Firewalld防火墙基础

最新推荐文章于 2022-03-05 01:50:01 发布
原创 最新推荐文章于 2022-03-05 01:50:01 发布 · 161 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux

本文介绍了Firewalld防火墙的基础知识,包括其特点、与iptables的关系、网络区域概念及配置方法。涵盖运行时与永久配置的区别,图形与命令行工具的使用,以及通过实例展示如何进行服务和端口放行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Firewalld防火墙基础

Firewalld概述

Firewalld
1、支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
2、支持IPv4、IPv6防火墙设置以及以太网桥
3、支持服务或应用程序直接添加防火墙规则接口
4、拥有两种配置模式
运行时配置(重启后会自动清空)
永久配置(重启后配置才能生效)

Firewalld和iptables的关系

netfilter
1、位于Linux内核中的包过滤功能体系
2、称为Linux防火墙的“内核态”

Firewalld/iptables
1、centos7默认的管理防火墙规则的工具(Firewalld)
2、称为Linux防火墙的“用户态”

Firewalld网络区域

区域介绍
1、区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
2、可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
3、默认情况下,public区域是默认区域,包含所有接口(网卡)

Firewalld数据处理流程
检查数据来源的源地址
1、若源地址关联到特定的区域,则执行该区域所指定的规则
2、若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
3、若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
源地址关联>网卡关联(优先级)

Firewalld防火墙的配置方法

运行时配置
1、实时生效,并持续至Firewalld重新启动或重新加载配置
2、不中断现有连接
3、不能修改服务配置

永久配置
1、不立即生效,除非Firewalld重新启动或重新加载配置
2、中断现有连接
3、可以修改服务配置

Firewalld-config图形工具

1、运行时配置/永久配置
2、重新加载防火墙
更改永久配置并生效
3、关联网卡到指定区域
4、修改默认区域
5、连接状态
6、“区域”选项卡
7、“服务”选项卡

/etc/firewalld中的配置文件

Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

Firewalld-cmd命令行工具

ls /usr/lib/firewalld/services/  可以使用容易理解的名称表示的所有服务
firewall-cmd --get-services  查看支持的所有服务名称
firewall-cmd --get-zones  查看所有区域
firewall-cmd --get-default-zone 查看当前默认区域
firewall -cmd --set-default-zone=work 设置默认区域为“work”
firewall-cmd --get-active-zones 列出当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-zone-of-interface=ens33  查看指定网卡所处的区域
firewall -cmd --zone=work --add-interface=ens37  将接口加入到相关区域
firewall -cmd --zone=public --remove-interface=ens37  将接口移出相关的区域回到默认区域
firewall-cmd--zone=public --query-service=ssh  
firewall-cmd--zone=public --query-service=http 查看指定区域中有没有相关的服务开放
firewall-cmd --list-services 查看当前区域允许的服务
firewall-cmd --reload  重新加载配置文件
firewall-cmd --list-all-zones 查看所有区域开放的服务
firewall-cmd --list-all --zone=某区域  查看某区域开放的服务

设置服务或端口放行
firewall-cmd --add-service=http(服务放行)
firewall-cmd --permanent --zone=public --add-service=http
firewalld-cmd --reload

firewall-cmd --permanent --add-port=80/tcp(端口放行)
firewall-cmd --reload

firewall-cmd --zone=home --remove-service(移除服务或端口)
firewall-cmd --zone=public --remove-port=80/tcp

为网卡设置区域
firewall -cmd --permanent --zone=external --change-interface=ens33
firewall-cmd --reload

拒绝172.27.10.0/22网络用户访问ssh(富规则)
firewall -cmd --permant --zone=public --add-rich-rule="rule family="ipv4 source
address="172.27.10.0/22" service name="ssh" reject"

防火墙小项目

0#pic_center)
需求1:
在这里插入图片描述

服务器:

[root@server1 ~]# firewall-cmd --zone=public --add-icmp-block
--add-icmp-block=           --add-icmp-block-inversion
[root@server1 ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent 
success
[root@server1 ~]# firewall-cmd --reload 
success
[root@server1 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules: 
	
[root@server1 ~]#

需求2:
服务器192.168.188.10


[root@server1 ~]# yum -y install httpd
[root@server1 ~]# echo "abd123" > /var/www/html/index.html
[root@server1 ~]# systemctl start httpd
[root@server1 ~]# systemctl start firewalld
[root@server1 ~]# firewall-cmd --zone=public --add-service=http --permanent 
success
[root@server1 ~]# firewall-cmd --reload 
success
[root@server1 ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client http
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: echo-request
  rich rules: 
	
[root@server1 ~]# 


客户机
192.168.188.20

[root@server1 ~]# curl http://192.168.188.10
abd123
[root@server1 ~]#
firewalld防火墙基础
qjwthink的博客
12-07 3808
目录 一、安全技术 1、不同的安全技术 二、Linux防火墙的介绍 1、Netfilter 2、防火墙的工具 三、firewalld服务 1、什么是firewalld 2、firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则 3、firewalld中zone 分类 四、命令行配置 1、基础命令 2、区域管理 3、服务管理 4、端口管理 一、安全技术 1、不同的安全技术 ·入侵检测系统(Intrusion Detection Systems)︰特点
firewalld防火墙
CapejasmineY的博客
08-20 667
一、搭建实验环境 重置(reset)两个虚拟机 虚拟机server: 添加两块网卡 eth0 172.25.254.176 eth1 192.268.0.176 虚拟机desktop: eth0 192.168.0.20 二、firewalld的域 trusted(信任) 可接受所有网络连接 home(家庭) 用于家庭网络,仅接受ssh、mdns、ipp-client或dhcpv6...
firewalld
nongfuchui的博客
08-28 641
#firewalld ##firewalld的9个zone 每个zone就好比一个规则集,firewalld默认有9个zone,如下 查看默认的zone, firewalld-cmd --get-default-zone 九个zone详解 ##firewalld关于service的操作 查看某些zone对应的service: firewall-cmd --zone=...
CentOS7 Firewall 防火墙配置教程
gbz2000的博客
05-26 4798
一、firewall介绍 CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙中进行了升级了。 1、什么是区域Zone: 网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。 2、哪个区域可用? 由firewalld 提供的区域按照从不信任到信任的顺序排序。 3、区域的分类? Firewalls can be used to separate networks into d
centos7.firewalld 防火墙常用命令
jialiu111111的博客
11-16 881
CentOS 7开放端口和关闭防火墙 永久的开放需要的端口 sudo firewall-cmd --zone=public --add-port=10050-10051/tcp --permanent sudo firewall-cmd --zone=public --add-port=81/tcp --permanent sudo firewall-cmd --zone=public --add-port=22-30000/udp --permanent firewall-cmd --zone=publ.
阿里云服务器cnetos7常用命令
qiuboshi_的博客
11-24 386
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 2.配置firewalld-cmd 查看版本: firewall-cmd --version 查看帮助: firewall-cmd --help 显示状态: firewall-cmd --state 查看所有打开
iptables与firewalld
weixin_44307721的博客
07-16 143
iptable 常用参数 -P #设置默认策略 -F #清空规则链 -L #查看规则链 -I <num> #在规则链头部插入新规则 -A #在规则链尾部加入新规则 -D <num> #删除某一条规则 -s #匹配来源地址 IP/MASK , 加叹号 “!”表示排除这个ip -d #匹配目标地址 -i <网...
CentOS7为firewalld添加开放端口
weixin_45381845的博客
11-28 1139
CentOS7为firewalld添加开放端口 运行、停止、禁用firewalld 启动:# systemctl start firewalld 查看状态:# systemctl status firewalld 或者 firewall-cmd --state 停止:# systemctl disable firewalld 禁用:# systemctl stop firewalld 查看firewall是否运行,下面两个命令都可以 systemctl status firewalld.service
华为交换-安全配置命令
无锋剑
02-15 495
开启核心交换IP 欺骗***防范功能、Land ***防范功能、Smurf ***防范功能、YN Flood ***防范功能、ICMP Flood ***防范功能、Ping of Death ***防范功能、TearDrop ***防范功能,由于配置交换机安全配置,会占用大量设备资源,请综合考虑是否进行配置; 一.配置Land ***防范功能 land ***是一种使用相同的源和目的主机和...
firewall-cmd命令详解
u014398490的博客
07-17 1万+
近期新上一个项目,环境是Centos7,以前的iptables的经验没用了。把firewalld研究了下,粗略记录一下把。 常用命令: firewall-cmd --reload firewall-cmd --complete-reload 和上面的意思差不多,但是不会维持当前连接信息。比如,用ssh22登陆,如果不小心把ssh 22关掉了,用reload不会把当前的连接杀死。但是用 --c...
Centos7 Firewall 防火墙配置规则
自由的大月
03-13 1万+
简单的配置,参考学习: –permanent 当设定永久状态时 在命令开头或者结尾处加入此参数,否则重载或重启防火墙后设置失效! 开放端口: firewall-cmd –zone=public –add-port=80/tcp –permanent firewall-cmd –zone=public –add-port=22/tcp –permanent 常见端口 http:...
firewallD卸载Linux,firewalld添加/删除服务service,端口port
weixin_35843812的博客
05-09 445
启动CentOS/RHEL7后,防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。#firewall-cmd--list-all-zones#查看所有的zone信息#firewall-cmd--get-default-zone#查看默认zone是哪一个#firewall-cmd...
Firewalld 防火墙常用命令汇总
m0_63761361的博客
03-05 4891
目录 一、firewalld概述 二、firewalld与iptables的区别 三、firewalld区域的概念 四、firewalld防火墙预定义了9个区域 五、Firewalld数据处理流程 六、Firewalld防火墙的配置方法 1、运行时配置 2、永久配置 七、firewalld防火墙的配置方法 八、常用的 firewall-cmd 命令选项 (一)、常用命令 (二)、区域管理 (三)、服务管理 (四)、端口管理 一、firewalld概述 firewalld
firewalld添加端口
Helios32的博客
11-13 9148
CentOS7默认的防火墙firewalld 如果没有firewalld防火墙,可以执行yum install firewalld命令进行安装 2|0firewalld防火墙启用与关闭 启动systemctl start firewalld 关闭systemctl stop firewalld 查看状态systemctl status firewalld 查看状态firewall-cmd --state 开机启用systemctl enable firewalld 开机禁用systemctl ..
Linux Firewalld用法及案例
热门推荐
陈洋的博客
05-02 1万+
官方文档 RHEL FIREWALLD Firewalld概述 动态防火墙管理工具 定义区域与接口安全等级 运行时和永久配置项分离 两层结构 核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器 顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具 原理图 Fire...
linux service 添加通信端口号,firewalld添加/删除服务service,端口port
weixin_32773101的博客
05-02 279
firewall-cmd启动CentOS/RHEL7后,防火墙规则设置由firewalld服务进程默认管理。一个叫做firewall-cmd的命令行客户端支持和这个守护进程通信以永久修改防火墙规则。#firewall-cmd--list-all-zones#查看所有的zone信息#firewall-cmd--get-default-zone#查看默认zone是哪一个#...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值