Linux学习笔记 --Firewalld

最新推荐文章于 2024-12-05 15:37:34 发布

置顶 HnSoi

最新推荐文章于 2024-12-05 15:37:34 发布

阅读量555

点赞数

CC 4.0 BY-SA版权

文章标签： linux 虚拟机火墙

本文链接：https://blog.youkuaiyun.com/HnSoi/article/details/72861796

本文详细介绍了如何在Linux系统中使用Firewalld进行防火墙配置，包括启动与停止、查看状态、设置默认区域、添加与删除服务及端口等操作。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

#Firewalld#

[root@localhost ~]# systemctl stop iptables

[root@localhost ~]# systemctl mask iptables.service ##禁用iptables

[root@localhost ~]# systemctl start firewalld

[root@localhost ~]# systemctl enable firewalld

[root@localhost ~]# firewall-cmd --state ##查看firewalld状态

[root@localhost ~]# firewall-cmd --get-active-zones ##查看当前活动的区域，并附带一个目前分配给它们的接口列表

[root@localhost ~]# firewall-cmd --get-default-zone ##查看默认区域

[root@localhost ~]# firewall-cmd --get-zones ##查看所有可用区域

[root@localhost ~]# firewall-cmd --zone=public --list-all ##列出指定域的所有设置

[root@localhost ~]# firewall-cmd --get-services ##列出所有预设服务

浏览器访问：172.25.254.129

[root@localhost ~]# firewall-cmd --list-all-zones ##列出所有区域的设置

[root@localhost ~]# firewall-cmd --set-default-zone=trusted ##设置默认区域

[root@localhost ~]# firewall-cmd --reload ##重载防火墙

浏览器访问：172.25.254.129

[root@localhost ~]# firewall-cmd --permanent --zone=trusted --add-source=172.25.254.129 ##设置网络地址到指定的区域(--permanent参数表示永久生效设置,如果没有指定--zone参数,那么会加入默认区域)

浏览器访问：172.25.254.129

[root@localhost ~]# firewall-cmd --permanent --zone=trusted --remove-source=172.25.254.129 ##删除指定区域中的网路地址

[root@localhost ~]# firewall-cmd --permanent --remove-interface=eth0 --zone=public ##删除网络接口

[root@localhost ~]# firewall-cmd --permanent --add-interface=eth0 --zone=trusted ##添加网络接口

浏览器访问：172.25.254.129

浏览器访问：172.25.29.10

[root@localhost ~]# firewall-cmd --permanent --add-service=http ##添加服务

浏览器访问：172.25.254.129

[root@localhost ~]# firewall-cmd --permanent --remove-service=http ##删除服务

浏览器访问：172.25.254.129

[root@localhost ~]# firewall-cmd --zone=public --list-ports ##列出端口

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-port=22/tcp ##添加端口

[root@localhost ~]# firewall-cmd --permanent --zone=public --remove--port=22/tcp ##删除端口

#1.Direct Rules#

[root@localhost ~]# firewall-cmd --permanent --remove-service=ssh

[root@localhost ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.29 -p tcp --dport 22 -j ACCEPT ##添加『除了29以外的主机可以访问22端口』规则

[root@localhost ~]# firewall-cmd --complete-reload ##可以中断已经建立的连接

[root@localhost ~]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 0 ! -s 172.25.254.29 -p tcp --dport 22 -j ACCEPT ##删除规则

[root@localhost ~]# firewall-cmd --direct --get-all-rules ##列出规则

#2.Rich Rules#

firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept' ##允许172.25.0.10主机所有连接。

firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept' ##每分钟允许2个新连接访问ftp服务。

firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept' ##同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。

firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24" service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept' ##允许来自172.25.0.0/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop' ##丢弃所有icmp包

firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' --timeout=10 ##当使用source和destination指定地址时,必须有family参数指定ipv4或ipv6。如果指定超时,规则将在指定的秒数内被激活,并在之后被自动移除。

firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300 ##拒绝所有来自2001:db8::/64子网的主机访问dns服务,并且每小时只审核记录1次日志。

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 service name=ftp accept' ##允许172.25.0.0/24网段中的主机访问ftp服务

firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"' ##转发来自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012

#3.伪装和端口转发#

##端口转发

[root@localhost ~]# firewall-cmd --permanent --add-masquerade