centos防火墙配置总结

最新推荐文章于 2025-05-08 15:34:36 发布
最新推荐文章于 2025-05-08 15:34:36 发布
阅读量1.8k 收藏 14
点赞数 20
CC 4.0 BY-SA版权
文章标签: centos linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/backtwo/article/details/143325131

v1.1 新增解决docker容器端口绕过firewall,centos7的防火墙不能控制docker容器端口的问题
v1.1 增加禁止ping操作

centos firewall 配置步骤建议

  1. 先加一些访问宽泛的无限制的访问策略,如IP白名单,端口白名单,22端口不限制访问等。避免配置防火墙策略过程中无法访问的问题
  2. 在txt中编写需要加载的所有策略,复制粘贴即可
  3. 重启加载防火墙服务,使(1)(2)策略生效
  4. 逐步移除(1)中增加的宽泛的和无用的策略(add换成remove即可),并重启加载防火墙服务
  5. 打印已生效规则,查看配置是否有误
  6. 如有docker,需要设置NAT映射,并开启docker地址访问权限。

各类命令如下


(1)常用查询命令:
// 重新加载防火墙服务

firewall-cmd --complete-reload


//查看已有默认规则集

firewall-cmd --list-all


//查看已开放的端口

firewall-cmd --list-ports


//当前运行策略写入配置文件(永久生效)
 

firewall-cmd --runtime-to-permanent
firewall-cmd --permanent --add-rich-rule 'rule family=ipv6 source address=fe80::ffff:ffff:ffff:ffff port port=xxxx protocol=tcp accept'
firewall-cmd --permanent --remove-service=dhcpv6-client

(2)常用4中策略配置方式(只针对访问进来的):
// IP+端口访问规则
(示例:允许192.168.1.1访问本机的22端口)
 

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.1.1 port port=80 protocol=tcp accept'


//端口白名单访问规则, 只在调试初期使用,使用完后删除。
(示例:对所有IP开放22端口)
 

firewall-cmd --zone=public --add-port=22/tcp --permanent


//IP白名单,建议针对多IP部署的业务使用,如果不想梳理端口,那就直接业务内部IP之间相互不限制端口访问
(示例:对192.168.1.1开放所有端口) 

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.1.1 accept'


//策略删除只需要将对应命令的add修改为remove即可

(3)docker访问配置:
--设置防火墙允许NAT转发。配置完成后masquerade应该显示为yes
 

firewall-cmd --zone=public --add-masquerade --permanent


--把docker0网卡添加到trusted域
 

firewall-cmd --permanent --zone=trusted --change-interface=docker0


--加载策略
 

firewall-cmd --reload


--重启容器
 

systemctl restart docker
service docker restart


--查看docker0是否成功添加到trust区
 

firewall-cmd --get-zone-of-interface=docker0


--最后需要增加docker对应IP地址访问本机白名单策略
 

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=172.18.0.6 accept'

(4)收尾工作:
仔细检查确认后,逐步删除之前配置的宽泛服务及端口策略,不要一下删完了,每一步操作都留后路。
// 移除默认开启的没有访问限制的ssh服务,该服务开启后不限制访问,风险较高,所以建议最后删除。
 

firewall-cmd --permanent --remove-service=ssh


//策略删除只需要add替换为remove即可。
 

firewall-cmd --zone=public --remove-port=80/tcp --permanent

(5)其他辅助命令
//当前运行策略写入配置文件
 

firewall-cmd --runtime-to-permanent


//查看docker NAT规则是否存在
 

iptables -nL -t nat


//查看配置文件策略
 

cat /etc/firewalld/zones/public.xml
cat usr/lib/firewalld/zones/public.xml


//查看预定义服务
 

firewall-cmd --get-services 

(6)解决docker容器端口绕过firewall,centos7的防火墙不能控制docker容器端口的问题


#修改/usr/lib/systemd/system/docker.service ,添加 --iptables=false
#vi /usr/lib/systemd/system/docker.service
#找到

ExecStart=/usr/bin/dockerd -H tcp://127.0.0.1:2375 -H unix://var/run/docker.sock 在中间添加 --iptables=false
#修改之后 :  

 ExecStart=/usr/bin/dockerd --iptables=false -H tcp://127.0.0.1:2375 -H unix://var/run/docker.sock


重启容器,重启后需要重新加载程序
 

systemctl daemon-reload
systemctl restart docker

启动docker下的程序:
进入docker-compose.yml所在目录
#docker-compose up -d  启动程序

(7)禁止ping操作
禁止ping  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
恢复ping  echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all


 

CentOS防火墙配置指南
JqlScala的博客
10-02 1008
通过配置适当的防火墙规则,可以提高服务器的安全性,保护计算机网络免受未经授权的访问。在CentOS操作系统下,iptables是一个常用的防火墙工具,它允许我们配置和管理网络流量。SSH默认使用22号端口。在配置防火墙之前,我们可以先查看当前的防火墙规则。该命令将显示当前的防火墙规则,包括输入、输出和转发规则。该命令将当前的防火墙规则保存到/etc/sysconfig/iptables文件中。该命令将启动iptables服务,并加载之前保存的防火墙规则。该命令将清空所有的防火墙规则,恢复到默认状态。
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 200
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
CentOS7下操作iptables防火墙和firewalld防火墙
Linux运维老纪的博客
07-27 1910
CentOS 7在安全性方面提供了多层次的保护措施,‌包括防火墙管理、‌系统更新、‌用户管理、‌以及通过系统配置增强安全性。‌本章详细介绍Linux安全firewalld和iptables.
CentOS防火墙工具(firewalld和iptables)的使用
最新发布
bjzhang75的博客
05-08 444
CentOS防火墙工具(firewalld和iptables)的使用
Centos6.8防火墙配置
weixin_33910434的博客
05-21 309
1、基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptabl...
CentOS 防火墙配置(firewall)
crayon
10-08 1万+
9、重新加载(修改防火墙规则后需要执行reload)13、获取所有支持的ICMP类型。14、列出全部启用的区域的特性。2、允许\禁止开机自启动。6、查看指定端口是否开启。11、获取支持的区域列表。12、获取所有支持的服务。2、启动&停止&重启。
Centos防火墙配置
热门推荐
m0_65307735的博客
11-02 1万+
centos配置防火墙
centos防火墙设置
dfhbddcg的博客
04-17 3021
原文链接:https://blog.youkuaiyun.com/qq_39951605/article/details/123686441。7、拒绝所有包、取消拒绝状态、查看是否拒绝。9、启动、停止、重启httpd服务。1、启动、关闭、重启防火墙服务。10、查看3306端口是否开放。5、查看防火墙是否开机启动。6、查看防火墙是否开机启动。8、查看启动失败的服务列表。7、查看已启动的服务列表。4、查看所有打开的端口。2、显示防火墙的状态。4、开机时禁用防火墙。3、开机启动防火墙。3、显示防火墙状态。
Centos7防火墙配置手册
03-21
**FirewallD** 是 CentOS 7 中默认提供的防火墙管理工具,它为用户提供了一个灵活、强大的防火墙配置环境。相较于之前的 **system-config-firewall/lokkit** 静态防火墙模型,FirewallD 的主要优势在于它的动态性...
CentOS7 Docker防火墙的简单配置教程
09-30
主要给大家介绍了关于CentOS7 Docker防火墙的简单配置方法,以及总结了docker在centos7下的一些坑,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧。
Linux学习总结(37)——CentOS7下Firewall防火墙配置用法详解
科技D人生
07-23 1814
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。 FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防
服务器开启防火墙
weixin_33750452的博客
03-01 986
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld / firewall-cmd state 这个命令也可以,只是信息会简单点 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、怎么开启一个端口 添...
CentOS 如何配置防火墙
Free雅轩的博客
08-01 956
编辑/etc/sysconfig/iptables文件,可以配置不同端口的对外提供服务。
centos防火墙设置方法
wang_book的博客
08-28 1414
你可以添加自定义的规则,使用。
CentOS7配置防火墙、检查防火墙状态、开启/关闭防火墙、开放/删除端口
Gzzz的博客
12-01 3768
CentOS7配置防火墙、检查防火墙状态,开启/关闭防火墙、添加/删除端口、重新加载防火墙、查询端口状态、参数解释
Centos7防火墙配置
hwx865的专栏
10-09 841
添加端口后,必须用命令firewall-cmd --reload重新加载一遍才会生效。–add-port=9200/tcp 添加端口,格式为:端口/通讯协议。--permanent 为永久生效,不加为单次有效(重启失效)查看防火墙设置开机自启状态。查看某个端口号是否被占用。查看进程号对应的进程名称。–zone 作用域。
CentOS防火墙管理及配置
kucoll的专栏
05-18 742
firewalld为防火墙服务名称,centos7以前是使用iptablesfirewall-cmd:防火墙配置命令行工具/etc/firewalld/:防火墙相关配置文件目录。
centos8防火墙配置文件
08-09
CentOS 8的防火墙配置文件是使用firewalld工具进行管理的。防火墙配置文件位于/etc/firewalld目录下,主要包括以下几个重要文件: 1. firewalld.conf:这个文件是防火墙的主要配置文件。可以设置一些全局的防火墙选项,如默认的防火墙区域、是否开启IPv6支持等。可以通过编辑这个文件来修改全局设置。 2. zones目录:这个目录存放了不同的防火墙区域配置文件。每个区域配置文件包含了该区域的规则集合。默认的区域配置文件有public.xml、trusted.xml、home.xml等。可以通过编辑这些文件来定义区域的规则。 3. services目录:这个目录存放了定义了不同服务的配置文件。每个服务配置文件包含了定义该服务的端口和协议等信息。可以通过编辑这些文件来自定义和管理服务的规则。 在CentOS 8中,使用firewall-cmd命令可以对防火墙进行动态配置。例如,可以使用以下命令添加一个新的防火墙区域: ``` firewall-cmd --permanent --new-zone=myzone firewall-cmd --permanent --zone=myzone --add-source=192.168.1.0/24 firewall-cmd --permanent --zone=myzone --add-service=http firewall-cmd --reload ``` 以上命令中,--permanent选项表示永久生效,--new-zone表示创建一个新的区域。通过--add-source和--add-service选项分别指定允许访问的源IP地址和服务。最后通过--reload命令使配置生效。 总结来说,CentOS 8的防火墙配置文件集中存放在/etc/firewalld目录下,其中firewalld.conf是主要配置文件,zones目录存放了不同区域的规则配置文件,services目录存放了定义了不同服务的配置文件。通过firewall-cmd命令可以对防火墙进行动态配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

打一年工搬一年砖

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值