

  work(工作)
       用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。

  home(家庭)
       用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。

  internal(内部)
       用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。

  trusted(信任)
       可接受所有的网络连接

一、服务的开启及firewalld域的了解

  274  systemctl stop iptables    关闭iptables

  275  systemctl disable iptables    开机自动关闭iptables

  276  systemctl start firewalld      打开防火墙

  277  systemctl enable  firewalld     开机自启防火墙


  279  firewall-cmd  --state       显示火墙状态
  280  firewall-cmd --get-active-zone    查看当前活跃的域
  282  firewall-cmd   --get-zones   查看firewalld所有的域
  283  firewall-cmd   --zone=public   --list-all  查看域为public的
  284  firewall-cmd  --list-all    
  285  firewall-cmd   --zone=block   --list-all   查看域为block的
  286  firewall-cmd  --list-all-zones    列出所有区域的设置:
  287  yum install httpd -y
  288  systemctl start httpd
  289  echo westos > /var/www/html/index.html  
  290  firewall-cmd  --set-default-zone=trusted    将其设置为信任域  
  291  firewall-cmd  --get-default-zone
  292  firewall-cmd  --get-service   




二、添加两块网卡(网络接口访问域的设置)

[root@client ~]# firewall-cmd  --add-source=172.25.254.13 --zone=trusted  火墙将172.25.254.13访问通过信任域(此时172.25.254.13可以访问其他不行)
success
[root@client ~]# firewall-cmd  --add-source=172.25.254.13/24 --zone=trusted (172.25.254网端的可以访问)
success
[root@client ~]# firewall-cmd --list-interfaces 列出网络接口
eth0 eth1
[root@client ~]# firewall-cmd --get-zone-of-interface=eth1  查看网络接口eth1的访问域
public
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0  查看网络接口eth0的访问域
public
[root@client ~]# firewall-cmd --change-interface=eth0 --zone=trusted   更改网络接口eth0的访问域为trusted
success
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0           查看网络接口eth0的访问域  
trusted
[root@client ~]# firewall-cmd --remove-interface=eth0 --zone=trusted      将网络接口eth0从trusted移除
success
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0  
no zone
[root@client ~]# firewall-cmd --add-interface=eth0 --zone=public      将eth0添加到public域中  
success

[root@client ~]# firewall-cmd --get-zone-of-interface=eth0         查看网络接口eth0的访问域

public

[root@client ~]# firewall-cmd  --add-source=172.25.254.13 --zone=trusted  
火墙将172.25.254.13访问通过信任域(此时172.25.254.13可以访问其他不行)
success
[root@client ~]# firewall-cmd  --add-source=172.25.254.13/24 --zone=trusted 
(172.25.254网端的可以访问)
success
[root@client ~]# firewall-cmd --list-interfaces 列出网络接口
eth0 eth1
[root@client ~]# firewall-cmd --get-zone-of-interface=eth1  
查看网络接口eth1的访问域
public
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0  
查看网络接口eth0的访问域
public
[root@client ~]# firewall-cmd --change-interface=eth0 --zone=trusted   
更改网络接口eth0的访问域为trusted
success
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0          
 查看网络接口eth0的访问域  
trusted
[root@client ~]# firewall-cmd --remove-interface=eth0 --zone=trusted      
将网络接口eth0从trusted移除
success
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0  
no zone
[root@client ~]# firewall-cmd --add-interface=eth0 --zone=public     
 将eth0添加到public域中  
success
[root@client ~]# firewall-cmd --get-zone-of-interface=eth0       
  查看网络接口eth0的访问域

public


三、临时和永久更改火墙的部分信息

    5  firewall-cmd  --add-source=172.25.254.250   (临时)
    6  firewall-cmd  --list-all
          public (default, active)
          interfaces: eth0 eth1
          sources: 172.25.254.250
          services: dhcpv6-client ssh
          ports:
          masquerade: no
          forward-ports:
          icmp-blocks:
          rich rules:
    7  systemctl restart firewalld
    8  firewall-cmd  --list-all
       public (default, active)
       interfaces: eth0 eth1
       sources:
       services: dhcpv6-client ssh
       ports:
       masquerade: no
       forward-ports:
       icmp-blocks:

       rich rules:




  [root@client ~]  irewall-cmd  --add-source=172.25.254.250   (临时)
  
 [root@client ~]   firewall-cmd  --list-all     
          public (default, active)
          interfaces: eth0 eth1
          sources: 172.25.254.250
          services: dhcpv6-client ssh
          ports:
          masquerade: no
          forward-ports:
          icmp-blocks:
          rich rules:
    
[root@client ~] systemctl restart firewalld       重启
[root@client ~]   firewall-cmd  --list-all
       public (default, active)
       interfaces: eth0 eth1
       sources:
       services: dhcpv6-client ssh
       ports:
       masquerade: no
       forward-ports:
       icmp-blocks:
       rich rules


    9  firewall-cmd  --permanent   --add-source=172.25.254.250(永久)
   11  firewall-cmd  --reload
   12  cd /etc/firewalld/
   13  ls
   14  cd zones/
   15  ls

   16  vim public.xml(添加成功)     域内容的设置 

  
     17  systemctl restart firewalld
   18  firewall-cmd  --list-all
   19  firewall-cmd  --add-port=8080/tcp  --zone=public(临时,重启服务后失效)
   20  firewall-cmd  --list-all
   21  firewall-cmd  --reload
   22  firewall-cmd  --list-all
   23  firewall-cmd  --permanent --remove-service=ssh   (永久)
   24  firewall-cmd  --reload
   25  firewall-cmd  --list-all
   26  firewall-cmd  --permanent --add-service=ssh      (永久)
   27  firewall-cmd  --reload            (以前连接着的还可以使用)
       firewall-cmd  --comlete-reload    (会直接中断)
   28  firewall-cmd  --list-all
   30  cd /usr/lib/firewalld        
   31  ls
   32  cd services/
   33  ls
   34  vim http.xml     某个服务的属性小设置


一、direct  rules
[root@client ~]# systemctl start httpd    开启http服务
[root@client ~]# firewall-cmd --permanent   --remove-service=http  
success
[root@client ~]# firewall-cmd --reload   
success

 [root@client ~]# firewall-cmd  --direct --add-rule  ipv4 filter INPUT 1 -p
(协议类型) tcp --dport 80(http服务) -s(源地址) 172.25.254.55 -j(动作) ACCEPT 
 (允许172.25.254.13访问)添加规则
success
[root@client ~]# firewall-cmd  --direct --get-all-rules   列出规则
 ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.55 -j ACCEPT

 [root@client ~]# firewall-cmd  --direct --remove-rule  ipv4 filter INPUT 1 -p
(协议类型) tcp --dport 80(http服务) -s(源地址) 172.25.254.55 -j(动作) ACCEPT 
 (删除规则)
success

 二、端口转发:

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr
=172.25.254.213 
  将此电脑的22端口(ssh)服务,当别人连接时会自动转到172.25.254.213的22端口服务
firewall-cmd --permanent --add-masquerade    打开masquerade
firewall-cmd --reload
firewall-cmd  --list-all 
  public (default, active)
  interfaces: eth0 eth1
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: yes
  forward-ports: port=22:proto=tcp:toport=22:toaddr=172.25.254.213
  icmp-blocks: 
  rich rules:


 
三、端口伪装:
我们设置其中一台虚拟机ip为172.25.254.213,为其另一台虚拟机他网段(172.25.0.113)
我们让172.25.0.113的虚拟机可以通过172.25.254.213来访问这个网端的机子,
查询记录时查询到是172.25.254.213访问的。
设置172.25.254.213为路由器给此虚拟机配置两个网卡设置一个ip为172.25.254.213,
另一个ip为172.25.0.213
对于172.25.254.213的虚拟机设置:
firewall-cmd --permanent --add-masquerade    打开masquerade
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

对于172.25.0.113虚拟机设置;
vim /etc/sysconfig/network-scripts/ifcfg-eth0
GATEWAY=172.25.0.213

此时172.25.0.113就可以ping通172.25.254网段的ssh时连接到别人时此时查看记录只会显示为
172.25.254.213连接过
 
xdmaidou
关注
Firewalld http api管理接口
09-17
基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
Linux运维之防火墙之firewalld管理
qq_42303254的博客
12-13 559
一、防火墙的介绍 防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的。 (1)Netfilter:数据包过滤机制 (2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalld与iptables 二、firewalld介绍 动态防火墙后台程序 firewalld 提供了一个动态管理...
基于linux下的firewalld管理
wangkana的博客
06-07 269
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口 •系统提供了三种配置方法:(1)图像化的配置工具 firewa...
linux下的firewalld部署管理
dreamer_hahaha
06-07 236
1.Firewalld 概述   动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones”,以配对一个网络即器相关链接和界面一定程度的信任。它具备对ipv4和ipv6防火墙设置的支持。它支持以太网桥,并有分离运行时间和用机具性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口    系统提供了图像化的配置工具firewall-config,sys...
管理网络安全firewall
m0_52592128的博客
12-12 2883
网络安全 Firewalld:动态防火墙管理器。   我们都在生活中听说过防火防盗,那身为互联网家庭的成员,我们需要防什么呢?对了,没错,就是防火,好的,首先让我们看看系统防火到底要防什么?我们都知道钱很重要,所以咱们防盗贼,于是我们就把门锁上,一系列措施整起来,同理,防火防火,顾名思义就是防止外面的妖火,那对于一个互联网的社会,流量就很重要了,因此我们防的就是流量,想象一下,别人随意进出你家,搜取你的信息,太吓人了吧。   在这里,我们需要理解一些关于区域的内容了。我觉得哈,区域就是分工合作的划分地盘,每
firewall命令
zhao_xinhu的博客
04-03 934
查看防火墙状态 firewall-cmd --state 停止防火墙 systemctl stop firewalld.service 启动防火墙 systemctl start firewalld.service 开放8080端口(所有IP) firewall-cmd --zone=public --add-port=8085/tcp --permanent 指定IP与端口 firewa..................
linux下64位ftp.rar
12-03
RPM是基于Linux系统的软件包管理器,它负责软件的安装、升级、查询、验证和卸载等操作。RPM包通常包含软件的二进制文件、配置文件以及依赖关系信息,使得软件的管理变得简单和标准化。 在描述中提到了两个FTP服务器...
使用iptable和Firewalld工具来管理Linux防火墙连接规则
01-20
另一方面,firewalld也是管理Linux机器上防火墙规则的工具。 你对此有意见吗?如果我告诉你外面还有另一个工具,叫做nftable? 好吧,我承认整件事闻起来有点怪怪的,所以让我解释一下。这一切都是从Netfilter开始的...
基于Linux一些工作中常见的命令记录.doc
07-20
Linux系统中,掌握一些基本的命令是每个IT专业人员必备的技能...了解并熟练使用这些命令,能极大地提高Linux系统的管理和维护效率。在日常工作中,根据具体需求灵活运用这些工具,可以有效地解决问题,提升工作效率。
hadoop基于Linux7的安装配置图文详解
09-14
【Hadoop基于Linux7的安装配置】教程 在本文中,我们将详细介绍如何在Linux7系统上安装和配置Hadoop。Hadoop是一个分布式计算框架,它允许处理和存储大量数据。以下是一步步的安装和配置步骤: 1. **准备工作**: ...
Firewalld 用法解析
weixin_30879169的博客
11-03 697
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
firewall-cmd 使用总结
10-31 6105
firewalld的简要说明:     firewalld 、firewall-cmd 、firewall-offline-cmd它们Python脚本,通过定义的在/usr/lib/firewalld下面的xml配置信息,   在启动时自动载入默认iptables配置,并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成   iptables规则后,在应用到系统中。      firewalld定义了几个概念:     zone: 它是安全域的范围,就类似于Window上的域网
Linux系统- firewall-cmd的使用详解
鬼刺
10-15 2172
1 引言
linux 防火墙firewall-cmd 详解
探索者的博客
03-08 1464
firewall-cmd 命令是用于管理防火墙的命令,该命令可以用于 CentOS/RHEL 7 和更高版本中的防火墙管理
Linux firewall-cmd 命令详解
热门推荐
三生万物
09-26 6万+
宽为限 紧用功 功夫到 滞塞通 firewall-cmd Linux上新用的防火墙软件,跟iptables差不多的工具。补充说明firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld跟iptables比起来至少有两大好处:firewalld
linux防火墙firewalld常用操作
andyguan01_2的博客
04-16 426
一、防火墙的开启、关闭、禁用命令 1、设置开机启用防火墙:systemctl enable firewalld.service 2、设置开机禁用防火墙:systemctl disable firewalld.service 3、检查防火墙状态:systemctl status firewalld 出现Active: active (running)且高亮显示则表示是启动状态。 出现A...
Linux防火墙firewall的使用
ck784101777的博客
07-10 2万+
使用软件:firewall 作用: 隔离 众多的策略,允许出站,严格控制入站 firewalld服务基础 • 系统服务:firewalld管理工具:firewall-cmd(命令)、firewall-config(图形化界面) 一、四个基本区域 根据所在的网络场所区分,预设保护规则集 – public:仅允许访问本机的ssh dhcp ping服务 – trusted:允许任...
Linux CentOS 8(firewalld的配置与管理
最新发布
正月十六工作室
10-24 4047
firewalld(动态防火墙管理器)自身和 iptables 一样,并不具备防火墙的功能,而是需要通过内核的 netfilter 来实现,也就是说 firewalld 和 iptables 的作用都是用于维护规则,而真正使用规则的是内核的 netfilter。只不过 firewalld 和 iptables 的结构以及使用方法不一样。firewalld 可以动态修改单条规则,不需要像 iptables 那样,修改了规则后必须全部刷新才可以生效。
firewalld常用的基础配置
宇飞林海的博客
10-18 1215
区域作用trusted(信任区域)允许所有的传入流量。public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。external(外部区域)允许与ssh预定义服务匹配的传入流量其余均拒绝。home(家庭区域)允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。internal(内部区域)默认值与home区域相同。work(工作区域)
linuxfirewalld
08-24
Firewalld 使用基于区域(Zone)的概念来组织和管理规则。每个区域定义了特定网络环境下的安全策略。例如,公共区域可能限制某些服务的访问,而内部区域则允许更多的服务。 你可以使用 firewalld 命令行工具来添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值