Linux下的防火墙

已于 2023-05-19 02:10:57 修改
阅读量801 收藏 1
点赞数
分类专栏: LINUX 文章标签: linux 运维 网络
于 2023-05-19 02:04:49 首次发布
原文链接:https://blog.csdn.net/m0_61344379/article/details/127448891
版权

Linux下防火墙简介
Linux下防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙是iptables,自从centos7过后防火墙的使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍firewalld防火墙

相较于传统的防火墙管理工具,firewalld加入了zone(区域)的概念,区域对我来说就是他给你整理了几套模板,我们可以通过不同的场景从而进行不同的选择,实现了防火墙策略之间的快速切换

zone区域分类


         当我们创建一台Linux系统后,我们的默认firewalld防火墙的区域属于public区域,如果我们不做更改的话,后续所安装的服务将都在public区域

 

firewalld防火墙命令
firewalld防火墙简单命令用法
firewall-cmd --get-zones   //列出firewalld下的区域

 

firewall-cmd --set-default-zone=trusted  //设置默认区域为trusted

 

firewall-cmd --get-default-zone //查看当前默认区域

 

systemctl stop firewalld //临时关闭防火墙

 

systemctl start firewalld //启动防火墙

 

systemctl restart firewalld //重启防火墙

 

systemctl enable firewalld //设置firewalld防火墙开机自启

 

systemctl disable firewalld //永久关闭防火墙

 

firewall-cmd --add-service=http //临时放行服务,使其他人可以访问服务,当服务器重启过后此规则,则会没有,如果没有指定防火墙区域的话,此规则在默认区域

 

firewall-cmd --permanent --add-service=http //永久放行防火墙,但是需要重启一下防火墙,或者重新加载一下防护墙规则

 

firewall-cmd --reload //重载防火墙规则

 

firewall-cmd --add-port=8080/tcp //防火墙临时放行端口

 

firewall-cmd --permanent --add-port=8080/tcp //防火墙永久放行防火墙端口

 

firewall-cmd --remove-port=8080/tcp //防火墙移除放行端口规则

 

firewall-cmd --list-all //查看防火墙默认区域的放行规则

 

firewall-cmd --add-service=http --zone=trusted //指定防火墙放行服务区域

 

firewall-cmd --remove-interface=ens33 --zone=public //将网卡从默认区域中移除出来

 

firewall-cmd --add-interface=ens33 --zone=trusted //将网卡添加到指定的区域里面

 

firewall-cmd --zone=trusted --list-all //查看指定防火墙区域的放行规则防火墙富规则命令用法列子防火墙富规

 

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.10.20 -p tcp --dport 80 -j REJECT //拒绝IP为192.168.10.20的访问tcp的80端口 --direct 规则 --add-rule 添加规则 ipv4 filter 指定为ipv4的filter表 INPUT 链 -s 数据来源 -p采用的协议 --dport 目的地端口 -j 行为动作

 

客户端对这条富规则进行测试 

 

 防火墙下面的表和链

防火墙下四表五链介绍
防火墙下面有四个表和五个链他们分别用于防火墙处于各个地点和时间的用户

四表:filter表、nat表、mangle表、raw表

五链:PREROUTING链、INPUT链、OUTPUT链、FORWARD链、POSTROUTING链。

四个表的各个功能

filetr表负责过滤功能;

nat表负责网络地址转换;

mangle表负责拆解报文,作出修改,封装报文;

raw表负责关闭nat表上启用的连接追踪机制,确定是否对该数据包进行状态跟踪

五个链的各个功能

PREROUTING链用于数据包进入路由之前的数据;

INPUT链用于处理访问防火墙本机的数据;

OUTPUT链用于处理防火墙本机访问其他主机的数据;

FORWARD链用于处理需要经过防火墙转发的数据包,源地址,目标地址均不是防火墙本地的数据;POSTROUTING链用于处理确认路由后的数据

四表五链的对于关系
filter表中包含了三个规则链分别是:INPUT链、FORWARD链、OUTPUT链;

nat表中也是包含了三个规则链:PREROUTING链、POSTROUTING链、OUTPUT链;

mangle表中则是把五个规则链全包含了;

raw表中包含了两条规则链:OUTPUT链、PREROUTING链;

在处理各种数据包时,五个规则链的应用时间点

INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则

OUTPUT链:当防火墙本机向外发送数据包(出战)时,应用此链中的规则

FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则PREROUTING链:在对数据包作路由选择之前,应用此链中的规则

POSTROUTING链:在对数据包作路由选择之后,应用此链中的规则

四个表的优先级
当数据包到达防火墙时,数据会依次应用raw表、mangle表、nat表和filter表中对于的链内规则
————————————————
版权声明:本文为CSDN博主「不想上课。」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/m0_61344379/article/details/127448891

大新软件技术部
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 防火墙firewall详解
qq_33805862的博客
01-11 1443
引用:https://www.cnblogs.com/excelib/p/5155951.html。
Linux防火墙的配置(新建富规则、区域、配置区域连接接口、修改默认区域)
最新发布
qq_53810226的博客
04-29 770
请确保在将接口分配到新区域之前,你已经对 newzone 区域进行了适当的配置,包括所需的规则和服务,以确保网络流量的正确管理。此外,如果 work 区域不存在,你需要先创建它或选择一个已存在的区域作为默认区域。要删除之前创建的富规则,你需要使用 firewall-cmd 命令并指定 --remove-rich-rule 参数,以及要删除的富规则的完整内容。请注意,创建新区域只是第一步,你还需要定义该区域的信任级别(例如,drop、public、external 等),并为其添加相应的服务、端口或接口。
linux系统中的防火墙firewall
dghfttgv的博客
11-23 2025
一.“防火墙”的概述 1、什么是“防火墙防火墙技术是通过有机结合各类用于==安全管理与筛选==的软件和硬件设备,帮助计算机网络与其==内、外网之间==构建一道相对隔绝的==保护屏障==,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术...
firewall-cmd命令详解
热门推荐
u014398490的博客
07-17 1万+
近期新上一个项目,环境是Centos7,以前的iptables的经验没用了。把firewalld研究了下,粗略记录一下把。 常用命令: firewall-cmd --reload firewall-cmd --complete-reload 和上面的意思差不多,但是不会维持当前连接信息。比如,用ssh22登陆,如果不小心把ssh 22关掉了,用reload不会把当前的连接杀死。但是用 --c...
Firewalld 用法解析
weixin_30879169的博客
11-03 690
其实还是我写的啦 https://www.jianshu.com/p/3444d9413461 1.防火墙firewall的基本概述 现在的RedHat/CentOS7版本默认都使用firewall防火墙了,firewall的配方法大致可以分为图形化和命令行。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允...
Firewall 防火墙常用命令
qq_38086037的博客
07-04 2766
Firewall开启常见端口命令: 注意:--permanent意思是:永久生效 firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd -- zone=public --add-port=443/tcp --permanent firewall-cmd --zone=public --add-port=22/tcp --permanent firewall-cmd --zone=public --add-port=21/t
Linux防火墙配置实例
01-09
 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况  iptables -L -n  删除已有规则  iptables -F  屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们...
linux防火墙开启某个端口号及防火墙常用命令使用(详解)
01-10
1、永久性生效,重启后不会复原 开启:chkconfigiptables on 关闭:chkconfigiptables off 2、即时生效,重启后复原 重启防火墙 方式一:/etc/init.d/iptables restart ...方式二:service iptables ...1、找到防火墙
linux防火墙iptables
11-14
linux防火墙iptables 一、基本知识 二、iptable的安装与配置 禁止端口的实例 强制访问指定的站点 发布内部网络服务器 通过NAT上网 iptables实例
Linux防火墙的简单配置与插入规则介绍
09-15
主要介绍了Linux防火墙的简单配置与插入规则介绍的相关资料,需要的朋友可以参考下
linuxFirewalld防火墙概述
weixin_51725822的博客
02-25 741
linux防火墙firewalld一、Firewalld概述1.1 firewalld防火墙1.2 firewalld 与 iptables 的区别(1)作用点(2)存储位置(3)新规则的使用(4)防火墙类型1.3 firewalld 区域的概念firewalld防火墙预定义了9个区域1.4 firewalld数据处理流程二、firewalld防火墙的配置2.1 firewalld防火墙的配置方法2.2 区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应
linux中的防火墙firewalld
阳阳的博客
04-22 167
linux中有多种防火墙,centos7.0之前使用的是iptables,在7.0之后使用firewalld。下面我会介绍firewalld防火墙。 1、查看防火墙状态 systemctl status firewalld 2、开启防火墙 ## systemctl start firewalld 3、关闭防火墙 systemctl stop firewalld 4、重启防火墙 system...
Firewalld防火墙访问设置(二)
BBQwu1wukao的博客
05-12 964
Firewalld防火墙访问设置二一、firewalld高级配置1、IP地址地址伪装2、端口转发3、富语言规则二、配置防火墙1、富语言规则使用2、配置IP地址伪装3、配置端口转发 一、firewalld高级配置 1、IP地址地址伪装 1)IP地址伪装的作用 将多个私网IP地址映射到一个公网IP地址访问互联网 2)IP地址伪装特点 节约公网IP地址 隐藏内部网络 增强网络安全性 只能配置IPv4协议 2、端口转发 1)端口转发的作用 将一个IP地址和端口号映射到另一个IP地址和端口上上 2)
【RHEL7/CentOS7防火墙firewall-cmd命令详解】
weixin_30408165的博客
12-25 6329
目录 Firewalld zone firewall-cmd 开始配置防火墙策略 总结 Redhat Enterprise Linux7已默认使用firewalld防火墙,其管理工具是firewall-cmd。使用方式也发生了很大的改变。 基于iptables的防火墙...
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2313
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
firewalld
nongfuchui的博客
08-28 564
#firewalld ##firewalld的9个zone 每个zone就好比一个规则集,firewalld默认有9个zone,如下 查看默认的zonefirewalld-cmd --get-default-zone 九个zone详解 ##firewalld关于service的操作 查看某些zone对应的service: firewall-cmd --zone=...
运维进阶——firewall详解
zhaoliang_Guo的博客
06-06 7309
两台虚拟机,desktop双网卡,配置ip分别为172.25.254.113和1.1.1.113 打开另一台虚拟机server,配置ip为1.1.1.213 在双网卡的desktop下载httpd,在默认发布目录编写默认发布文件 systemctl start httpd 1.用真机通过http访问172.25.254.113 firewall-cmd --list-all 查...
【银河麒麟V10】【服务器】firewalld使用
桂安俊@KylinOS
09-14 6453
1、firewalld zone说明 drop (丢弃) 任何接收到的网络数据都被丢弃,没有任何回复,公有发送出去的网络连接block(限制)任何接收的网络连接都被IPV4 的icmp-host-prohibited信息和IPV6的icmp6-adm-prohibited信息所拒绝public (公共) 在公共区域内使用,不能相信网络内的其它计算机不会对你的计算机造成危害,只接收经过选取的连接external (外部)特别是为路由器启用了伪装功能的外部网。你不能信任来自网络的其它计算,不能信任它们不会对你
linux开通防火墙
08-23
要在Linux上开启防火墙,可以按照以下步骤进行操作: 1. 使用命令`systemctl start firewalld`来启动防火墙服务。 2. 使用命令`firewall-cmd --zone=public --add-port=1935/tcp --permanent`来开放指定的端口。其中,`--zone`参数指定作用域,`--add-port`参数后面跟着端口号和通信协议,`--permanent`参数表示永久生效。 3. 使用命令`firewall-cmd --reload`来重新加载防火墙配置,使新的端口设置生效。 另外,你也可以使用命令`netstat -ntlp`来查看当前系统上所有已经打开的TCP端口。如果你只想查看特定端口(比如1935端口)的使用情况,可以使用命令`netstat -ntulp | grep 1935`。 这样,你就成功地在Linux上开通了防火墙。请注意,以上操作需要以root用户或具有sudo权限的用户身份执行。<span class="em">1</span><span class="em">2</span> #### 引用[.reference_title] - *1* [linux 开启防火墙](https://blog.csdn.net/qq_40711092/article/details/127098853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [LINUX防火墙的研究与实现(详细配置)](https://download.csdn.net/download/yuanshiyin/2974899)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值