firewalld是CentOS7/Red Hat7的一大特性,最大的好处有两个:
创新互联专注于汨罗网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供汨罗营销型网站建设,汨罗网站制作、汨罗网页设计、汨罗网站官网定制、重庆小程序开发服务,打造汨罗网络公司原创品牌,更为您提供汨罗网站排名全网营销落地服务。
第一个支持动态更新,不用重启服务;
第二个就是加入了防火墙的zone概念
“firewalld”是firewall daemon。它提供了一个动态管理的防火墙,带有一个非常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。
FirewallD 使用zones和services的概念,而 iptables 使用chain和rules。与 iptables 相比,“FirewallD”提供了一种非常灵活的方式来处理防火墙管理。
每个zones都可以按照指定的标准进行配置,以根据你的要求接受或拒绝某些服务或端口,并且它可以与一个或多个网络接口相关联。默认区域为public区域。 [yijiFirewalld zones[/yiji] 以下命令列出 FirewallD 提供的zones。运行以下命令以列出zones:
[root@server1 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
Firewalld 的service配置是预定义的服务。要列出可用的服务模块,请运行以下命令:
[root@server1 ~]# firewall-cmd --get-services
如何在 Linux 中配置 firewalld 规则如何在 Linux 中配置 firewalld 规则
Firewalld 使用两个独立的配置,即临时设置和永久设置:
Firewalld默认安装在Centos7/8中,下面命令时如何启用或者停用firewalld:
# 启用Firewalld
[root@server1 ~]# systemctl start firewalld
# 禁用Firewalld
[root@server1 ~]# systemctl stop firewalld
# 开机启动
[root@server1 ~]# systemctl enable firewlald
# 禁止开机启动
[root@server1 ~]# systemctl disable firewalld
查看firewlald的状态:
[root@server1 ~]# systemctl status firewalld
或者
[root@server1 ~]# firewall-cmd --state
running
如何在 Linux 中配置 firewalld 规则如何在 Linux 中配置 firewalld 规则
Firewalld 为每个区域提供不同级别的安全性,公共区域设置为默认区域。下面命令查看默认区域:
[root@server1 ~]# firewall-cmd --get-default-zone
public
下面命令查看默认区域的配置:
[root@server1 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens160
sources:
services: cockpit dhcpv6-client ntp ssh
ports: 2222/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
通过使用选项”–zone”和“–change-interface”的组合,可以轻松更改zone中的接口。例如,要将“ens33”接口分配给“home”区域,请运行以下命令:
[root@server1 ~]# firewall-cmd --zone=home --change-interface=ens33
success
[root@server1 ~]# firewall-cmd --zone=home --list-all
home (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: cockpit dhcpv6-client mdns samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
要查看所有活动的zone,请运行以下命令:
[root@server1 ~]# firewall-cmd --get-active-zones
home
interfaces: ens33
public
interfaces: ens160
要更改默认zone,请使用以下命令。例如,要将默认区域更改为 home,请运行以下命令:
[root@server1 ~]# firewall-cmd --set-default-zone=home
要找出与 ens160 接口关联的区域,请运行以下命令:
[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens160
public
要创建新zone,请使用以下命令。例如,要创建一个名为“test”的新区域,并永久生效,请运行:
[root@server1 ~]# firewall-cmd --permanent --new-zone=test
success
[root@server1 ~]# firewall-cmd --reload
success
打开特定端口允许用户从外部访问系统,这代表了安全风险。因此,仅在必要时为某些服务打开所需的端口。
要获取当前区域中开放的端口列表,请运行以下命令:
[root@server1 ~]# firewall-cmd --list-ports
2222/tcp
下面实例将特定端口永久添加到列表中:
[root@server1 ~]# firewall-cmd --permanent --add-port=8080/tcp
success
[root@server1 ~]# firewall-cmd --reload
success
同样,要删除特定端口,请运行以下命令:
[root@server1 ~]# firewall-cmd --remove-port=8080/tcp
success
可以使用以下命令每次确认端口是否已添加或删除:
[root@server1 ~]# firewall-cmd --list-ports
如果要为特定区域开放端口,例如,以下命令将为 home 区域打开端口 80:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-port=80/tcp
success
[root@server1 ~]# firewall-cmd --reload
success
同样,要从开放的端口中删除特定区域的特定端口,请运行:
[root@server1 ~]# firewall-cmd --zone=home --remove-port=80/tcp
success
Firewalld 服务配置是预定义的服务,如果启用了服务,则会自动加载。使用预定义服务使用户可以更轻松地启用和禁用对服务的访问。
预定义的服务配置文件位于/usr/lib/firewalld/services
目录中。
Firewalld的服务,你不需要记住任何端口,并且可以一次性允许所有端口。
例如,执行以下命令允许 samba 服务。samba 服务需要启用以下一组端口:“139/tcp 和 445/tcp”以及“137/udp 和 138/udp”。
添加’samba’服务后,所有端口都会同时激活,因为所有端口信息都在samba服务配置中。下面是Firewalld中预定义的samba的服务配置文件:
[root@server1 ~]# cat /usr/lib/firewalld/services/samba.xml
下面是在home区域放行samba服务:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-service=samba
success
[root@server1 ~]# firewall-cmd --reload
success
要获取有关 samba 服务的更多信息,请运行以下命令:
[root@server1 ~]# firewall-cmd --info-service=samba
samba
ports: 137/udp 138/udp 139/tcp 445/tcp
protocols:
source-ports:
modules: netbios-ns
destination:
要一次添加多个服务,请执行以下命令。例如,要添加 http 和 https 服务,请运行以下命令:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-service={http,https}
success
[root@server1 ~]# firewall-cmd --reload
success
如何在 Linux 中配置 firewalld 规则如何在 Linux 中配置 firewalld 规则
端口转发是一种将任何传入网络流量从一个端口转发到另一个内部端口或另一台机器上的外部端口的方法。
注意:端口转发必须开启IP伪装。使用下面显示的命令为external
区域启用伪装。
[root@server1 ~]# firewall-cmd --permanent --zone=external --add-masquerade
要检查是否为区域启用了 IP 伪装,请运行以下命令:
[root@server1 ~]# firewall-cmd --zone=external --query-masquerade
yes
显示yes,表示已经开启伪装。
要将端口重定向到同一系统上的另一个端口,例如:将80端口的所有数据包重定向到8080端口:
[root@server1 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080
success
如果要将流量转发到另一台服务器,例如:将所有 80 端口的数据包重定向到 IP 为 10.0.0.75 的服务器上的 8080 端口:
[root@server1 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.0.0.75
success
例如,要允许来自特定源地址的流量,仅允许从特定子网连接到服务器,请运行以下命令:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-source=192.168.1.0/24
success
富规则允许使用易于理解的命令创建更复杂的防火墙规则,但丰富的规则很难记住,可以查看手册man firewalld.richlanguage
并找到示例。
富规则的一般规则结构如下:
rule
[source]
[destination]
service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
[log]
[audit]
[accept|reject|drop|mark]
要允许来自地址 192.168.0.0/24 的访问,请运行以下命令:
[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept'
success
要允许来自地址 192.168.0.0/24 的连接访问 ssh 服务,请运行以下命令:
[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept'
success
要拒绝来自192.168.10.0/24的流量访问ssh服务,请运行以下命令:
[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port=22 protocol=tcp reject'
success
要删除任何富规则,请使用--remove-rich-rule
选项,下面使用--list-rich-rules
列出富规则,然后删除掉富规则:
[root@server1 ~]# firewall-cmd --zone=public --list-rich-rules
rule family="ipv4" source address="192.168.0.0/24" accept
rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept
rule family="ipv4" source address="192.168.10.0/24" port port="22" protocol="tcp" reject
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept'
success
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept'
success
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port="22" protocol="tcp" reject'
success
Direct规则类似于 iptables 命令,对于熟悉 iptables 命令的用户很有用。或者,您可以编辑/etc/firewalld/direct.xml
文件中的规则并重新加载防火墙以激活这些规则。Direct规则主要由服务或应用程序用来添加特定的防火墙规则。
以下Direct规则将在服务器上打开端口 8080:
[root@server1 ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
success
[root@server1 ~]# firewall-cmd --reload
success
要列出当前区域中的Direct规则,请运行:
[root@server1 ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
使用下面命令删除Direct规则:
[root@server1 ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
[root@server1 ~]# firewall-cmd --permanent --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
success
[root@server1 ~]# firewall-cmd --reload
success
如何清空一个表的链?下面是语法和实例:
firewall-cmd --direct --remove-rules ipv4 [table] [chain]
[root@server1 ~]# firewall-cmd --permanent --direct --remove-rules ipv4 filter INPUT
success
[root@server1 ~]# firewall-cmd --reload
success
[root@server1 ~]# firewall-cmd --direct --get-all-rules
本文名称:Linux配置firewalld规则具体方法
标题链接:http://www.gawzjz.com/qtweb2/news11/11961.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联