firewalld高级应用-2

最新推荐文章于 2025-03-28 18:57:57 发布
原创 最新推荐文章于 2025-03-28 18:57:57 发布 · 437 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #服务器 #运维

1. Firewall直接规则

Firewall提供了“direct interface(直接接口)”,它允许管理员手动编写的iptables、ip6tables、ebtables规则直接插入到firewall的管理区域中,适用于应用程序,而不是应用程序;直接端口使用firewall-cmd命令中的 --direct选项实现

1)例:卡其黑名单,添加一些规则将某个IP范围列入黑名单

firewall-cmd --direct  --permanent  -add-chain ipv4 raw  blacklist

\# 使用firewall-cmd命令调用iptables规则参数,在raw表中创建规则链“blacklist”。 ipv4 指的是iptables


firewall-cmd --direct  --permanent --add-rule Ipv4 raw PREROUTING 0 -s 192.168.1.0/24 -j blacklist

\# 在路由之前检测到192.168.1.0/24网段的IP地址的数据包,加入到blocklist规则链中。


firewall-cmd  --direct  --permanent  --add-rule  ipv4  raw  blacklist  0  -m limit --limit 1/min -j LOG --log-prefix blacklisted

\# 每分钟生成以下日志文件


firewall-cmd --direct --permanent --add-rule  ipv4  raw  blacklist  1  -j  DROP

\# 将来自规则链“blacklist”中的数据包丢弃

2)firewall执行优先级

直接规则 > 富规则 > 区域规则

最低0.47元/天 解锁文章
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 7019
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
firewalld高级应用-1
RunzIyy的博客
02-27 645
1.直接规则 1)直接使用iptables或firewall语句将规则写入管理区域中。 ​ 2)执行优先级最高,优先规则:直接规则→富规则→区域规则 ​ 3)firewall语句与iptables语句互相通用 ​ 4)使用于服务或应用程序。 语句格式: ​ firewall-cmd --direct 例1:启用黑名单 firewall-cmd --direct --add-chain ...
2-8』Linux之防火墙策略优化
qq_39679699的博客
03-03 724
1.火墙介绍firewalld 1.火墙介绍 netfileter iptables iptables|firewalld 2.火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld -----> iptables dnf install iptables-services -y systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl enable --.
firewalld高级防火墙规则-Direct Rules
Vic的博客
07-12 5090
1.查看防火墙上设置的规则 2.添加高级规则 通过如下测试来理解高级规则: 1)开启httpd服务并且httpd服务不添加进火墙策略 2)添加规则:允许172.25.254.77通过80端口访问172.25.254.110的httpd服务 3) 添加这条规则之后,172.25.254.10可以访问110的http服务 而其他主机不可以访问110的http服务 1)添加规则:只允许172.25.254.77通过22端口访问主机位为110的ssh服务 2)添加上述规则之后, 只有172.25.
linux系统中部署防火墙服务
hiro
05-21 4760
防火墙:一.图形化配置防火墙:firewall-config使用命令配置防火墙1. systemctl start firewalld    打开防火墙2. firewall-cmd --state         查看防火墙状态3. firewall-cmd --get-active-zones  查看正在使用的域4. firewall-cmd --get-default-zone   查看默认...
firewalld命令-一般正式项目安装下面添加规则就行
lxy___的博客
07-13 667
1
firewall-cmd --list-all-zones 命令详解
weixin_53389944的博客
03-27 768
trusted(最信任)允许所有网络流量通过适合完全信任的网络环境home用于家庭网络允许选定的入站服务(如ssh、mdns、samba-client等)比internal更严格internal用于内部网络类似于home区域但信任度更高允许ssh、mdns、samba-client等work用于工作场所允许ssh、dhcpv6-client等比public更宽松但比internal更严格public(默认区域)用于公共区域只允许ssh和dhcpv6-client。
二章——firewalld防火墙(一)(应用——linux防护与群集)
MKC__jiaoq的博客
08-22 2136
三期总目录链接 目录 一、Linux防火墙基础 (一)firewalld概述 (二)firewalld防火墙的配置方法 1、firewall-config图形工具 2firewall-cmd命令 二、firewalld防火墙配置应用 复习题 一、Linux防火墙基础   1.防火墙是设置在不同网络与网络安全域之间的一系列部件的组合,也是信息的唯一出口   2.防火墙技术分为三类:包过滤(PacketFiltering)、应用代理(ApplicationProxy)、状态...
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 9411
查看防火墙策略。
firewalld防火墙基本配置
qq_57258570的博客
11-16 4328
firewalld防火墙基本配置 1、firewalld的结构 与iptables一样,分为内核态和用户态,firewalld代替了iptables,是iptables的功能增强版。 比iptables增强的功能: 1.增强了对IPv6的支持 2.增加了9个基本安全区域,使基本配置更简单。 3.向下兼容iptables的语法。 4.支持图形化界面配置 2firewalld数据处理流程 1.将数据包中的源IP地址,定义到指定的安全区域,先执行安全区域的规则。 2.如果源地址未...
快速云:系统防火墙认识之firewall使用实例
zyp18065271351的博客
06-15 850
分享IDC知识
Linux防火墙-firewalld的rich规则配置
binzhili88的博客
11-20 5212
Linux防火墙-firewalld的rich规则配置
linux的火墙策略优化
小五子
03-09 249
linux的火墙策略优化 实验环境 两台主机, 一个双网卡 ,一个单网卡 双网卡主机设定两个网段,192.168.43.222(和windows一个网段),172.25.254.100 单网卡主机 172.25.254.200 数据库管理原理 iptables用来管理netfilter这个包 iptables{firewalld iptables}两种控制方式。 企业七之前没有firewalld iptables更趋近于对表格的管理,会精确到表得到每一条连接 firewalld
firewall基本配置参考
c1h2cy的专栏
10-24 935
可尝试直接编辑规则文件,删掉原来的设置规则,重新载入一下防火墙即可。
firewall-cmd添加访问规则
qq_21047625的博客
03-28 1507
若要使用允许网段访问本地的 8088 端口,你可以按照以下步骤操作。
firewalld防火墙(二)
weixin_44360341的博客
01-09 750
IP地址伪装与端口转发: Firewalld支持两种类型的NAT:1,IP地址伪装和2,端口转发 1.地址伪装:过的数据包的源地址更改通过地址伪装NAT设备经过设备的包转发到指定接收方同时将通为其自己的接口地址。当返回的数据包达到时会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上,类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持IPv4,不支...
Centos 7的firewalld防火墙地址伪装和端口转发原理
:Struggle.
11-28 2020
博文目录: 一、firewalld高级配置 1、firewalld支持的NAT 2、IP地址伪装 3、端口转发 二、firewalld-cmd高级配置 1、firewalld中理解直接规则 2、使用富语言 3、富规则命令 4、富规则配置举例: 一、firewalld高级配置 1、firewalld支持的NAT firewalld支持两种类型的NAT: IP地址伪装; 端口...
三章——firewalld防火墙(二)(应用——linux防护与群集)
MKC__jiaoq的博客
08-26 1315
三期总目录链接
linux中netfilter火墙访问控制策略优化----firewalld
qq_60200126的博客
08-08 340
firewalld火墙优化策略1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld高级规则6.firewalld中的NAT ####### firewalld ####### dnf whatprovides */firewall-config 查找firewalld图形编辑器安装包 下载后,指令firewall-config 可以启动 1 firewalld的开启 systemctl st
firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled) Active: active (running) since 二 2025-04-15 10:25:14 CST; 2 days ago Docs: man:firewalld(1) Main PID: 315290 (firewalld) Tasks: 2 Memory: 26.4M CGroup: /system.slice/firewalld.service └─315290 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid 4月 15 10:25:14 localhost.localdomain systemd[1]: Starting firewalld - dynamic firewall daemon... 4月 15 10:25:14 localhost.localdomain systemd[1]: Started firewalld - dynamic firewall daemon. 4月 15 10:25:14 localhost.localdomain firewalld[315290]: WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a futur...ing it now. 4月 17 11:05:12 localhost.localdomain firewalld[315290]: WARNING: ALREADY_ENABLED: 9006:tcp 4月 17 11:05:21 localhost.localdomain firewalld[315290]: WARNING: ALREADY_ENABLED: 9007:tcp
最新发布
04-18
<think>好的,用户现在遇到了telnet连接被拒绝的问题,特别是端口9006和9007,尽管firewalld显示这两个端口已经开放。我需要结合之前的对话和用户提供的引用来分析可能的原因和解决方案。 首先,用户之前已经尝试过检查防火墙配置,开放端口,验证端口状态,以及常见问题排查。但问题依旧存在,所以需要更深入地排查。 根据引用[1],提到了放行telnet的默认端口23,但用户现在使用的是9006和9007,所以可能需要检查这两个端口是否在防火墙中正确开放。用户已经执行了firewall-cmd的命令,但日志显示已启用却无法连接,可能存在其他因素。 引用[2]提到了ERR_CONNECTION_REFUSED错误,可能涉及服务未启动或端口冲突。用户需要确认服务是否真的在监听9006和9007端口。比如,使用ss或netstat命令查看是否有进程在监听这些端口。如果服务未正确绑定,即使防火墙开放了端口,连接也会被拒绝。 引用[3]讨论了UDP和TCP的区别,但用户的问题是关于telnet,属于TCP连接,可能需要确认服务是否使用TCP协议。此外,UDP没有连接状态,但telnet使用TCP,所以需要确保服务配置正确。 接下来,可能的步骤包括: 1. 确认服务是否在本地运行并监听目标端口。使用ss -tuln | grep 9006等命令,如果没有输出,说明服务未启动或配置错误。 2. 检查SELinux是否阻止了端口访问。临时禁用SELinux测试,如果可行,需要调整策略。 3. 查看云服务器的安全组设置,确保入站规则允许9006和9007端口。 4. 检查是否有多个防火墙服务同时运行,比如firewalld和iptables冲突。 5. 检查应用程序的配置,确保绑定到0.0.0.0而不是127.0.0.1,以便接受外部连接。 6. 查看系统日志,如dmesg或journalctl,寻找被拒绝的连接记录。 7. 使用tcpdump抓包,分析连接请求是否到达服务器,以及是否有响应。 用户提到firewalld日志显示端口已启用,但无法连接,可能问题出在服务本身或网络配置的其他部分。需要一步步排除可能性,从服务状态到网络配置,再到安全策略,逐一验证。</think>以下是根据引用内容和问题特征整理的排查方案,采用分步诊断方式: ### 一、关键诊断流程 #### 1. 验证服务真实监听状态(核心步骤) ```bash ss -tulnp | grep -E '9006|9007' # 显示进程名和PID ``` *预期结果示例*: `tcp LISTEN 0 128 0.0.0.0:9006 0.0.0.0:* users:(("nginx",pid=1234,fd=6))` *异常情况处理*: - 无输出 → 服务未启动或配置错误[^3] - 显示`127.0.0.1:9006` → 需修改为`0.0.0.0:9006`接受外部连接 #### 2. 深度检查firewalld配置(引用[1]增强验证) ```bash # 查看运行时配置与永久配置差异 firewall-cmd --list-ports && firewall-cmd --permanent --list-ports # 检查9006/9007端口的zone分配 firewall-cmd --get-active-zones | grep -A10 'public' ``` #### 3. SELinux策略验证(易忽略项) ```bash # 查看端口标签 semanage port -l | grep -E '9006|9007' # 临时允许端口(示例为HTTP服务类型) semanage port -a -t http_port_t -p tcp 9006 ``` ### 二、高级排查方法 #### 1. 数据包追踪(需root权限) ```bash tcpdump -i any port 9006 -nn -vv ``` *操作说明*:另开终端执行`telnet 服务器IP 9006`,观察是否有SYN包到达 #### 2. 连接状态分析 ```bash conntrack -L -d 服务器IP --dport 9006 # 查看连接追踪记录 ``` #### 3. 内核日志检查 ```bash dmesg | grep -i 'DROP' # 查看内核级拦截记录 ``` ### 三、典型故障场景解决方案 #### 场景1:服务绑定到IPv6导致的问题 ```bash ss -tuln | grep 9006 # 若显示:::9006表示只监听IPv6 # 解决方案:修改服务配置绑定到0.0.0.0:9006 ``` #### 场景2:Docker容器网络隔离 ```bash # 检查容器端口映射 docker ps --format "table {{.Names}}\t{{.Ports}}" | grep 9006 # 需确保有映射参数:-p 9006:9006 ``` #### 场景3:端口冲突(引用[2]相关) ```bash # 查找占用进程 lsof -i :9006 || ss -tulnp | grep 9006 ``` ### 四、firewalld配置强化建议 ```bash # 创建专用服务定义(持久化配置) cat > /etc/firewalld/services/my-service.xml <<EOF <?xml version="1.0" encoding="utf-8"?> <service> <short>My Service</short> <description>Custom service for ports 9006-9007</description> <port protocol="tcp" port="9006"/> <port protocol="tcp" port="9007"/> </service> EOF # 应用服务配置 firewall-cmd --permanent --add-service=my-service firewall-cmd --reload ``` ### 五、最终诊断树 1. 本地`telnet 127.0.0.1 9006`失败 → 服务未运行/配置错误[^3] 2. 本地成功但外部失败 → 防火墙/SELinux/安全组问题 3. 数据包到达但无响应 → 应用层拒绝(如白名单限制) 4. 间歇性连接失败 → 检查conntrack表溢出`sysctl net.netfilter.nf_conntrack_max` --- ### 相关问题 1. 如何诊断Docker容器与宿主机之间的端口连通性问题? 2. 当`firewall-cmd --reload`后规则丢失应该如何处理? 3. 如何为特定IP段设置firewalld的端口访问白名单? [引用说明] [^1]: 基于firewalld服务管理的标准操作流程 [^2]: 网络连接拒绝错误的通用排查思路 [^3]: TCP端口监听状态的判断依据
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值