精华内容
下载资源
问答
  • 2022-03-04 16:12:36

    Firewalld防火墙策略详解

    一、Firewalld

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
    

    firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。

    firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。

    (1)Firewalld 与 Iptables 的区别:

    • iptables主要是基于接口,来设置规则,从而判断网络的安全性。
      firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
    • iptables 在 /etc/sysconfig/iptables 中储存配置, firewalld 将配置储存在
      /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
    • 使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则 使用firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld 可以在运行时间内,改变设置而不丢失现行连接。

    (2)Firewalld 区域的概念:

    firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

    (3)Firewalld防火墙预定义了9个区域:

    • 1、trusted(信任区域):允许所有的传入流量。
    • 2、public(公共区域):允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
    • 3、external(外部区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
    • 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。
    • 4、home(家庭区域):允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
    • 5、internal(内部区域):默认值时与home区域相同。
    • 6、work(工作区域):允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
    • 7、dmz(隔离区域也称为非军事区域):允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
    • 8、block(限制区域):拒绝所有传入流量。
    • 9、drop(丢弃区域):丢弃所有传入流量,并且不产生包含 ICMP的错误响应。
    最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
    区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
    

    (4)Firewalld数据处理流程:

    firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
    

    (5)firewalld检查数据包的源地址的规则:

    • 1.若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
    • 2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
    • 3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

    (6)firewalld防火墙的配置方法:

    • 1、使用firewall-cmd 命令行工具。
    • 2、使用firewall-config 图形工具。
    • 3、编写/etc/firewalld/中的配置文件。
    systemctl start firewalld.service
    
    常用的firewall-cmd 命令选项
    --get-default-zone :显示当前默认区域
    --set-default-zone=<zone> :设置默认区域
    
    --get-active-zones :显示当前正在使用的区域及其对应的网卡接口
    --get-zones :显示所有可用的区域
    
    --get-zone-of-interface=<interface> :显示指定接口绑定的区域
    --zone=<zone> --add-interface=<interface> :为指定接口绑定区域
    --zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
    --zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口
    
    --list-all-zones :显示所有区域及其规则
    [--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
    
    [--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
    [--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
    [--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务
    
    [--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
    [--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
    [--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
    
    [--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有 ICMP 类型
    [--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型
    [--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
    firewall-cmd --get-icmptypes :显示所有 ICMP 类型
    

    区域管理:

    (1)显示当前系统中的默认区域
    firewall-cmd --get-default-zone
    
    (2)显示默认区域的所有规则
    firewall-cmd --list-all
    
    (3)显示当前正在使用的区域及其对应的网卡接口
    firewall-cmd --get-active-zones
    
    (4)设置默认区域
    firewall-cmd --set-default-zone=home
    firewall-cmd --get-default-zone
    

    服务管理:

    (1)查看默认区域内允许访问的所有服务
    firewall-cmd --list-service
    
    (2)添加httpd 服务到public 区域
    firewall-cmd --add-service=http --zone=public
    
    (3)查看public 区域已配置规则
    firewall-cmd --list-all --zone=public
    
    (4)删除public 区域的httpd 服务
    firewall-cmd --remove-service=http --zone=public
    
    (5)同时添加httpd、https 服务到默认区域,设置成永久生效
    firewall-cmd --add-service=http --add-service=https --permanent
    firewall-cmd --reload	
    firewall-cmd --list-all		
    #添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
    
    --runtime-to-permanent:将当前的运行时配置写入规则配置文件中,使之成为永久性配置。
    

    端口管理:

    (1)允许TCP的443端口到internal 区域
    firewall-cmd --zone=internal --add-port=443/tcp
    firewall-cmd --list-all --zone=internal
    
    (2)从internal 区域将TCP的443端口移除
    firewall-cmd --zone=internal --remove-port=443/tcp
    
    (3)允许UDP的2048~2050端口到默认区域
    firewall-cmd --add-port=2048-2050/udp
    firewall-cmd --list-all
    
    更多相关内容
  • Firewalld支持两种类型的网络地址转换 IP地址伪装(masquerade) 可以实现局域网多个地址共享单一公网地址上网 IP地址伪装仅支持IPv4,不支持IPv6 默认external区域启用地址伪装 端口转发(Forward-port) 也称为...
  • firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
  • 离线安装包,亲测可用
  • centos7 firewalld详解,超级详细
  • Linux防火墙-firewalld

    2021-01-09 03:34:21
    启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
  • Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。 netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核...
  • 为firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
  • linux firewalld开启端口

    2020-12-23 16:37:43
    CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
  • 基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
  • 主要介绍了Centos 7之Firewalld相关命令详细介绍的相关资料,需要的朋友可以参考下
  • 本篇文章主要介绍了CentOS7防火墙管理firewalld,centos 7中防火墙是一个非常的强大的功能了,有兴趣的可以了解一下。
  • 本篇文章主要介绍了CentOS7使用firewalld打开关闭防火墙与端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
  • firewalld

    2021-07-06 19:01:12
    一、Firewalld概述二、Firewalld和iptables的关系2.1 Firewalld和iptables分析2.1 Firewalld和iptables区别 三、Firewalld网络区域3.1 firewalld 区域的概念3.2 firewalld防火墙预定义了9个区域3.2 firewalld数据...

    一、Firewalld概述

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    二、Firewalld和iptables的关系

    在这里插入图片描述

    2.1 Firewalld和iptables分析

    在这里插入图片描述

    2.1 Firewalld和iptables区别

    在这里插入图片描述

    三、Firewalld网络区域

    3.1 firewalld 区域的概念

    在这里插入图片描述

    3.2 firewalld防火墙预定义了9个区域

    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    3.2 firewalld数据处理流程

    在这里插入图片描述

    四、Firewalld防火墙的配置方法

    4.1 Firewalld配置方案

    在这里插入图片描述

    4.2 Firewalld配置方法

    在这里插入图片描述

    五、使用firewall-cmd 命令行工具

    使用命令之前先要开启Firewalld服务
    在这里插入图片描述

    5.1 常用的firewall-cmd 命令选项

    在这里插入图片描述

    1. 显示当前默认区域firewall-cmd --get-default-zone
      在这里插入图片描述
    2. 设置默认区域为honefirewall-cmd --set-default-zone=home
      在这里插入图片描述
    3. 显示当前正在使用的区域及其对应的网卡接口firewall-cmd --get-active-zones
      在这里插入图片描述
    4. 显示所有可用的区域firewall-cmd --get-zones
      在这里插入图片描述
    5. 显示指定接口ens33绑定的区域firewall-cmd --get-zone-of-interface=ens33
      在这里插入图片描述
    6. 为指定接口ens37绑定区域homefirewall-cmd --zone=home --add-interface=ens37在这里插入图片描述
    7. 为指定的区域更改绑定的网络接口firewall-cmd --zone=public --change-interface=ens37
      在这里插入图片描述
    8. 为指定的区域删除绑定的网络接口,这里为ens37绑定的home区域
      在这里插入图片描述

    5.2 --list-all-zones ∶ 显示所有区域及其规则

    在这里插入图片描述

    1. 显示所有指定区域的所有规则,这里为默认firewall-cmd --zone=public --list-all
      在这里插入图片描述

    2. 显示public区域内允许访问的所有服务firewall-cmd --zone=public --list-services
      在这里插入图片描述

    3. 删除指定区域public已设置的允许访问的ssh服务firewall-cmd --zone=public --remove-service=ssh
      在这里插入图片描述

    4. 添加指定区域public允许访问的ssh服务firewall-cmd --zone=public --add-service=ssh
      在这里插入图片描述

    在这里插入图片描述

    5.3 区域管理

    在这里插入图片描述

    1. 显示当前系统中的默认区域 、显示默认区域的所有规则 和显示当前正在使用的区域及其对应的网卡接口
      在这里插入图片描述
    2. 设置默认区域为home,然后在修改回来。
      在这里插入图片描述

    5.4 服务管理

    在这里插入图片描述

    在这里插入图片描述

    5.5 端口管理

    在这里插入图片描述

    1. 允许TCP的443端口到internal区域
      在这里插入图片描述
    2. 从internal 区域将TCP的443端口移除
      在这里插入图片描述
    3. 允许UDP的2048~2050端口到默认区域
      在这里插入图片描述
    展开全文
  • firewalld防火墙实操

    2018-09-19 11:46:56
    firewalld防火墙实际操作,介绍一些常用的firewalld设置规则。
  • iptables和firewalld.pdf

    2019-11-30 13:40:59
    很详细的iptables和firewalld
  • Linux7 firewalld设置及禁用root直接登录登录,自己平时运维过程中的总结,望有参考价值
  • Centos7防火墙firewalld探究与使用.pdf 更多资源请点击:https://blog.csdn.net/weixin_44155966
  • Firewalld一、Firewalld概述二、Firewalld和iptables的关系2.1 Firewalld和iptables分析2.1 Firewalld和iptables区别三、Firewalld网络区域3.1 firewalld 区域的概念3.2 firewalld防火墙预定义了9个区域3.2 ...

    在这里插入图片描述

    一、Firewalld概述

    在这里插入图片描述

    FirewallD 是由红帽发起的提供了支持网络/防火墙 区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。

    二、Firewalld和iptables的关系

    在这里插入图片描述

    2.1 Firewalld和iptables分析

    1. firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
    2. firewalld提供了支持网络区域所定义的网络连接以及接口 安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置,以及以太网桥 (在某些高级服务可能会用到, 比如云计算),并且拥有两种配置模式∶ 运行时配置与永久配置。

    2.1 Firewalld和iptables区别

    • iptables主要是基于接口,来设置规则, 从而判断网络的安全性。
      firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
    • iptables 在 /etc/sysconfig/iptables 中储存配置,
      firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。
    • 使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则。使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。
    • iptables 防火墙类型为静态防火墙 firewalld 防火墙类型为动态防火墙

    三、Firewalld网络区域

    3.1 firewalld 区域的概念

    firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

    3.2 firewalld防火墙预定义了9个区域

    在这里插入图片描述

    1. trusted(信任区域)∶ 允许所有的传入流量。
    2. public(公共区域)∶ 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域
    3. external (外部区域)∶ 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。默认将通过此区域转发的IPy4传出流量将进行地址伪装, 可用于为路由器启用了伪装功能的外部网络。
    4. home (家庭区域)∶ 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
    5. internal (内部区域)∶ 默认值时与home区域相同。
    6. work (工作区域)∶ 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
    7. dmz (隔离区域也称为非军事区域)∶ 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
    8. block(限制区域)∶拒绝所有传入流量。
    9. drop(丢弃区域)∶ 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。

    补充:

    1. 最终一个区域的安全程度是取决于管理员在此区域中设置的规则;
    2. 区域如同进入主机的安全门, 每个区 域都具有不同限制程度的规则,只会允许符合规则的流量传入;
    3. 可以根据网络规模, 使用—个或多个区域,但是任何一个 活跃区域 至少需要关联源地却或接口。
    4. 默认情况下,public区域是默认区域,包含所有接口 (网卡)。

    3.2 firewalld数据处理流程

    firewalld对于进入系统的数据包, 会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址:

    • 若源地址关联到特定的区域(即源地址或接 口绑定的区域有冲突), 则执行该区域高制定的规则。
    • 若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
    • 若网络接口也未关联到特定的区域 (即源地址或接口都没有绑定特定的某个区域), 则使用默认区域并执行该区域所制定的规则。

    总结:绑定源地址的区域规则>网卡接口绑定的区域规则>默认区域的规则

    • Firewalld:只关心区域
    • Iptables:四表五链及流量的进出

    四、Firewalld防火墙的配置方法

    4.1 Firewalld配置方案

    1. 运行时配置
      ●不中断现有连接
      ●不能修改服务配置
    2. 永久配置
      ●不立即生效,除非Firewalld重新启动或重新加载配置
      ●中断现有连接
      ●可以修改服务配置

    4.2 Firewalld配置方法

    1、使用firewall-cmd 命令行工具。
    2、使用firewall-config 图形工具。
    3、编写/etc/firewalld/中的配置文件。

    五、使用firewall-cmd 命令行工具

    使用命令之前先要开启Firewalld服务
    在这里插入图片描述

    5.1 常用的firewall-cmd 命令选项

    --get-default-zone∶ 显示当前默认区域
    --set-default-zone=<zone>∶设置默认区域
    
    --get-active-zones  显示当前正在使用的区域及其对应的网卡接口
    --get-zones∶ 显示所有可用的区域
    
    --get-zone-of-interface=<interface> 显示指定接口绑定的区域
    --zone=<zone> --add-interface=<interface> 为指定接口绑定区域
    --zone=<zone> --change-interface=<interface>∶为指定的区域更改绑定的网络接口
    --zone=<zone> --remove-interface=<interface> 为指定的区域删除绑定的网络接口
    
    1. 显示当前默认区域firewall-cmd --get-default-zone
      在这里插入图片描述
    2. 设置默认区域为honefirewall-cmd --set-default-zone=home
      在这里插入图片描述
    3. 显示当前正在使用的区域及其对应的网卡接口firewall-cmd --get-active-zones
      在这里插入图片描述
    4. 显示所有可用的区域firewall-cmd --get-zones
      在这里插入图片描述
    5. 显示指定接口ens33绑定的区域firewall-cmd --get-zone-of-interface=ens33
      在这里插入图片描述
    6. 为指定接口ens37绑定区域homefirewall-cmd --zone=home --add-interface=ens37在这里插入图片描述
    7. 为指定的区域更改绑定的网络接口firewall-cmd --zone=public --change-interface=ens37
      在这里插入图片描述
    8. 为指定的区域删除绑定的网络接口,这里为ens37绑定的home区域
      在这里插入图片描述

    5.2 --list-all-zones ∶ 显示所有区域及其规则

    [--zone=<zone>] --list-all  显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作
    
    [--zone=<zone>] --list-services ; 显示指定区域内 允许访问的所有服务
    [--zone=<zone>] --add-service=<service>  为指定区域设置允许访问的某项服务
    [--zone=<zone>] --remove-service=<service>  删除指定区域已设置的允许访问的某项服务
    
    1. 显示所有指定区域的所有规则,这里为默认firewall-cmd --zone=public --list-all
      在这里插入图片描述

    2. 显示public区域内允许访问的所有服务firewall-cmd --zone=public --list-services
      在这里插入图片描述

    3. 删除指定区域public已设置的允许访问的ssh服务firewall-cmd --zone=public --remove-service=ssh
      在这里插入图片描述

    4. 添加指定区域public允许访问的ssh服务firewall-cmd --zone=public --add-service=ssh
      在这里插入图片描述

    [--zone=<zone> ] --list-ports :显示指定区域内允许访问的所有端口号
    [--zone=<zone> ]-- add-port=<portid> [-<portid>] /<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
    [--zone=<zone> ]-- remove-port=<portid> [-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)
    
    [--zone=<zone>] --list-icmp- blocks :显示指定区域内拒绝访问的所有ICMP 类型
    [--zone=<zone>]--add- icmp-block=<icmptype> :为指定区域设置拒绝访问的某项ICMP 类型
    [--zone=<zone>] -- remove- icmp-block=<i cmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
    firewall-cmd --get-icmptypes :显示所有ICMP类型
    

    5.3 区域管理

    1)显示当前系统中的默认区域 
    	firewall-cmd --get-default-zone
    
    2)显示默认区域的所有规则 
    	firewall-cmd --list-all
    
    3)显示当前正在使用的区域及其对应的网卡接口 
    	firewall-cmd --get-active-zones
    
    4)设置默认区域
    	firewall-cmd --set-default-zone=home
    	firewall-cmd --get-default-zone
    
    1. 显示当前系统中的默认区域 、显示默认区域的所有规则 和显示当前正在使用的区域及其对应的网卡接口
      在这里插入图片描述
    2. 设置默认区域为home,然后在修改回来。
      在这里插入图片描述

    5.4 服务管理

    1)查看默认区域内允许访问的所有服务 
    	firewall-cmd --list-service
    
    2)添加httpd 服务到public 区域
    	firewall-cmd --add-service=http --zone=public
    
    3)查看public 区域已配置规则 
    	firewall-cmd --list-all --zone=public
    
    4)删除public 区域的httpd 服务
    	firewall-cmd --remove-service=http --zone=public
    
    5)同时添加httpd、https 服务到默认区域,设置,成永久生效
    	firewall-cmd --add-service=http --add-service=https --permanent 
    	firewall-cmd --add-service={http, https, ftp)--zone=internal 
    	firewall-cmd --reload 
    	firewall-cmd --list-all
    

    #添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令
    重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效

    firewall-cmd --runtime-to-permanent∶将当前的运行时配置写入规则配置文件中,使之成为永久性配置

    5.5 端口管理

    1)允许TCP的443端口到internal区域
    	firewall-cmd --zone=internal --add-port=443/tcp 
    	firewall-cmd --list-all --zone=internal
    
    2)从internal 区域将TCP的443端口移除
    	firewall-cmd --zone=internal --remove-port=443/tcp
    
    3)允许UDP的2048~2050端口到默认区域 
    	firewall-cmd --add-port=2048-2050/udp 
    	firewall-cmd --list-all
    
    1. 允许TCP的443端口到internal区域
      在这里插入图片描述
    2. 从internal 区域将TCP的443端口移除
      在这里插入图片描述
    3. 允许UDP的2048~2050端口到默认区域
      在这里插入图片描述
    展开全文
  • Centos7 firewalld 端口管理,快速放行、删除端口; 将此文件放入/usr/bin目录下,权限777; #myport add * #myport remove * *代表端口号,也可以设置端口区间
  • FirewallD是一款出色的防火墙软件。它具有区域,源的概念,并支持IP集。但是,它的客户端应用程序firewall-cmd在阻止和管理被阻止的IP地址方面远非用户友好。此外,如果您还使用Cloudflare防火墙,则还希望将被阻止...
  • firewalld 详细 手册 pdf 8章 firewalld 详细 手册 pdf 8章
  • iptables & firewalld

    2021-08-09 16:26:04
    1、firewalld和iptables的区别 在centos7下默认使用的是firewalld,但是在工作中,大多是时间用到的是iptables,所以推荐使用iptables iptables默认每个服务都是开启的,需要拒绝才能限制;firewalld默认每个服务都...

    1、firewalld和iptables的区别

    在centos7下默认使用的是firewalld,但是在工作中,大多是时间用到的是iptables,所以推荐使用iptables

    iptables默认每个服务都是开启的,需要拒绝才能限制;firewalld默认每个服务都是拒绝的,需要设置才能开放

    iptables 服务在 /etc/sysconfig/iptables 中储存配置;而 FirewallD 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里

    使用 iptables 的时候每一个单独更改意味着清除所有旧有的规则和从 /etc/sysconfig/iptables 里读取所有新的规则;使用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的不同。因此 FirewallD 可以在运行时改变设置而不丢失现行配置。

    2、firewalld运用

    常用命令:

    firewall-cmd --list-all        		#查看firewalld所有开放的规则
    firewall-cmd --list-services    	#查看已经开放的服务
    firewall-cmd --list-port   			#查看已经开放的端口
    firewall-cmd --reload    			#配置生效
    

    例子:

    firewall-cmd --add-port=8080/tcp --permanent    #开放8080端口(--permanent 永久生效,需要reload)
    firewall-cmd --add-service=http --permanent   	#开放http服务
    firewall-cmd --remove-port=8080/tcp --permanent    	#关闭8080端口
    firewall-cmd --remove-service=http --permanent    	#移除http服务
    firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 --permanent    #将80端口的流量转发到8080
    firewall-cmd --zone=public--add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.217.128 --permanent     #将本地的80端口,转发到192.168.217.128机器的8080端口
    systemctl stop firewalld.service    	#关闭firewall
    systemctl start firewalld.service    	#开启firewall
    systemctl status firewalld.service    #查看firewall状态
    

    3、iptables安装

    使用iptables时,需要关闭firewalld并卸载
    systemctl stop firewalld.service    		#停止firewall
    systemctl disable firewalld.service    	#禁止firewall开机启动
    yum -y install iptables-services    		#安装iptables
    systemctl restart iptables.service    	#重启iptables
    

    4、iptables配置规则

    iptables -L -n    	#查看详细策略
    iptables -F    		#清除预设表中的所有规则链的规则
    iptables -X    		#清除预设表中使用者自定链中的规则
    

    iptables下可以通过以下两种方式来修改防火墙规则

    1、直接修改/etc/sysconfig/iptables文件(注意:修改iptables文件后,需要重启iptables才能永久生效)

    手动添加了一条开放8080端口的规则

    2、使用命令直接修改(注意:需要save生效)
    iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT    #开放8080端口
    service iptables save    #使配置生效
    

    这里遇到了一个小问题,我一开始使用的是iptables -A来添加记录的,虽然写入到配置文件了,但是一直访问不到,最后通过使用iptables -I添加配置,就能成功访问。问题总结:因为iptables -A是添加在最末尾的,-I是添加在第一条,所以是优先级的问题

    5、iptables配置小结

    iptables -I INPUT -p tcp -m multiport --dport 22,80 -j ACCEPT    #同时开放22和80端口
    iptables -I INPUT -p tcp --dport 5000:6000 -j ACCEPT    #开放5000-6000端口
    iptables -I INPUT -p all -s 0.0.0.0/0 -j ACCEPT    #允许某个网段的ip访问
    iptables -I INPUT -s 0.0.0.0 -p tcp --dport 8080 -j ACCEPT    #允许某个ip的8080端口访问
    iptables -I INPUT -p tcp -s 0.0.0.0 -j DROP    #禁止某台主机访问
    iptables -D INPUT 7    #移除第七条规则
    (注:放行使用ACCEPT,禁止使用DROP)
    

    6、端口转发

    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080    #将本机的80端口流量转发到8080端口
    iptables -t nat -A OUTPUT -d localhost -p tcp --dport 80 -j REDIRECT --to-ports 8080
    iptables -t nat -A PREROUTING -p tcp -m tcp --dport 8282 -j DNAT --to-destination 192.168.217.129:8181
    

    关于firewalld的zone

    网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。
    
    1、firewalld的9个zone
    1. zone 是firewalld 的单位。默认使用public zone
    2. 查看所有的zone : firewall-cmd --get-zones
    3. 查看默认的zone : firewall-cmd --get-default-zone
    4. 9个zone说明:
      查看zones:   firewall-cmd --get-zones
      
      drop (丢弃)
      任何接收到的网络数据都被丢弃,没有任何回复,公有发送出去的网络连接
      block(限制)
      任何接收的网络连接都被IPV4 的icmp-host-prohibited信息和IPV6的icmp6-adm-prohibited信息所拒绝 public (公共) 在公共区域内使用,不能相信网络内的其它计算机不会对你的计算机造成危害,只接收经过选取的连接
      external(外部)
      特别是为路由器启用了伪装功能的外部网。你不能信任来自网络的其它计算,不能信任它们不会对你的计算机造成危害,只能接收经过选择的连接。
      dmz (非军事区)
      用于你的非军事区的电脑 ,此区域内可公开访问,可以有限的进入你的内部网络,仅接收经过选择的连接。
      work (工作)
      可以基本信任网络内的其它计算机不会危害你的计算机,仅接收经过选择的连接。
      home (家庭)
      用于家庭网络,可以基本信任网络内的其它计算机不会危害你的计算机,仅接收经过选择的连接。
      internal(内部)
      用于内部网络,可以基本信任网络内的其它计算机不会危害你的计算机,仅接收经过选择的连接
      trusted (信任)
      可接收所有的网络连接
    2、firewalld操作zone:
    1. 设定默认zone ,设置zone为work:

      firewall-cmd --set-default-zone=work

    2. 指定网卡看它用的哪个zone :

      firewall-cmd --get-zone-of-interface=eth0

    3. 给指定网卡设置zone :

      firewall-cmd --zone=public --add-interface=eth0

    4. 针对网卡更改zone :

      firewall-cmd --zone=dmz --change-interface=eth0

    5. 针对网卡删除zone :

      firewall-cmd --zone=dmz --remove-interface=eth0

    6. 获取活动的区域 :

      firewall-cmd --get-active-zones

    7. 获取默认区域的网络设置:

      firewall-cmd --get-default-zone

    3、firewalld关于zone下面的service的操作
    1. 查看所有的service :

      firewall-cmd --get-services

    2. 查看当前zone下有哪些service :

      firewall-cmd --list-services
      firewall-cmd --zone=work --list-services

    3. 把http/ftp增加到work zone 下 :

      firewall-cmd --zone=work --add-service=http
      firewall-cmd --zone=work --add-service=ftp

    4. 以上的操作只是在内存里面,我们把它们写到配制文件里面去:

      zone的配制文件模版: /usr/lib/firewalld/zones
      services配制模版: usr/lib/firewalld/services
      更改配制文件之后,会在/etc/firewalld/zones目录下生成配置文件 :firewall-cmd --zone=work --add-service=http --permanent
      查看: cat /etc/firewalld/zones/work.xml

    5. 需求:ftp服务自定议端口1121,需要在work zone 下面放行ftp

      cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services //复制ftp.xml模版 到/etc/firewalld/services/目录下;
      vi /etc/firewalld/services/ftp.xml //把21端口改成1121端口
      cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/ //复制work.xml模版到/etc/firewalld/zones/目录下;
      vi /ec/firewalld/zones/work.xml //编辑work.xml文件 ,增加一行
      firewall-cmd --reload //重新加载firewall
      firewall-cmd --zone=work --list-service // 查看work下面的services

    注:更加详尽的请看: https://www.cnblogs.com/daxiongblog/p/6003170.html

    展开全文
  • 一.FirewallD 是什么? 二.什么是动态防火墙? 三.什么是区域(zone)? 四.区域(zone)说明如下drop(丢弃) 五.什么是服务? 六.其他 一.FirewallD 是什么? FirewallD 提供了支持网络/防火墙区域(zone)...
  • Firewalld防火墙基础

    2022-02-17 15:04:14
    1、Firewalld概述 2.Firewalld和 iptables的关系 3、Firewalld与iptablesservice的区别 4、Firewalld网络区域 5、Firewalld防火墙的配置方法 6、​​​​​​​firewall-config图形工具 ​​​​​​​ 1、...
  • Firewalld脚本

    2020-11-18 20:08:42
    文章目录Firewalld概述Firewalld和iptables的关系Firewalld网络区域Firewalld数据处理流程Firewalld防火墙的配置方法Firewall-config图像工具Firewalld防火墙预定义区域、firewall-cmd字符管理工具firewalld的基本...
  • Linux Firewalld防火墙

    千次阅读 2022-03-11 23:57:20
    Firewalld(Dynamic Firewall Manager of Linux systems) 防火墙存在的意义 切割被信任(如子域)与不被信任(如Internet)的网段. 划分出可提供Internet的服务与必须受保护的服务. 分析出可接受与不可接受的数据包状态....

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 145,966
精华内容 58,386
关键字:

FirewallD