linux运维开发(四)---------- firewalld服务详解

最新推荐文章于 2024-01-30 11:30:00 发布
最新推荐文章于 2024-01-30 11:30:00 发布
阅读量632 收藏 3
点赞数 1
分类专栏: linux 文章标签: linux防火墙 防火墙 关闭防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaofengbuhuimai/article/details/90642680
版权

centos7防火墙firewalld详解

防火墙初识

防火墙是整个系统安全性最重要的方面,能够有效的防止网络攻击。所以我们需要详细了解防火墙的知识。从centos 7开始,使用了firewalld替代了centos 6中的iptables。之前在linux运维开发(一)----------防火墙使用过以下命令:

firewall-cmd --zone=public -add-port=9999/tcp --permanent
firewalld-cmd --reload
firewall-cmd --zone=public --list-ports | grep 9999

接下来我们就来好好讲解这个命令的作用

通过了解以上命令,我们发现有一个–zone=public的参数设置,这是什么意思呢?讲到这里,我们就需要了解一个概念:区域。定义如下:

区域是预定义的规则集,用于根据计算机连接到的网络上的信任级别指定应允许的流量。您可以将网络接口和源分配给区域。

Bellow是FirewallD提供的区域,根据区域的信任级别从不信任到可信:

  • drop:删除所有传入连接而不发出任何通知。仅允许传出连接。
  • block:所有传入连接都被拒绝,其中包含用于IPv4的icmp-host-prohibited消息和用于IPv6n的icmp6-adm-prohibited。仅允许传出连接。
  • public:用于不受信任的公共场所。您不信任网络上的其他计算机,但您可以允许选定的传入连接。
  • external:用于在系统充当网关或路由器时启用NAT伪装的外部网络。仅允许选定的传入连接。
  • internal:用于在系统充当网关或路由器时在内部网络上使用。网络上的其他系统通常是可信的。仅允许选定的传入连接。
  • dmz:用于位于非军事区的计算机,该计算机对网络其余部分的访问权限有限。仅允许选定的传入连接。
  • work:用于工作机器。网络上的其他计算机通常是可信的。仅允许选定的传入连接。
  • home:用于家用机器。网络上的其他计算机通常是可信的。仅允许选定的传入连接。
  • trusted:接受所有网络连接。信任网络中的所有计算机。

打开/关闭防火墙

systemctl start firewalld
systemctl stop firewalld

启用/禁用防火墙

systemctl enable firewalld
systemctl disable firewalld

防火墙区域的查看

查看可用区域:

firewall-cmd --get-zones

查看默认区域:

firewall-cmd --get-default-zone

查看被激活的的区域:

firewall-cmd --get-active-zones

查看指定区域信息

查看端口信息:

firewall-cmd --zone=public --list-ports

查看服务信息:

firewall-cmd --zone=public --list-services

查看协议信息:

firewall-cmd --zone=public --list-protocols

查看网络接口信息:

firewall-cmd --zone=public --list-interfaces

查看所有信息:

firewall-cmd --zone=public --list-all

规则永久化

在进行修改操作后面使用 --permanment使命令永久化,–add-xxx、remove-xxx等命令

规则生效方式

–reload:重新载入配置信息,保持状态信息

firewall-cmd --reload

–complete-reload:重新载入配置信息,会丧失状态信息,相当于重启

firewall-cmd --complete-reload

添加规则

添加端口:

firewall-cmd --zone=public --add-port=80/tcp --permanent

添加服务:

firewall-cmd --zone=public --add-service=mysql --permanent

添加协议:

firewall-cmd --zone=public -add=protocol=tcp --permanent

添加网络接口(将会使ens33接口处于work区域):

firewall-cmd --zone=work --add-interface=ens33 --permanent

等同

firewall-cmd --zone=work --change-interface=ens33 --permanent

删除规则

删除端口:

firewall-cmd --zone=public --remove-port=8080/tcp --permanent

删除服务:

firewall-cmd --zone=public --remove-service=mysql --permanent

删除协议:

firewall-cmd --zone=public --remove-protocol=tcp --permanent

删除接口:

firewall-cmd --zone=public --remove-interface=ens33 --permanent

验证规则绑定

查询端口信息:

firewall-cmd --zone=public --query-port=80/tcp

查询服务信息:

firewall-cmd --zone=public --query-service=mysql

查询协议信息:

firewall-cmd --zone=public --query-protocol=tcp

查询接口信息:

firewall-cmd --zone=public --query-interface=ens33

端口转发流量

1、为所需区域开启伪装:

firewall-cmd --zone=external --add-masquerade --permanent

2、验证是否开启伪装:

firewall-cmd --zone=external --query-masquerade --permanent

3、转发流量:

  • 将流量从端口80转发到同一服务器上的端口8080

firewall-cmd --zone=external --add-forward-port-80:proto=tcp:toport=8080 --permanent

  • 流量从端口80转发到IP 192.168.1.2的服务器上的端口80:

firewall-cmd --zone=external --add-forward-port=80:proto=tcp:toaddr=192.1681.2 --permanent

  • 流量从端口80转发到IP 192.168.1.2的服务器上的端口8080:

firewall-cmd --zone=external -add-forward-port=80:proto=tcp:toport=8080:toaddr=192.168.1.2 --permanent

4、为指定区域去除伪装:

firewall-cmd --zone=external --remove-masquerade --permanent

查看所有区域的所有信息:

firewall-cmd --list-all-zones

更多问题可以加公众号:代码小栈,期待为您解决更多问题

代码小栈

xiaofengbuhuimai
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详述LinuxFirewalld高级配置的使用
09-14
主要介绍了详述LinuxFirewalld高级配置的使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MySQL-Master_Slave_repl.txt
06-29
I use centos7 to turn off the firewall: systemctl stop firewalld 3. There is also a mistake in the above-mentioned secret.   Fatal error: The slave I/O thread stops because master and slave have ...
linux防火墙命令
weixin_44240141的博客
07-05 998
查看防火墙所有开放的端口 firewall-cmd --zone=public --list-ports 开放端口命令 firewall-cmd --zone=public --add-port=端口号/tcp --permanent 如:firewall-cmd --zone=public --add-port=3306/tcp --permanent重载防火墙(即可立刻生效) firewall-cmd --reload 查看防火墙状态 firewall-cmd --state 防火墙重启 firew
【centos7】如何开发8080端口的防火墙
小慌慌的博客
12-03 1333
1、连接centos7服务器; 2、我们可以输入命令查看防火墙的状态; firewall-cmd --state 3、如果上一步处于关闭状态,输入命令: systemctl start firewalld.service 4、开启8080端口,输入命令: firewall-cmd --zone=public --add-port=8080/tcp --permanent 5、让我们来解释一下上一个命令: --zone=public:表示作用域为公共的 -.
Linux安全管理】Firewalld详解
m0_59598029的博客
01-30 964
1、与iptables不同2、配置防火墙3、firewalld区域概念4、filewalld 配置生效5、firewalld服务firewalld 端口映射富规则 rich-rule。
日常运维-4
chunyang315的博客
12-02 220
10.19 iptables规则备份和恢复 保存iptables规则 (1)service iptables save//会把规则保存到/etc/sysconfig/iptables中 备份iptables 规则 保存到其他文件中,可以使用iptables-save >文件名 恢复iptables 规则 (1)使用命令iptables-rstore
CentOS7 下 Firewall 的常用配置命令
GeekYoung的博客
10-09 577
启动Firewall systemctl start firewalld 关闭Firewall systemctl stop firewalld 设置开机启动Firewall systemctl enable firewalld 关闭开机启动Firewall systemctl disable firewalld 查看Firewall状态 systemctl s...
Linux系统通过firewall限制或开放IP及端口
Able
09-11 2430
一、查看防火墙状态 1、首先查看防火墙是否开启,如未开启,需要先开启防火墙并作开机自启 systemctl status firewalld 开启防火墙并设置开机自启 systemctl start firewalld systemctl enable firewalld 一般需要重启一下机器,不然后面做的设置可能不会生效 二、开放或限制端口 1、开放端口 (1)如我们需要开启XShell连接时需要使用的22端口 firewall-cmd --zone=p.
Linux下的防火墙服务
wltxiyou的博客
06-06 4086
Firewalld 概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设 置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口 系统提供了图像化的配置工具 firewall...
Firewall 防火墙常用命令
qq_38086037的博客
07-04 2595
Firewall开启常见端口命令: 注意:--permanent意思是:永久生效 firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd -- zone=public --add-port=443/tcp --permanent firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --zone=public --add-port=21/t
Linux 防火墙
博客
02-14 2950
zones 防火墙能够根据用户设置的信任级别把网络划分成许多的区域,一个网络连接只能归属于一个区域 系统默认的所有区域存储在 /usr/lib/firewalld/zones block : 对于外部主动主动发起的连接,主机会返回一个 icmp 包来拒绝,但主机可以向外部主动发起连接 dmz: 非军事区域内的计算机可以公开访问,但是对于内部网络,只接受指定的连接 drop:对于传入的网络数据包,主机直接拒接,不返回任何消息包,只允许从主机传出数据包 external:用于使用伪装的外部网络,尤其是路由器,
CentOS7 Firewall 防火墙配置教程
gbz2000的博客
05-26 3646
一、firewall介绍 CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙中进行了升级了。 1、什么是区域Zone: 网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。 2、哪个区域可用? 由firewalld 提供的区域按照从不信任到信任的顺序排序。 3、区域的分类? Firewalls can be used to separate networks into d
CentOS 7firewall防火墙配置
建伟博客
07-06 4110
CentOS 7中firewall防火墙详解和配置以及切换为iptables防火墙
ansible:Ansible项目-EPSI
05-09
启动和启用设置配置MySQL 安装MariaDB 更新根凭证创建Ansible数据库和用户Nginx的安装部署配置为http和https配置firewalld PHP 安装php70 php70-php-fpm php70-php-pecl-mysql 配置php-fpm 虚拟主机创建.conf 设置...
captive-portal:Linux中的强制门户
05-14
Linux中的强制门户描述 注意:大多数默认设置将用于以最小的配置获得功能性门户网站俘虏,我们将采用大多数默认设置。要求硬件网络连接无线局域网接入点2个网卡软件CentOS的7安装下面列出的所有命令都将以root身份...
Linux基础课件-firewalld服务配置.pptx
11-02
Linux操作系统基础
firewall-cmd命令.txt
09-16
Ccent OS 7系统默认的防火墙管理工具不再是iptables,而是firewalld。 相对iptables来说,firewalld有些改进,比如说: 1、引入硬件防火墙的安全域(ZONE)的概念。可以把多个接口放在同一个区域内。 2、firewalld...
Lan仿朋友圈系统开源,可用于表白墙等微商相册,商品图册等.rar
最新发布
04-30
Lan仿朋友圈系统开源,可用于表白墙等微商相册,商品图册等.rarLan仿朋友圈系统开源,可用于表白墙等微商相册,商品图册等.rar
C++基础辅助类库.zip
04-30
比如异步进行-Thread,安全句柄-CHandle,资源守卫-Guard,XML解析-rapidxml,以及其他注册表、文件基础操作。用于更加高效、安全的进行C++开发。温馨提示:至少需要支持C++0x标准的编译器。
FirewallD-cmd ipset
07-27
FirewallD-cmd ipset是一个用于管理FirewallD防火墙规则的命令行工具。它提供了一种方式来创建、删除和管理ipset,即一组IP地址或网络的集合。使用ipset,您可以将多个IP地址或网络作为一个单元进行管理,并将其用于FirewallD规则中的匹配和过滤。这样可以更高效地管理大量的IP地址和网络规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值