Linux防火墙工具—firewalld加强防护

最新推荐文章于 2023-11-29 23:08:57 发布
最新推荐文章于 2023-11-29 23:08:57 发布
阅读量594 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunweimao/article/details/106688088
版权

1、简介

Centos7以上的发行版都自带了firewalld防火墙的,firewalld自带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。

2、服务操作

 # 启动服务
 [root@elasticsearch-04 ~]# systemctl start firewalld # 这里不用担心启用了防火墙以后无法通过ssh远程,22端口默认加入了允许规则
 # 停止服务
 [root@elasticsearch-04 ~]# systemctl stop firewalld
 # 重启服务
 [root@elasticsearch-04 ~]# systemctl restart firewalld

3、重载防火墙配置

 [root@elasticsearch-04 ~]# firewall-cmd --reload
 success

4、查看版本

 [root@elasticsearch-04 ~]# firewall-cmd --version
 0.5.3

5、查看防火墙运行状态

 [root@elasticsearch-04 ~]# firewall-cmd --state
 running

6、查看默认区域的设置

 [root@elasticsearch-04 ~]# firewall-cmd --list-all
 public (active)
 target: default
 icmp-block-inversion: no
 interfaces: eth0
 sources: 
 services: sshdhcpv6-client
 ports: 
 protocols: 
 masquerade: no
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules:

7、设置常规端口放行

 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --add-port=21/tcp
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --add-port=22/tcp
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --add-port=80/tcp
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --add-port=8888/tcp
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --add-port=888/tcp

8、一个服务对应一个端口,每个服务对应/usr/lib/firewalld/services下面一个xml文件

 [root@elasticsearch-04 ~]# cd /usr/lib/firewalld/services
 [root@elasticsearch-04 services]# ls
 amanda-client.xml       jenkins.xml               puppetmaster.xml
 amanda-k5-client.xml     kadmin.xml               quassel.xml
 bacula-client.xml       kerberos.xml             radius.xml
 bacula.xml               kibana.xml               redis.xml
 bgp.xml                 klogin.xml               RH-Satellite-6.xml
 bitcoin-rpc.xml         kpasswd.xml               rpc-bind.xml
 bitcoin-testnet-rpc.xml kprop.xml                 rsh.xml
 bitcoin-testnet.xml     kshell.xml               rsyncd.xml
 bitcoin.xml             ldaps.xml                 samba-client.xml

9、查看还有哪些服务可以打开

 [root@elasticsearch-04 services]# firewall-cmd --get-services
 RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry docker-swarm dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master gitgre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls managesieve mdns minidlna mongodb mosh mountd ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid sshsyncthing syncthing-gui synergy syslog syslog-tls telnettftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

10、查看所有打开的端口

 [root@elasticsearch-04 services]# firewall-cmd --zone=public --list-ports

11、允许某范围的 udp 端口至 public 级别,并永久生效

 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --add-port=5060-5059/udp --permanent

12、开启一个端口

1.添加
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent # --permanent永久生效,没有此参数重启后失效
2.重新载入
 [root@elasticsearch-04 ~]# firewall-cmd --reload
3.查看
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --query-port=80/tcp
4.删除
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --remove-port=80/tcp --permanent

13、管理端口

1.列出 dmz 级别的被允许的进入端口
 [root@elasticsearch-04 ~]# firewall-cmd --zone=dmz --list-ports
2.允许 tcp 端口 8080 至 dmz 级别
 [root@elasticsearch-04 ~]# firewall-cmd --zone=dmz --add-port=8080/tcp

14、网卡接口

1.列出 public zone 所有网卡
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --list-interfaces
2.将 eth0 永久添加至 public zone
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --permanent --add-interface=eth0
3.eth0 存在 public zone,将该网卡添加至 work zone,并将之从 public zone 中删除
 [root@elasticsearch-04 ~]# firewall-cmd --zone=work --permanent --change-interface=eth0
4.永久删除 public zone 中的 eth0
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --permanent --remove-interface=eth0

15、管理服务

1.添加 smtp 服务至 work zone
 [root@elasticsearch-04 ~]# firewall-cmd --zone=work --add-service=smtp
2.移除 work zone 中的 smtp 服务
 [root@elasticsearch-04 ~]# firewall-cmd --zone=work --remove-service=smtp

16、配置 external zone 中的 ip 地址伪装

1.查看
 [root@elasticsearch-04 ~]# firewall-cmd --zone=external --query-masquerade
2.打开伪装
 [root@elasticsearch-04 ~]# firewall-cmd --zone=external --add-masquerade
3.关闭伪装
 [root@elasticsearch-04 ~]# firewall-cmd --zone=external --remove-masquerade

17、配置 public zone 的端口转发

1.要打开端口转发,则需要先设置公共的zone
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --add-masquerade
2.然后转发 tcp 8080 端口至 3753
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=3753
3.转发 8080 端口数据至另一个 ip 的相同端口上
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toaddr=192.168.1.100
4.转发 8080 端口数据至另一 ip 的 2055 端口上
 [root@elasticsearch-04 ~]# firewall-cmd --zone=public --add-forward-port=port=8080:proto=tcp:toport=2055:toaddr=192.168.1.100

18、IP 封禁

1.封禁ip
 # 方案一
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.222.222.222' reject"
 # 方案二:通过 ipset 来封禁 ip
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:ip
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222.222.222.222
2.封禁网段
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --new-ipset=blacklist --type=hash:net
 [root@elasticsearch-04 ~]# firewall-cmd --permanent --zone=public --ipset=blacklist --add-entry=222.222.222.0/24

19、应急命令

 [root@elasticsearch-04 ~]# firewall-cmd --panic-on # 拒绝所有流量,远程连接会立即断开,只有本地能登陆
 [root@elasticsearch-04 ~]# firewall-cmd --panic-off # 取消应急模式,但需要重启firewalld后才可以远程ssh
 [root@elasticsearch-04 ~]# firewall-cmd --query-panic # 查看是否开启应急模式

如果文章有任何错误欢迎不吝赐教,其次大家有任何关于运维的疑难杂问,也欢迎和大家一起交流讨论。关于运维学习、分享、交流,笔者开通了微信公众号【运维猫】,感兴趣的朋友可以关注下,欢迎加入,建立属于我们自己的小圈子,一起学运维知识。群主还经营一家Orchis饰品店,喜欢的小伙伴欢迎????前来下单。

扫描二维码

获取更多精彩

运维猫公众号

有需要技术交流的小伙伴可以加我微信,期待与大家共同成长,本人微信:

扫描二维码

添加私人微信

运维猫博主

扫码加微信

最近有一些星友咨询我知识星球的事,我也想继续在星球上发布更优质的内容供大家学习和探讨。运维猫公众号平台致力于为大家提供免费的学习资源,知识星球主要致力于即将入坑或者已经入坑的运维行业的小伙伴。

点击阅读原文  查看更多精彩内容!!!

IT运维大爆炸(运维开发)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
【实用】Linux中常用的防火墙工具
最新发布
技术随笔
12-16 487
Linux防火墙是一种在Linux操作系统中用于网络安全和流量管理的工具,它可以控制进出系统的网络流量,基于一组规则来允许或阻止特定的数据包。在Linux中,有几种不同的防火墙工具,但最常见的是iptables和Firewalld
linux防火墙测试工具,你所不知道的7款Linux防火墙软件推荐
weixin_39543773的博客
05-03 506
据国外媒体报道,随着时间的推移,越来越多的用户都开始依赖于互联网去工作、学习、娱乐,而这也就导致互联网攻击变得越来越多,使得用户的计算机每天都面临着很多潜伏的危险。为了抵御这些网络威胁,各大安全厂商陆续推出了多种类型的防火墙。顾名思义,防火墙就是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。这样一来,那些对用户计算机有着威胁的数据将会被防火墙拒之门外。下面,笔者为大家列...
Linux (CentOS)防火墙策略管理工具(iptables、firewalld、TCP Wrappers)
scdncby的博客
01-15 1179
iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。iptables服务回把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而fiewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。精通其中之一就足够了。 iptables 策略与规则链:防火墙规则策略有两种,1种是通(放行);另一种是堵(阻止),其轨规则链都是由上至下执行的,因此一定要把允许的动作放到拒绝动
Linux 防火墙配置(iptables和firewalld)详细教程。
蓝易云
06-14 1027
以上只是一些常见的iptables和firewalld命令示例,你可以根据自己的需求进行修改和扩展。请注意,在配置防火墙时务必小心,确保不会阻塞你所需要的合法流量,并确保保存和加载配置以使其永久生效。另外,建议在配置防火墙之前备份现有的防火墙规则以防止意外情况发生。iptables是Linux上最常用的防火墙工具之一,而firewalld是CentOS 7及其衍生版本中默认使用的防火墙管理工具。下面是一个简要的 Linux 防火墙配置教程,涵盖了iptables和firewalld两种常用的防火墙工具
Linux网络安全原理之Linux防火墙工具iptables
qq_41779533的博客
01-23 3423
一、基础的概念性东西,我就不再赘述了点击这里参考网址,netfilter/iptables全攻略 二、iptables用法说明 iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options] 1.[-t table]:指定表raw, mangle, nat, [filter]默认 2.SUBCOMMAND:子命令 ,定义如何对规则进行管理 链管理类 -N
Linux防火墙Firewalld基础详细解读.doc
08-19
Linux防火墙Firewalld基础详细解读.doc
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
linux防火墙配置工具,Linux-防火墙管理工具firewalld
weixin_30092051的博客
05-11 354
防火墙作为网络安全的防护工具,在保障数据和服务安全方面发挥着重大作用。提到防火墙,接触Linux较早的朋友首先想到的是iptables(centos 6版本),centos 7推荐使用的是firewalld。然而,不管是iptalbes还是firewalld,其本身并不是防火墙,而是防火墙配置管理工具。本文介绍的是firewalld工具的使用方法,对于具体的原理这里不作深究,iptables相关的...
Linux系统中最实用的十大开源防火墙
weixin_33725515的博客
05-18 1264
如今,开源防火墙可谓数目繁多。本文将涉及十个适合企业需求的最实用的开源防火墙1. IptablesIptables/Netfilter是基于防火墙的最流行的命令行。它是Linux服务器安全的头道防线。许多系统管理员用它来微调服务器。其作用是过滤内核中网络堆栈中的数据包,特性包括:列出数据包过滤规则集的内容;执行速度快,因为它仅检查数据包的头部;管理员可以根据需要,在数据包的过...
Linux下的防火墙
大新软件老杨
05-19 696
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.10.20 -p tcp --dport 80 -j REJECT //拒绝IP为192.168.10.20的访问tcp的80端口 --direct 规则 --add-rule 添加规则 ipv4 filter 指定为ipv4的filter表 INPUT 链 -s 数据来源 -p采用的协议 --dport 目的地端口 -j 行为动作。版权声明:本文为CSDN博主「不想上课。
安全技术与防火墙
lcy913的博客
11-29 929
安全技术分为入侵检测系统、入侵防御系统和防火墙三类。入侵检测系统特点是不阻断来自内外网络的威胁情况,主要提供报警和事后监督。入侵防御系统特点是对攻击进行准确的分析判断,在判定为攻击行为后立即予以阻断,主动而有效的保护网络的安全。防火墙特点是提供隔离功能,工作在网络或主机边缘,防止有问题的流量进入内网。
Linux发行版中使用firewalld作为默认防火墙管理工具
jaber_chen的博客
05-11 434
一、Firewalld介绍 1、firewalld介绍 Firewalld提供了动态托管的防火墙,并支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了一个接口,以直接添加防火墙规则。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策
如何配置Linux防火墙
2301_78316833的博客
08-30 654
记住,防火墙是一个重要的安全工具,它可以帮助保护你的系统免受网络攻击。因此,确保你按照正确的步骤进行配置,并定期检查你的防火墙规则以确保它们是最新的。如果你希望让外部网络通过你的Linux系统访问另一个内部系统,你可以配置端口转发。例如,如果你有一个运行在内部网络上的Web服务器,并且你希望让外部网络能够访问该服务器,你可以配置端口转发。简单地说,防火墙是一个安全系统,它监控来自外部网络的数据,并根据预设的规则允许或拒绝数据流。除了基本的防火墙配置,还有一些额外的步骤可以帮助你更好地保护你的系统。
Linux内核防火墙Netfilter和iptables用户工具
m0_74282605的博客
03-06 305
Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
Linux服务器 -- 防火墙
HH_beibei的博客
11-09 1693
防火墙是用来隔离内网与外网之间的设备,主要是防止不安全的数据访问内网,防止内网人员访问存在安全隐患的网站,控制不安全服务等作用。专业的分析,防火墙是位于两个或多个网络间,实施网络控制之间访问控制的一组组件集合。防火墙的本意是指古代使用木制房屋的时候,为了防止火灾的发生与蔓延,人们将坚硬的石块堆砌再房屋周围作为屏障,这种防护构筑物就被称为防火墙防火墙通过策略进行控制数据包的进出。
linux 防火墙管理工具,Linux-防火墙管理工具firewalld
weixin_29895109的博客
05-04 443
防火墙作为网络安全的防护工具,在保障数据和服务安全方面发挥着重大作用。提到防火墙,接触Linux较早的朋友首先想到的是iptables(centos 6版本),centos 7推荐使用的是firewalld。然而,不管是iptalbes还是firewalld,其本身并不是防火墙,而是防火墙配置管理工具。本文介绍的是firewalld工具的使用方法,对于具体的原理这里不作深究,iptables相关的...
linux防火墙查看状态firewall、iptable
weixin_30873847的博客
10-23 6847
一、iptables防火墙1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off...
linux防火墙firewalld配置
10-10
Linux中,firewalld是一种防火墙服务管理工具,它可以轻松地管理和配置网络连接。要配置firewalld,请按照以下步骤操作: 1. 检查防火墙状态:sudo firewall-cmd --state 2. 启用防火墙:sudo systemctl start ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值