firewalld防火墙的管理

最新推荐文章于 2024-02-05 14:20:34 发布
最新推荐文章于 2024-02-05 14:20:34 发布
阅读量260 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou562334410/article/details/84344177
版权

一、firewalld防火墙的认识

动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接
和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。
它支持以太网桥 , 并有分离运行时间和永久性配置选择,它还具备一个通向服务或者应用程序以直接增加防火墙规则
的接口
系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配
置 firewalld 永久性或非永久性运行时间的改变 : 它依次用iptables 工具与执行数据包筛选的内核中的 Netfilter 通信  
二、firewalld的域

网络名称                  默认配置
trusted(信任)           可接受所有网络连接
home(家 庭)             用于家庭网络,仅接收ssh、mdns、ipp-client、samba-client>、或者dhcpv6-client服务连 接#internal(内部)  用于家庭内部,仅接收ssh、mdns、ipp-client、samba-cli    ent、或者dhcpv6-client服务连接
work(工作)              用于工作区,仅接受ssh、ipp-client、或者dhcpv6-client服务连接
public(公共)            在公共区域内使用,仅接受ssh、或者dhcpv6-client服务连接,为firewalld的默认区域
external(外部)         出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连>接
dmz(非军事区)          仅接受ssh服务连接
block(限制)            拒绝所有网络连接

drop(丢弃)             任何接收的网络数据包都被丢弃,没有任何回复

三、火墙的管理命令

firewall-cmd --state //查看状态
firewall-cmd --get-active-zone //查看当前生效的域
firewall-cmd --get-default-zone  //查看火墙默认生效的域
firewall-cmd --get-zones  //查看所有的域
firewall-cmd --zone=public --list-all //查看public的域的信息
firewall-cmd --get-services  //列出系统中用名称表示的服务
firewall-cmd --list-all-zones  //所有域的状态
firewall-cmd --list-all   //列出所有域的规则
firewall-cmd --set-default-zone=trusted  //修改默认的为trusted域
firewall-cmd --reload  //更新防火墙规则
firewall-cmd --complete-reload   //它与--reload的区别就是第一个无需断开连接,第二个需要断开连接,类似重启服务
firewall-cmd -get-zone-of-interface=eth0  //查看eth0的域
firewall-cmd --change-interface=eth0 --zone=trusted  //改变eth0的域
firewall-cmd --remove-interface=eth0 --zone=trused   //移除
firewall-cmd --add-source=ip  //临时添加一个ip源
firewall-cmd --permanent --add-source=ip  //永久添加一个ip源
firewall-cmd --add-port=8080/tcp --zone=public  //添加一个端口8080

1.火墙允许/删除服务的设置

[root@localhost ~]# firewall-cmd --permanent --add-port=8080/tcp
success   //永久的添加端口为8080  网络协议为/tcp
[root@localhost ~]# firewall-cmd --reload   //更新火墙策略
success
[root@localhost ~]# firewall-cmd --list-all
public (default, active)
  interfaces: eth0
  sources:
  services: dhcpv6-client
  ports: 3260/tcp 8080/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
success       //在public的域里永久的永久的删除8080端口
[root@localhost ~]# firewall-cmd --reload   //更新火墙
success
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=ssh
success        //在public的域里永久的允许ssh服务穿过火墙策略
[root@localhost ~]# firewall-cmd --reload   //更新火墙
success
[root@localhost ~]# firewall-cmd --permanent --zone=public --remove-service=ssh
success     //在public的域里永久的删除ssh的火墙策略,(不允许ssh服务火墙穿过火墙
)
[root@localhost ~]# firewall-cmd --reload   //更新火墙
success
[root@localhost Desktop]# firewall-cmd --add-source=172.25.254.12 --zone=trusted  ##允许谁走全信任策略;
[root@localhost Desktop]# firewall-cmd --add-source=172.25.254.0/24 --zone=trusted    ##允许哪个网段走全信任策略
[root@localhost Desktop]#  firewall-cmd --remove-interface=eth0 --zone=public      ##移除eth0走的公共策略
[root@localhost Desktop]# firewall-cmd --change-interface=eth0 --zone=public  ##直接改变,不用移除再加

2.服务的添加方式

1.)服务的默认端口查看

vim /usr/lib/firewalld/services/http.xml

2.)命令和文本的方式添加

[root@localhost ~]# vim /usr/lib/firewalld/services/http.xml
[root@localhost ~]# firewall-cmd --permanent --add-service=http 
[root@localhost ~]# firewall-cmd --reload    
[root@localhost ~]# vim /etc/firewalld/zones/public.xml  

[root@localhost ~]# vim /etc/firewalld/zones/public.xml   ##在策略文件中加ftp服务
[root@localhost ~]# firewall-cmd --reload ###重新加载
[root@localhost ~]# firewall-cmd --list-all ##可看

四、firewalld的高级策略

1.对filter表

[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.12 -p tcp --dport 80 -j ACCEPT
                 ###只有12主机访问本机的80端口才可以通过filter INPUT 1第一条高级策略;-s来源;-p协议;--dport目的地接口;-j动作
[root@localhost ~]# firewall-cmd --direct --get-all-rules  ###查看当前所有高级策略
ipv4 filter INPUT 1 -s 172.25.254.12 -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# firewall-cmd --remove-service=http    ###关闭http服务,否则高级策略不生效,所有人都可访问
[root@localhost ~]# firewall-cmd --list-all    ##查看已关闭

2.对net路由表(目的地伪装)

服务机设置:

[root@localhost ~]# firewall-cmd --add-masquerade    ##添加路由表
[root@localhost ~]# firewall-cmd --add-forward-port=proto=tcp:port=22:toport=22:toaddr=172.25.254.10  ##添加端口转发;本地协议:本地端口:目的地端口:目的地IP

客户机测试:

[kiosk@foundation10 Desktop]$ ssh 172.25.254.110   ###连接110主机
kiosk@172.25.254.110's password:     ###此处输入112主机的root用户密码
[kiosk@foundation10 ~]$ ifconfig br0    ###实际到达10主机
br0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.25.254.10  netmask 255.255.255.0  broadcast 172.25.254.255
恢复:因都没有加--permanent ;所以实际策略文件没有更改,--reload即可恢复

3.数据来源伪装:

1.服务机设置:

[root@desktop10 ~]# ifconfig     //双网卡主机设置双ip
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.25.254.110  netmask 255.255.255.0  broadcast 172.25.254.255
        inet6 fe80::5054:ff:fed8:3252  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:d8:32:52  txqueuelen 1000  (Ethernet)
        RX packets 4283  bytes 6540021 (6.2 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 86751  bytes 4715202 (4.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 1.1.1.10  netmask 255.255.255.0  broadcast 1.1.1.255
        inet6 fe80::5054:ff:fe1a:6a9f  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:1a:6a:9f  txqueuelen 1000  (Ethernet)
        RX packets 94988  bytes 5242086 (4.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42310  bytes 4102279 (3.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@desktop10 ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward=1

[root@desktop10 ~]# sysctl -p   //查看

 

 2.测试机设置:

[root@server10 ~]# ifconfig eth1
eth1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 1.1.1.20  netmask 255.255.255.0  broadcast 1.1.1.255
        inet6 fe80::5054:ff:fe1a:6a9f  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:1a:6a:9f  txqueuelen 1000  (Ethernet)
        RX packets 94988  bytes 5242086 (4.9 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 42310  bytes 4102279 (3.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@server10 ~]# ssh root@172.25.254.10
[root@foundation77 ~]# w -i  //查看之后发现ssh的数据来源为110

 注意:将网关修改为1.1.1.10

zhou562334410
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux - firewall防火墙使用指南
张念磊的博客
02-09 480
firewall使用指南 @auther 张念磊 @date 2020/2/9 文章目录firewall使用指南firewall是什么?如何安装?如何使用?示例开启80端口重新启动防火墙参数说明:在指定区域开启某个范围的端口号参数其他命令参考 firewall是什么? Centos7 默认的防火墙是 firewall,替代了以前的 iptables 2、firewall 使用更加方便、功能也更加强...
firewalld防火墙的配置管理
lilygg的博客
12-14 1445
1.启用firewalld ##安装firewalld [root@localhost Desktop]# yum install -y firewalld firewall-config ##开启firewalld [root@localhost Desktop]# systemctl start firewalld ##开机自启 [root@localhost Desktop]# syste...
Linux——Firewall防火墙firewalld与iptables两种管理方式)
Treasured ——的博客
12-16 2628
一、防火墙简介 介绍: 防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理管理防火墙的两种方式 : (1)firewalld 管理火墙的工具,相对简单 (2)iptables 复杂,功能强大 二、firewa...
linux系统中的firewall防火墙和iptables管理防火墙
weixin_42709236的博客
08-18 5288
#####防火墙### yum  install  iptables-services 防火墙分为firewalld和iptables 两者之间的转换 由firewalld转换为iptables systemctl stop firewalld systemctl  mask  firewalld     ###冻结火墙 systemctl  start iptables.service syst...
详解CentOS7防火墙管理firewalld
09-15
本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
iptables 与firewalld 防火墙.docx
07-07
iptables 与 firewalld 防火墙配置使用方法 iptables 和 firewalld 是 Linux 系统中两种常用的防火墙解决方案,用于过滤不合法的...了解 iptables 和 firewalld 的配置使用方法,能够帮助管理员更好地保护内网安全。
Centos7的Firewalld防火墙基础命令详解
01-10
一、Linux防火墙的基础 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤... firewalld:指用来管理Linux防护墙的命令程序,属于“用户态”的防火墙管理体系; 1、firewalld概述 firewalld的作用是为包
第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
RHEL7版-项目07--网络配置与Firewalld防火墙管理.pptx
06-08
RHEL7版-项目07--网络配置与Firewalld防火墙管理.pptx
Firewalld防火墙策略详解
Iands。的博客
02-24 2152
一、Firewalld firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务
firewall防火墙简单配置
qq_43636320的博客
02-08 1639
firewall防火墙简单配置
Linux命令之firewall-cmd
weixin_30839881的博客
10-23 951
  在了解firewall-cmd命令前,建议先简单了解《firewalld介绍》,这样可以顺畅的了解firewall-cmd命令 firewall-cmd [选项]   firewall-cmd是firewalld守护程序的命令行客户端。它提供了管理运行时和永久配置的接口。firewalld中的运行时配置与永久配置分开。这意味着可以在运行时或永久配置中更改内容。   CnetOS7以...
Centos7中firewalld防火墙的设置
Matheus的博客
07-01 1183
systemctl status firewalld:查看防火墙状态 防火墙区域: firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后要所数据包的源IP地址或传入的网络接口条件等将流量传入相应区域。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。用户可以根据具体环境选择使用区域。管理员也可以对这些区域进行自定义,使其具有不同的设置规则。 查看默认使用的区域:firewall-cmd --g
防火墙的配置————firewalld
LULUBAO1997的博客
12-06 663
这篇我们主要讲firewalld服务 系统提供了图像化的配置工具firewall-config、 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变
Firewalld管理 Linux 防火墙的更简单方法
最新发布
wuli1024的博客
02-05 964
你还可以创建自定义区域,例如,创建一个名为custom如果需要使用未在预定义服务中列出的服务,你可以创建自定义服务。首先,在目录下创建一个新的服务文件,例如。
Linux系统之firewalld防火墙基础配置
weixin_34195546的博客
06-15 519
Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙。 对于进入系统的数据包,首先检查的就是其源地址: 若源地址关联到特定的区域,则执行该区域所制定的规则; 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。 若网络接口未关联到特定的区域,那么就使用默认区域并执行该区域所制定的规则。 默认区域不是单独的区域,而是指向系...
linux中netfilter火墙访问控制策略优化----firewalld
qq_60200126的博客
08-08 194
firewalld火墙优化策略1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld管理命令5. firewalld的高级规则6.firewalld中的NAT ####### firewalld ####### dnf whatprovides */firewall-config 查找firewalld图形编辑器安装包 下载后,指令firewall-config 可以启动 1 firewalld的开启 systemctl st
linux下防火墙的设置(firewalld和iptables两种方式)
weixin_44246619的博客
07-31 783
一 、防火墙的介绍 防火墙是整个数据包进入主机前的第一道关卡,是一种位于内部网络和外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要是通过Netfilter与TCPwarppers两个机制来管理firewalld编写火墙策略的工具,开启火墙自动管理火墙数据 同名管理iptable 更专业 二、firewalld管理火墙 可以有三...
firewalld防火墙
03-29
Firewalld是Linux系统中的一个防火墙管理工具,它可以控制网络流量的进出,并允许或阻止特定的网络连接。Firewalld是Red Hat Enterprise Linux(RHEL)7及更高版本的默认防火墙解决方案,它也可以在其他Linux发行版上使用。Firewalld支持多种类型的防火墙规则,包括端口、服务、应用程序、网络地址和源/目标IP地址等。它还可以配置不同的区域(例如公共、专用、内部和DMZ)和策略(例如允许、拒绝和拒绝所有)。Firewalld还支持动态更新和重新加载规则,以及日志记录和审计功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值