linux系统维护篇:firewall-cmd中放开、禁止、转发命令保姆级手把手教你用附带一个策略管理工具脚本让你丝般顺滑的放心操作

已于 2022-07-13 11:00:56 修改
阅读量7.7k 收藏 19
点赞数 1
分类专栏: linux相关 centos7 文章标签: linux 网络 运维
于 2021-11-02 11:32:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MarshalEagle/article/details/121093183
版权

预警:所有永久策略更改后,请执行重载命令使其生效,如下:

firewall-cmd --reload

设置public的策略后,配置文件路径:/etc/firewalld/zones/public.xml  注意做好备份

1、查询端口放开策略

1.查询指定端口是否放开 

[root@localhost /home]# firewall-cmd --query-port=9191/tcp

2.列出所有放开的端口

[root@localhost /home]# firewall-cmd --list-port

3.列出所有放开的服务

[root@localhost /home]# firewall-cmd --list-service

4.查看所有策略

#列出所有策略
[root@localhost /home]# firewall-cmd --list-all
#列出区域是公共的所有策略
[root@localhost /home]# firewall-cmd --list-all --zone public

2、添加端口放开策略

2.1、所有来源均可访问

1.开放指定端口

例:所有来源均可访问9191端口的tcp包

[root@localhost /home]# firewall-cmd --zone=public --add-port=9191/tcp --permanent
[root@localhost /home]# firewall-cmd --reload

2.删除开放的端口

[root@localhost /home]# firewall-cmd --zone=public --remove-port=9191/tcp --permanent
[root@localhost /home]# firewall-cmd --reload

3.开放指定服务

例:所有来源均可访问sshd服务的tcp包

[root@localhost /home]# firewall-cmd --zone=public --add-service=ssh/tcp --permanent
[root@localhost /home]# firewall-cmd --reload

3.删除开放的服务

[root@localhost /home]# firewall-cmd --zone=public --remove-service=ssh --permanent
[root@localhost /home]# firewall-cmd --reload

2.2、指定来源可访问

1.指定来源ip放开端口

例:允许110.23.123.12来源访问9191端口的tcp包

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="110.23.123.12" port protocol="tcp" port="9191" accept"

2.指定来源ip段,放开端口

例:允许172.16.1.0/24 子网主机访问9191端口的tcp包

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port protocol=tcp port=9191 accept' 

3.指定来源ip段,放开端口范围

例:允许172.16.1.0/24 子网主机访问30001到30030之间的端口上的所有tcp包

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port protocol=tcp port=30001-30030 accept'

4.指定来源ip,放开所有端口

例:允许172.16.4.124访问所有端口

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="172.16.4.124" accept"

5.指定来源ip段,放开所有端口

例:允许172.16.1.0/24 子网主机访问所有端口

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 accept'

3、添加服务放开策略

1.允许指定ip访问指定服务

例:允许192.166.1.33来源ip访问ssh服务

[root@localhost /home]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.1.33" service name="ssh" accept"

 2.允许指定ip段访问指定服务

例:允许192.166.2.0/24 ip段来源访问ssh服务

[root@localhost /home]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.166.2.0/24" service name="ssh" accept"

4、添加端口禁止策略

 1.指定来源ip禁止访问端口

例:禁止192.168.3.12访问9191端口的tcp包

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.3.12" port protocol="tcp" port="9191" reject"

2.指定来源ip段,禁止访问端口

例:禁止172.16.1.0/24 子网主机访问9191的端口的tcp包

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port protocol=tcp port=9191 reject'

3.指定来源ip段,禁止访问端口范围

例:禁止172.16.1.0/24 子网主机访问30001到30030之间的端口上的所有tcp包

[root@localhost /home]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.16.1.0/24 port protocol=tcp port=30001-30030 reject'

5、删除端口策略

5.1、关闭已开放的端口

[root@localhost /home]# firewall-cmd --zone=public --remove-port=9191/tcp --permanent

5.2、删除指定来源ip放开的端口


例:删除“允许110.23.123.12来源访问9191端口”策略

[root@localhost /home]# firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="110.23.123.12" port protocol="tcp" port="9191" accept"

5.3、删除指定来源ip段,放开的端口范围


例:删除“允许172.16.1.0/24 子网主机访问30001到30030之间的端口上的所有tcp包“策略

[root@localhost /home]# firewall-cmd --permanent --removerich-rule='rule family=ipv4 source address=172.16.1.0/24 port protocol=tcp port=30001-30030 accept'

综上,删除规则就是在将添加的规则(--add-rich-rule的参数 xxxx),参数--removerich-rule的参数来执行:firewall-cmd --permanent --removerich-rule='xxxx'

6、关闭开启firewall服务

#查看状态
[root@localhost /home]# systemctl status firewalld
#停止firewall
[root@localhost /home]# systemctl stop firewalld.service
#启动firewall
[root@localhost /home]# systemctl start firewalld
#禁止firewall开机启动
[root@localhost /home]# systemctl disable firewalld.service

7、简要参数字段解释

字段名解释备注
--zone作用域例:--zone=public
--add-port添加端口,格式:端口号/协议例:-–add-port=80/tcp
--permanent永久生效,重启后也不失效
--reload超载配置文件,永久生效
--add-source

添加访问来源ip地址、ip地址段,在当前zone内

例:--add-source=172.1.12.13

--add-source=172.1.12.13/24

--remove-source

删除访问来源ip地址、地址段 ,在当前zone内

--add-service添加服务添加允许访问服务的策略
--remove-service删除服务,删除允许访问服务的策略
--list-services显示当前zone内允许访问的所有服务
--add-protocol添加在当前zone内允许通过的协议
--remove-protocol删除在当前zone内允许通过的协议
--list-protocol列出当前zone内允许通过的协议
--add-rich-rule添加富规则(使用富规则语言)例如:--add-rich-rule="rule family="ipv4" source address="110.23.123.12" port protocol="tcp" port="9191" accept"
--remove-rich-rule删除富规则例如:--remove-rich-rule="rule family="ipv4" source address="110.23.123.12" port protocol="tcp" port="9191" accept"
--list-rich-rule列出所有富规则
--timeout用于调试,设置在一定秒数后规则失效,防止错误规则导致网络断开而不能使用例,5分钟后本条策略失效:--timeout=300

8、富规则语法

格式:

rule [source] [destination] [service|port|protocol|icmp-block|masquerade|forward-port] [log] [audit] [accept|rejec|drop]

字段值:

rule [family="ipv4|ipv6"]

source address="address[/mask]" [invert="True"]

destination address="address[/mask]" invert="True"

service name="service name"

port port="port value" protocol="tcp|udp"

protocol value="protocol value"

forward-port port="port value" protocol="tcp|udp" to-port="port value

" to-addr="address"

log [prefix="prefix text"] [level="log level"] [limit value="rate/duration"]

accept | reject [type="reject type"] | drop

9、端口转发

1.将访问到本机端口的链接转发的本机或其他机器指定端口

格式 :firewall-cmd --permanent --zone=<ZONE> --add-forward-port=port=<PORTNUMBER>:proto=<PROTOCOL>[:toport=<PORTNUMBER>][:toaddr=<IPADDR>]

toport和toaddr至少选一个,可以两个都选

例:来自public的访问本机9090端口的连接会转发到192.168.2.15主机的9191端口

[root@localhost /home]# frewall-cmd --permanent --zone=public --add-forward­port=port=9090:proto=tcp:toport=9191:toaddr=192.168.2.15

2.结合富规则设置端口转发

格式:forward-port port=<PORTNUM> protocol=tcp|udp [to-port=<PORTNUM>] [to-addr=<ADDRESS>]

例:来自public的l72.16.1.0/24端ip的来源连接访问本机9090端口,转发到本机9191端口

[root@localhost /home]# firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=l72.16.1.0/24 forward-port port=9090 protocol=tcp to-port=9191'

综上,上述转发实际上实现的是外网访问内网的映射:

firewall-cmd --zone=external --add-masquerade

frewall-cmd --permanent --zone=public --add-forward­port=port=9090:proto=tcp:toport=9191:toaddr=192.168.2.15

10、自定义区域和服务


10.1 自定义的区域

参照/lib/firewalld/zones/public.xml文件,在/lib/firewalld/zones/下面新建你需要的区域名以.xml结尾,内容格式参照public.xml,trusted.xml等文件即可。

Internal.xml

<?xml version="1.0" encoding="utf-8"?>

<zone>

  <short>Internal</short>

  <description>For use on internal networks. You mostly trust the other computers on the networks

to not harm your computer. Only selected incoming connections are accepted.</description>

  <service name="ssh"/>

  <service name="mdns"/>

  <service name="samba-client"/>

  <service name="dhcpv6-client"/>

</zone>

 
10.2 自定义服务

自定义服务可以让防火墙配置更为简便,能够直接使用服务名来进行策略配置

参照/usr/lib/firewalld/services/ssh.xml,在/usr/lib/firewalld/services/下面新建你需要的服务名以.xml结尾,内容格式参照ssh.xml,samba.xml文件中的内容即可。

samba.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

  <short>Samba</short>

  <description>This option allows you to access and participate in Windows file and printer sharin

g networks. You need the samba package installed for this option to be useful.</description>

  <port protocol="udp" port="137"/>

  <port protocol="udp" port="138"/>

  <port protocol="tcp" port="139"/>

  <port protocol="tcp" port="445"/>

  <module name="nf_conntrack_netbios_ns"/>

</service>

补充说明:firewall的规则配置文件是 /usr/lib/firewalld/ 和 /etc/firewalld/ 路径中的各种xml文件中。 

11、工具脚本

这里编写了一个简单的策略管理工具脚本,可实现简单的端口放开或禁止需求

generateFirewallRules_v1.2.sh-Linux文档类资源-优快云下载

 11.1、对指定ip放开所有端口

./generateFirewallRules.sh openRemoveAllPortsByIps add 192.168.1.22

#删除上述规则

./generateFirewallRules.sh openRemoveAllPortsByIps remove 192.168.1.22

11.2、对指定ip段放开所有端口

./generateFirewallRules.sh openRemoveAllPortsByIps add 192.168.1.22/24

#删除上述规则

./generateFirewallRules.sh openRemoveAllPortsByIps remove 192.168.1.22/24

11.3、对指定ip放开指定端口

./generateFirewallRules.sh openRemovePortsByIps add 9191 192.168.55.33

#删除上述规则

./generateFirewallRules.sh openRemovePortsByIps remove 9191 192.168.55.33

11.4、对指定ip段放开指定端口范围

./generateFirewallRules.sh openRemovePortsByIps add 9191-9199 192.168.55.0/24

#删除上述规则

./generateFirewallRules.sh openRemovePortsByIps add 9191-9199 192.168.55.0/24

11.5、对指定ip段放开指定端口范围

./generateFirewallRules.sh openRemovePortsByIps add 9191-9199 192.168.55.0/24

#删除上述规则

./generateFirewallRules.sh openRemovePortsByIps add 9191-9199 192.168.55.0/24

脚本工具代码:./generateFirewallRules.sh

#!/bin/bash

#对特定ip或ip段来源进行放开或限制特定端口或端口范围
#opt:	add(添加放开端口策略)  remove(删除已添加的放开策略)
#ports:	格式:单个端口或端口范围,例如:9191、1000-1010
#ips:	格式:单个ip或ip加掩码的ip段,例如:10.0.0.0 、10.0.0.0/24 
openRemovePortsByIps(){
	opt=$1
	ports=$2
	ips=$3

	cmd=""
	if [[ $opt == 'add' ]]
	then
		cmd="firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=$ips port protocol=tcp port=$ports accept'"
		echo "即将放开的端口:$ports  允许的来源ip:$ip"
		echo "即将执行命令:$cmd"	
	elif [[ $opt == 'remove' ]]
	then
		cmd="firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=$ips port protocol=tcp port=$ports accept'"
		echo "即将删除放开的端口策略:$ports  允许的来源ip:$ip"
		echo "即将执行命令:$cmd"
		
	else
		echo "添加?删除?未指定!!"
	fi
	
	
	#二次确认是否执行
	read -p "请确认是否执行,y/n:" res
	if [ $res == 'y' ];then
		echo "您选择继续执行该命令:"
		#这里执行变量保存的命令
		echo ${cmd} |awk '{run=$0;system(run)}'
	elif [ $res == 'n' ];then
		echo "您选择不执行:"
	fi
	
	firewall-cmd --reload
	firewall-cmd --list-all
	

}

#对特定ip或ip段来源进行放开或限制所有端口
#opt:	add(添加放开端口策略)  remove(删除已添加的放开策略)
#ips:	格式:单个ip或ip加掩码的ip段,例如:10.0.0.0 、10.0.0.0/24 
openRemoveAllPortsByIps(){
	opt=$1
	ips=$2

	cmd=""
	if [[ $opt == 'add' ]]
	then
		cmd="firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=$ips accept'"
		echo "即将放开的端口:$ports  允许的来源ip:$ip"
		echo "即将执行命令:$cmd"	
	elif [[ $opt == 'remove' ]]
	then
		cmd="firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=$ips accept'"
		echo "即将删除放开所有端口的策略:允许的来源ip:$ip"
		echo "即将执行命令:$cmd"
		
	else
		echo "添加?删除?未指定!!"
	fi
	
	
	#二次确认是否执行
	read -p "请确认是否执行,y/n:" res
	if [ $res == 'y' ];then
		echo "您选择继续执行该命令:"
		#这里执行变量保存的命令
		echo ${cmd} |awk '{run=$0;system(run)}'
	elif [ $res == 'n' ];then
		echo "您选择不执行:"
	fi
	
	firewall-cmd --reload
	firewall-cmd --list-all
	
}


#列出当前所有策略配置
list(){
	firewall-cmd --list-all
}

case $1 in

	openRemovePortsByIps)
		openRemovePortsByIps $2 $3 $4
	;;	
	openRemoveAllPortsByIps)
		openRemoveAllPortsByIps $2 $3
	;;
	list)
		list
	;;
	
	*)
	
	echo "Usage:openRemoveAllPortsByIps opt(add|remove) ips(10.0.0.0|10.0.0.0/24)|openRemovePortsByIps opt(add|remove) ports(9191|1000-1010) ips(10.0.0.0|10.0.0.0/24)"
	;;
	
esac

firewalld批量配置富规则——脚本案例
weixin_53389944的博客
04-01 232
优先更低(priority默认优先为0,数值越大优先越小)。trusted为保底策略优先最低一个具有注脚的文本。默认情况下firewalld富规则。白名单的优先高,所以我使用了。
Linux 服务器 Firewalld 防火墙配置端口转发
想练武,就得下功夫
05-30 5526
Linux 服务器 Firewalld 防火墙配置端口转发
Linux禁ping 禁止向目的地址发送数据
不许人间丶见白头
07-20 202
net.ipv4.icmp_echo_ignore_all =1 #0是非禁pingsysctl -p。
firewall-cmd -nat转发实例.txt
08-08
firewall-cmd -nat转发实例
Firewalld-端口转发-删除-配置
KnYoboy的博客
06-04 8358
目录基本介绍服务配置规则配置端口规则端口转发可能的错误 基本介绍 Centos7之后,弃用Iptables,不过firewall也更加舒服。 推荐使用~ 服务配置 启动服务:systemctl start firewalld 关闭服务:systemctl stop firewalld 重启服务:systemctl restart firewalld 查看服务状态:systemctl status firewalld 开机自启服务:systemctl enable firewalld 开机禁用服务:syste
centos7 firewall-cmd主机之间端口转发
友人A的博客
04-26 3687
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放http服务就是开放了80端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定ip的话就默认为本机,如果指定了ip却没指定端口,则默认使用来源端口。防火墙可以实现伪装IP的功能,下面的端口转发就会用到这个功能。yum安装nginx。
Linux使用firewall-cmd命令设置端口转发(CentOS 7)
热门推荐
Jack_LEGION的专栏
04-11 1万+
端口转发的概念: 它是指当访问指定的ip+端口时,可以将流量转发至指定其他指定的ip+端口。 转发的目的ip和端口,可以是本机或其他主机。当转发时不指定ip时,则默认为转发目的ip为本机ip。当转发时指定了ip,却没有指定端口,则默认使用来源端口。 端口转发的作用: 1、当需要把某个端口隐藏起来时,就可以在防火墙上阻止那个端口访问,然后,再开一个其他的端口,之后,配置防火墙的端口转发,将流量转发到其他端口。 2、端口转发可以做流量分发,当一个防火墙管理多台运行着不同服务的服务器时,可以使用防火墙将不
firewall-cmd添加端口转发的方式】
qq_36291768的博客
03-02 1387
centos使用firewall-cmd添加端口转发
firewall-cmd 的简单使用 进行端口转发的使用
weixin_30265103的博客
08-04 497
今天本来想用 ssh 做端口转发 但是命令死活想不起来了.. 没办法改用firewall-cmd 来进行处理 方法: 1. 首先不能关防火墙 systemctl enable firewalld systemctl restart firewalld 2. 永久开放端口访问 firewall-cmd --permanent --add-port=80/tcp ...
firewalld实现NAT端口转发
最新发布
beck_li的博客
09-19 1024
指定地址访问指定的端口。
半吊子学firewall设置端口转发(简单规则)
m0_73271405的博客
03-06 772
以上,就是半吊子学的Linux,如有错误及补充请不吝赐教。
CentOS 7下用firewall-cmd控制端口与端口转发详解
09-15
主要给大家介绍了在CentOS 7下用firewall-cmd控制端口与端口转发的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下来来一起看看吧。
Firewalld脚本
weixin_50344807的博客
11-18 660
文章目录Firewalld概述Firewalld和iptables的关系Firewalld网络区域Firewalld数据处理流程Firewalld防火墙的配置方法Firewall-config图像工具Firewalld防火墙预定义区域、firewall-cmd字符管理工具firewalld的基本使用服务设置服务管理为网卡设置区域设置默认区域查看活动区域及端口 Firewalld概述 ●支持网络区域所定义的网络链接以及接口安全等的动态防火墙管理工具。 ●支持IPv4、IPv6防火墙设置以及以太网桥。 ●支持
firewall-cmd防火墙策略
weixin_53389944的博客
05-29 1078
开机自启firewalld:systemctl enable firewalld。启动firewalld: systemctl start firewalld。关闭 firewalld: systemctl stop firewalld。不执行 firewall-cmd --reload 命令配置不生效。重载firewalld:firewall-cmd -reload。查看防火墙策略:firewall-cmd --list-all。--permanent 永久生效,重启后规则不消失。针对某个IP开放端口。
firewall端口转发
jinyidong的博客
02-14 610
1、开启NAT转发 # 检查是否允许 NAT 转发 firewall-cmd --query-masquerade # 开启 NAT 转发 firewall-cmd --permanent --zone=public --add-masquerade # 禁止防火墙 NAT 转发 firewall-cmd --remove-masquerade 2、端口转发 #添加 firewall...
firewall 端口转发
ailx10
07-16 2707
centos7 不再使用iptables了,改使用高大上的firewallfirewall 命令主要在centos系列上使用,不过同样支持ubuntu 系列,这里我使用kali rolling系统来演示firewall 端口转发,比iptables简单多了,用完之后就喜欢了。步骤一:启动防火墙systemctl start firewalld # 关闭防火墙:systemctl stop fi...
firewall 端口转发
weixin_33893473的博客
01-25 811
centos 7 使用背景:某次新购阿里云服务器安装nginx后配置80转8080的内部转发 systemctl status firewalld ---查看守护进程状态systemctl start firewalld ---启动systemctl stop firewalld ---关闭systemctl enable firewalld ---开机自启systemctl di...
firewalld端口转发
风雨同路的博客
08-19 2580
5.firewalld端口转发 开启防火墙伪装:firewall-cmd --add-masquerade --permanent //开启后才能转发端口 添加转发规则:firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1 --permanent (PS:此规则将本机80端口转发到192.168.1.1的8080端口上,配置完–reload才生效) 如果配置完以上规则后仍不生效,检查防火墙是否开
sudo: firewall-cmd: command not found
04-20
"sudo: firewall-cmd: command not found" 这个错误提示意味着在你的系统上找不到 firewall-cmd 命令firewall-cmd 是用于管理防火墙规则的命令,通常在使用基于Firewalld的Linux发行版时会出现。 可能的原因是: 1. Firewalld未安装:请确保你的系统上已经安装了Firewalld。你可以通过运行命令 `sudo yum install firewalld`(适用于CentOS/RHEL)或 `sudo apt-get install firewalld`(适用于Ubuntu/Debian)来安装它。 2. Firewalld未启动:如果Firewalld已安装但未启动,可以使用 `sudo systemctl start firewalld` 命令来启动它。 3. 系统不支持Firewalld:某些Linux发行版可能使用其他防火墙管理工具,如iptables。在这种情况下,你需要使用相应的命令来管理防火墙规则。 请注意,以上解决方案是基于常见情况,具体解决方法可能因你的操作系统版本和配置而有所不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值