Linux防火墙-Firewalld (持续更新)

最新推荐文章于 2025-12-02 15:03:49 发布
原创 最新推荐文章于 2025-12-02 15:03:49 发布 · 495 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

按表现形式划分:
软件防火墙: 集成在系统内部,Linux系统: iptablesfirewalldufw windows系统下:
windows defender
硬件防火墙: 华为防火墙、思科防火墙、奇安信防火墙、深信服防火墙等
按技术划分:
包过滤防火墙: 检查数据包的源IP、目的IP、源端口、目的端口、TCPsyn控制位
七层防火墙: 除了上述检查外,还会检查数据内容
防火墙的作用:
阻止来自网络外部的攻击、进行流量控制     
一、 Linux防火墙
防火墙结构
用户态:
iptables使用iptables命令对防火墙规则进行管理,必须深度理解网络技术和四表五链,对
于初学者或者网络技术不达标的人员不友好
firewalld使用firewall-cmd命令对防火墙进行管理,采用的是区域划分的形式。不需要连接
底层的四表五链,对于初学者比较友好
ufw 使用ufw命令对防火墙进行管理,命令简单易懂。
内核态:
四表: 从内核->用户的顺序: raw -> mangle -> nat -> filter
五链: inputoutputforwardpreroutingpostrouting
firewall-cmd命令用法
关键字:
--list-*
--get-*
--set-*
--add-*
--remove-*
--change-*
--zone=
查看命令案例:
#查看所有区域的详细信息        firewall-cmd --list-all-zones
#查看指定区域的详细信息         firewall-cmd --list-all --zone=public
#查看指定区域的放行服务         firewall-cmd --list-services --zone=public
#查看指定区域的放行端口         firewall-cmd --list-ports --zone=public
#查看指定区域包含的网络接口         firewall-cmd --list-interfaces --zone=public
#查看指定区域的放心协议         firewall-cmd --list-protocols --zone=public
#查看指定区域的ICMP阻塞类型 #         firewall-cmd --list-icmp-blocks --zone=public
#查看指定区域的放行源地址         firewall-cmd --list-sources --zone=public
#查看指定区域的源端口         firewall-cmd --list-source-ports --zone=public
#查看指定区域的富规则         firewall-cmd --list-rich-rules --zone=public
#查看指定区域的转发端口         firewall-cmd --list-forward-ports --zone=public
#查看firewalld支持的服务类型         firewall-cmd --get-services
添加:
#添加指定服务到指定区域         firewall-cmd --add-service=http --zone=public
success
#添加端口到指定区域         firewall-cmd --add-port=80/tcp --zone=public
success
#添加指定协议到指定区域         firewall-cmd --add-protocol=ah --zone=public
success
#添加ICMP阻塞类型到指定区域         firewall-cmd --add-icmp-block=echo-request --zone=public
success
#windows端验证
C:\Users\zzh>ping 192.168.115.129
正在 Ping 192.168.115.129 具有 32 字节的数据:
来自 192.168.115.129 的回复: 无法访问目标主机。
来自 192.168.115.129 的回复: 无法访问目标主机。
来自 192.168.115.129 的回复: 无法访问目标主机。
删除:
#删除指定服务到指定区域         firewall-cmd --remove-service=http --zone=public
success
#删除端口到指定区域         firewall-cmd --remove-port=80/tcp --zone=public
success
#删除指定协议到指定区域         firewall-cmd --remove-protocol=ah --zone=public
success
#删除ICMP阻塞类型到指定区域         firewall-cmd --remove-icmp-block=echo-request --
zone=public
success
#删除指定网络接口到指定区域         firewall-cmd --remove-interface=ens33 --zone=work
success
#删除指定区域的放行源地址         firewall-cmd --remove-source=192.168.1.0/24 --zone=work
success
#删除指定区域的放行源端口         firewall-cmd --remove-source-port=999/tcp --zone=work
success
#删除转发端口到指定区域         firewall-cmd --remove-forward
port=port=8080:proto=tcp:toport=80:toremover=192.168.115.115 --zone=work
success
#删除地址转换功能到指定区域           firewall-cmd --remove-masquerade --zone=work
success
#验证删除
firewall-cmd --list-all --zone=public
保存规则:
#逐行规则保存          firewall-cmd --remove-masquerade --zone=work --permanent
#一次性保存所有规则         firewall-cmd --runtime-to-permanent
success
#保存的规则存储路径         /etc/firewalld/zones
案例:
禁止外部主机ping本机
#本机IP:192.168.115.129 ens33 NAT
#外部IP:192.168.115.128
#防火墙配置
firewall-cmd --add-interface=ens33 --zone=work
success
firewall-cmd --add-icmp-block=echo-request --zone=work
success
#验证
ping -c 4 192.168.115.129
PING 192.168.115.129 (192.168.115.129) 56(84) bytes of data.
From 192.168.115.129 icmp_seq=1 Destination Host Prohibited
From 192.168.115.129 icmp_seq=2 Destination Host Prohibited
From 192.168.115.129 icmp_seq=3 Destination Host Prohibited
From 192.168.115.129 icmp_seq=4 Destination Host Prohibited
--- 192.168.115.129 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3001ms
允许外部主机访问本机的http服务
#本机IP:192.168.80.128 ens34 vmnet3
#外部IP:192.168.80.129
#######环境配置 开始#########
##本机安装httpd服务
#改变SElinux的规则
setenforce 0
yum install -y httpd
##启动httpd服务
systemctl start httpd
##修改httpd服务的监听IP
vim /etc/httpd/conf/httpd.conf
Listen 192.168.80.128:80
##重启httpd服务
systemctl restart httpd
##验证服务监听状态
netstat -naptu | grep :80
tcp 0 0 192.168.80.128:80 0.0.0.0:* LISTEN
5884/httpd
#######环境配置 结束#########
#防火墙配置
firewall-cmd --change-interface=ens34 --zone=dmz
success
##客户端验证访问##
curl 192.168.80.128
curl: (7) Failed connect to 192.168.80.128:80; 拒绝连接
##发现无法访问###
#服务端查看dmz区域信息
firewall-cmd --list-all --zone=dmz
dmz (active)
target: default
icmp-block-inversion: no
interfaces: ens34
sources:
services: ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
#发现没有放心http服务
#配置dmz区域http服务放行策略
firewall-cmd --add-service=http --zone=dmz
success
dmz (active)
target: default
icmp-block-inversion: no
interfaces: ens34
sources:
services: http ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
允许外部主机访问本机的某个端口号
#前置环境如上
#防火墙配置
firewall-cmd --add-port=801/tcp --zone=dmz
success
#放行服务的本质实际上是放行了该服务的默认端口号!!!
#假如服务改变了监听端口号,只需放行对应的端口号即可!!!
#客户端验证
curl 192.168.80.128:801
防火墙---firewalld
鸡汤的博客
05-01 2426
Firewalld概述 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4、IPv6防火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式: 运行时配置 永久配置 firewalld和iptables的关系 1. netfilter 位于linux内核中的包过滤系统功能体系 称为Linux防火墙的“内核态” 2. firewalld/iptables Centos7默认的管理防火墙规则的工具(firewallld) 称为Linux防火墙的“用
2024年运维最全(二)Linux 防火墙----网络防火墙,NET,firewalld(1),2024年最新我把所有Linux运维第三方库整理成了PDF
m0_55030688的博客
05-04 1127
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux防火墙--Firewalld防火墙基础
aran2002的博客
05-23 5390
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),
linux防火墙firewalld
qq_52825616的博客
04-26 2715
目录 一、firewalld的理论 1、firewalld的概述 2、iptables和firewall的区别 3、firewalld的区域 4、九个区域的作用 5、firewall数据的处理流程 二、配置firewalld防火墙 1、运行配置和永久配置 2、配置方法 3、案例演示 4、配置管理 一、firewalld的理论 1、firewalld的概述 firewalld防火墙是centos7默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤
Linux防火墙------Firewalld(基础概述)
下雨天的放羊娃的博客
05-26 294
目录一.Firewalld概述二.Firewalld和iptables的区别三.Firewalld网络区域1.Firewalld区域的概念2.firewalld防火墙预定义的9个区域3.firewalld数据处理流程4.firewalld检查数据包的源地址的规则四.firewalld防火墙的配置方法1.运行时配置与永久配置2.firewalld防火墙的配置方法3.常用的firewalld-cmd命令选项3.管理3.1区域管理:3.2服务管理3.3端口管理 一.Firewalld概述 ①firewalld
Linux安全】Firewalld防火墙
F12138X的博客
05-23 1792
欲穷千里目,更上一层楼
2024年最全(二)Linux 防火墙----网络防火墙,NET,firewalld(1)
2401_83974607的博客
05-01 984
remove-port=[–zone=] 从区域中删除指定端口和协议,禁止该端口的流量,如果无–zone= 选项,使用默认区域。–list-all [–zone=] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无–zone= 选项,使用默认区域。–remove-service= [–zone=] 从区域中删除指定服务,禁止该服务流量,如果无–zone= 选项,使用默认区域。firewall-cmd --query-masquerade 检查是否允许伪装。
防火墙--Firewalld
weixin_48118868的博客
11-23 253
文章目录1.Firewalld 1.Firewalld ·支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 ·支持IPv4、IPv6防火墙设置以及以太网桥 ·支持服务或应用程序直接添加防火墙规则接口 ·拥有两种配置模式:运行时配置、永久配置 ...
Linux--Firewalld 防火墙基础
优快云著名博主
08-04 376
文章目录前言一、Firewalld 概述1.1、Firewalld二、Firewalld 和iptables 的关系2.1、netfilter2.2、Firewalld、iptables2.3、Firewalld 和iptables 的区别三、Firewalld 网络区域3.1、区域介绍3.2、Firewalld 数据处理流程四、Firewalld 防火墙的配置方法五、Firewall-config图形工具 前言 Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤
Linux系统防火墙firewalld
云计算运维工程师的成长之路
09-17 1525
防火墙是,取代了之前的iptables防火墙,也是工作在,属于。firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都(属于内核态)来交现包过滤防火墙功能。firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。和。
2024年Linux最新(二)Linux 防火墙----网络防火墙,NET,firewalld,2024年最新2024年大厂Linux运维岗面试必问
2401_83620959的博客
05-04 760
remove-port=[–zone=] 从区域中删除指定端口和协议,禁止该端口的流量,如果无–zone= 选项,使用默认区域。–list-all [–zone=] 列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无–zone= 选项,使用默认区域。–remove-service= [–zone=] 从区域中删除指定服务,禁止该服务流量,如果无–zone= 选项,使用默认区域。,变成公网ip,也就是最后局域网的地址就会映射为公网ip(代替了内网的私有网络)
Linux--firewalld防火墙基础(firewalld和iptables关系,四表五链,netfilter与iptables关系,iptables语法与参数,firewalld网络区域)
CN_ChenJian
08-03 1190
文章目录前言一、Firewalld,iptables概述1.1、Firewalld二、Firewalld和iptables的关系2.1:netfilter2.2:Firewalld/iptables2.3:netfilter和Firewalld,iptables关系2.4:Firewalld和iptables的区别2:5:CentOS 6 和CentOS 7 防火墙的区别 前言 防火墙是现代网络安全防护技术中的重要构成内容,可以有效地防护外部的侵扰与影响。随着网络技术手段 防火墙技术 防火墙技术的完善,防火
Linux防火墙-----iptables与firewalld
qq_42761527的博客
12-09 767
一.netfilter、iptables、firewalld的概念 netfilter netfilter位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”。 netfilter的主要工作模块位于内核,在网络层的五个位置(prerouting,posrouting,input,output,forware)注册了一些函数,用来抓取函数包 把数据包的信息拿出来匹配各个链位...
linux上redis升级
2509_94083833的博客
11-29 867
redis-cli -h 192.168.111.100 -p 6379 -a 123123 -n 数据库序号(0-15)#如果是4.* 的就要升级,因为redis6.2 以上需要gcc 9.*的版本,不然make 编译redis时会报错。这里你可以先下载到本地,在通过ftp 的方式上传到服务器,也可以直接 wget 下载。在启动新版的redis 时,可以将数据文件放到启动目录下。-n:指定数据库序号,默认是序号0,redis有16个库(0-15)-a:指定密码,未设置数据库密码可以省略-a选项。
Linux(CentOS)安装 MySQL
2509_94088022的博客
11-29 758
CentOS版本:CentOS 7三种安装方式:一、通过 yum 安装,最简单,一键安装,全程无忧。二、通过 rpm 包安装,需具备基础概念及常规操作。三、通过 gz 包安装,需具备配置相关操作。
Linux】冯诺依曼体系结构和操作系统概述
Miun123的博客
11-29 1775
冯诺依曼体系结构是现代计算机的基础设计,由运算器、控制器、存储器、输入设备和输出设备五大部件组成,通过总线连接。操作系统采用先描述,再组织的方式进行软硬件管理,通过系统调用和库函数为用户提供安全便捷的接口。
linux(Centos)中Mysql的端口修改保姆级教程
2509_94088939的博客
11-29 487
* 这篇文章已经尽可能的详细,希望可以帮助到大家,如果有什么不懂的地方,欢迎在评论区留言,我会及时回复大家**
Linux性能调优详解FIO性能测试的几个常用场景
运维老生常谈
11-29 675
fio是测试存储系统非常重要的工具,能够快速检测出磁盘的IOPS、吞吐能力,以及时间延迟。该工具能够发起指定类型的IO操作,例如顺序读写、随机读写。同时还可以发起多线性,模拟高负载场景。针对常用的IOPS、吞吐量、时延,如何有效利用fio工具,下面进行详细的讲解。
Linux 中替换某个目录下所有文件中的特定字符串
最新发布
liweiweili126的博客
12-02 410
Linux 中替换某个目录下所有文件中的特定字符串,核心是用 findsed组合,支持灵活扩展(如备份原文件、过滤文件类型、排除目录等)。
Linux开启了firewalld,服务注册不了eureka了
08-15
Linux系统中开启firewalld防火墙时,它可能会阻止服务与Eureka服务器(如Spring Cloud Eureka)的通信,导致服务无法注册。这通常是因为firewalld默认拦截了Eureka通信所需的端口(默认端口为8761)。以下是逐步...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值