Linux防火墙firewall的使用

最新推荐文章于 2025-06-29 15:15:00 发布
最新推荐文章于 2025-06-29 15:15:00 发布
阅读量2w 收藏 52
点赞数 8
CC 4.0 BY-SA版权
分类专栏: Linux基础 文章标签: 区域ip冲突 单独允许访问 单独拒绝访问 Linux防火墙firewall 修改映射端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ck784101777/article/details/95335741
本文介绍了Linux防火墙firewall软件,它是对iptables的封装,操作更简单。阐述了四个基本区域(public、trusted、block、drop)的预设规则及实际应用,还说明了如何修改防火墙配置,如添加允许服务、单独拒绝或允许访问、处理区域ip冲突和修改映射端口等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.firewall软件

 

作用:

对iptables的封装软件,无链与表的概念,只有区域的概念,比iptables操作简单,但是底层还是调用iptables

 

firewalld服务基础


• 系统服务:firewalld
• 管理工具:firewall-cmd(命令)、firewall-config(图形化界面)

 

四个基本区域

  根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的ssh dhcp ping服务
– trusted:允许任何访问
– block:阻塞任何来访请求(明确拒绝,有回应客户端)
– drop:丢弃任何来访的数据包(没有回应,节省服务端资源)

 

基本命令

  1.查看当前区域

    firewall-cmd --get-default-zone

  2.转换区域

    firewall-cmd --set-default-zone='区域名'

  3.查看区域规则

    firewall-cmd --zone='区域名' --list-all

  4.添加源

   firewall-cmd --zone='区域名' --add-source='ip地址'

 

2.四个区域的实际应用

   用两台虚拟机做测试(相同网段),server,desktop

  server ip :172.25.0.11

  desktop ip :172.25.0.10

public 

    public默认允许访问本机的ssh服务,ping服务,可以通过命令查看.

   查看区域规则命令:    firewall-cmd --zone=public  --list-all

   看services这一栏,允许dhcpv6-client,ssh服务

    ①ping

       1)server端将区域转为public  

        firewall-cmd --set-default-zone=public

       2)使用desktop ping server 

    ping 172.25.0.11 ,ping 通

    

    ②ssh

   使用desktop ssh server,

   ssh成功,主机名从desktop变为server

  

③通过http和ftp访问

            desktop下访问server服务,

            访问 http: firefox 172.25.0.11 

            访问 ftp:  firefox ftp://172.25.0.11 

            结果都是会被阻拦,也就是说public区域下默认不允许http和ftp访问

2.trusted 

         1)server端将区域转为trusted  

        firewall-cmd --set-default-zone=trusted

         2)将区域转为trusted后允许所有访问,包括ssh,ping,ftp,http等

3. block

        1)server端将区域转为block  

        firewall-cmd --set-default-zone=block

        2)访问测试

             ①ping

              desktop下ping server : ping 172.25.0.11   

              ping通,根据block区域的规则,拒绝访问,但是会给予回应

        

          ②ssh 

           desktop下ssh server :

          可以看到无法连接成功

            [root@desktop0 /]# ssh root@172.25.0.11
            ssh: connect to host 172.25.0.11 port 22: No route to host

          ③通过http和ftp访问

            desktop下访问server服务,

            访问 http: firefox 172.25.0.11 

            访问 ftp:  firefox ftp://172.25.0.11 

            结果都是会被阻拦

  4.drop

     drop和trused形成两个极端,一个允许一切访问,一个拒绝一切访问.

     drop禁止通过ping,ssh,http,ftp等访问.

 

3.修改防火墙的配置

   

   1.向public添加允许http和ftp服务

  上面说了public默认设置是不允许访问http和ftp服务的(根据本机的情况而定).管理员可以添加允许访问的服务

   两条命令:

   ① firewall-cmd --permanent --zone=public  --add-service='服务名'   #-permanent为永久修改,不加就是临时修改,重启后失效  --zone后跟区域名

   ② firewall-cmd  --reload    #重新加载防火墙所有配置

    [root@server0 ftp]# firewall-cmd --permanent --zone=public --add-service=http
    success
    [root@server0 ftp]# firewall-cmd --permanent --zone=public --add-service=ftp   
    success

    [root@server0 ftp]# firewall-cmd --reload   

    [root@server0 ftp]# firewall-cmd --zone=public --list-all  #显示配置信息

    修改后services下多出http和ftp
     

    看看效果:在desktop下访问server

   ping 172.25.0.11

   ping ftp://172.25.0.11

    

 

 

2. 单独拒绝访问

 可以通过防火墙设置拒绝单独的访问.比如我想拒绝desktop(172.25.0.10)访问server

①通过block区域设置拒绝访问服务

 在server上输入命令 :firewall-cmd --zone=block --add-source=172.25.0.10

②设置默认访问区域,调整位trusted允许所有访问

 filewall-cmd --set-defaults-zone=trusted

③测试

  desktop下 输入 : firefox 172.168.10

  被拒绝

 ④block拒绝和drop拒绝的区别

 你也可以设置drop拒绝,在server上输入命令 :firewall-cmd --zone=drop --add-source=172.25.0.10

 与block的区别就是drop不能得到服务的响应了,你可以尝试ping 172.25.0.10(服务器ip),无法ping通

 

3.单独允许访问

  若将zone切换到drop区域,即禁止一切访问,在这种情况下若想允许单独访问,可以将访问者ip添加到trusted区域.

①通过trusted区域设置允许访问

 在server上输入命令 :firewall-cmd --zone=trusted --add-source=172.25.0.10

②设置默认访问区域,调整为block 拒绝所有

 filewall-cmd --set-defaults-zone=block

③测试

 即使是在block区域下(拒绝访问区域),如果我们将允许访问的ip添加到了trusted区域,则依旧可以访问

  desktop下 输入 : firefox 172.168.10

  允许访问

 

4.区域ip冲突

   区域ip冲突的意思是指,在两个区域中设置同一ip地址.即在drop中设置172.25.0.10,那么在其他区域就不允许添加这一条ip地址,

[root@server0 ftp]# firewall-cmd --zone=drop --add-source=172.25.0.10
success
[root@server0 ftp]# firewall-cmd --zone=trusted --add-source=172.25.0.10
Error: ZONE_CONFLICT

 所以你想将ip加入到某个区域,就必须在其他区域将其删除

 

5.修改映射端口

   端口: 协议或程序或服务的编号
   利用root可以改变端口,而且一个程序可以具备多个端口    

   实现本机的端口映射
  • 本地应用的端口重定向(端口1 --> 端口2)

   实现:客户端访问: firefox  172.25.0.11:5423--->172.25.0.11:80

   也就是说当5423端口不工作时,防火墙将访问重定向到80端口上

    基本命令: firewall-cmd --zone=[区域名]  --add-forward-port=port=[被转发端口]:proto=tcp:toport=[转发后端口]   

    [root@server0 /]# firewall-cmd  --permanent  --zone=public --add-forward-port=port=5423:proto=tcp:toport=80

    注意两点:①添加--permanent  参数将其永久修改

                    ②将这条命令添加到常用区域,可以是public或trusted,添加到drop或block区域意义不大    

                   

linux 防火墙 firewalliptables详解
weixin_43740680的博客
03-20 754
一、防火墙简介 介绍: 防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的管理防火墙的两种方式 : ...
linux防火墙查看状态firewall
qq_44534541的博客
02-15 9434
1、查看firewall服务状态 systemctl status firewalld 出现Active: active (running)切高亮显示则表示是启动状态。 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 开启 service firewalld start 重启 service firewalld restart 关闭 service firewalld stop 4、查看防火墙规则 firewall-cm
Linux防火墙应用珠玑
emerald0106的专栏
01-19 772
导言:随着互联网的飞速发展,毫无疑问,互联网上的安全,操作系统平台的安全也逐渐成为人们所关心的问题。而许多网络服务器、工作站所采用的平台为Linux/UNIX平台。Linux平台作为一个安全性、稳定性比较高的操作系统也被应用到了更多领域。本文带领大家探讨了Linux系统管理员应该掌握的20个防火墙应用技巧。  广为人知的iptables命令行 Netfilter作为Linux
LINUX防火墙Firewall常用命令(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
06-29 922
本文介绍了firewall防火墙的常用简单命令,以CentOS系统为例展示了防火墙的启用、关闭及通行规则设置等命令。查看/开启/关闭/重启/加载防火墙防火墙开机自启设置按端口查询/开放/移除放行规则按服务查询/开放/移除放行规则端口转发扩展。
Linux——Firewall防火墙firewalld与iptables两种管理方式)
Treasured ——的博客
12-16 2936
一、防火墙简介 介绍: 防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统,是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的 管理防火墙的两种方式 : (1)firewalld 管理火墙的工具,相对简单 (2)iptables 复杂,功能强大 二、firewa...
linux 防火墙firewall
DK_one的博客
03-16 6589
一 : 介绍1.1防⽕墙是保护机器不受来⾃外部的、不需要的⽹络数据的⼀种⽅式。它允许⽤⼾通过定义⼀组防⽕墙规则来控制主机上的⼊站⽹络流量。这些规则⽤于对进⼊的流量进⾏排序,并可以阻断或允许流量。1.2firewalld 是⼀个防⽕墙服务守护进程,其提供⼀个带有 D-Bus 接⼝的、动态可定制的、基于主机的防⽕墙。如果是动态的,它可在每次修改规则时启⽤、修改和删除规则,⽽不需要在每次修改规则时重启防⽕墙守护进程。。
linux系统中的防火墙firewall
dghfttgv的博客
11-23 2224
一.“防火墙”的概述 1、什么是“防火墙防火墙技术是通过有机结合各类用于==安全管理与筛选==的软件和硬件设备,帮助计算机网络与其==内、外网之间==构建一道相对隔绝的==保护屏障==,以保护用户资料与信息安全性的一种技术。 外网通过IP访问内网时,只有在防火墙同意情况下,用户才能够进入计算机内,如果不同意就会被阻挡于外。 2、“防火墙”的作用是什么 防火墙技术...
Linux防火墙firewall常用的命令
u014694915的博客
05-07 740
添加端口后,必须用命令firewall-cmd --reload重新加载一遍才会生效,如果用的是云服务器,记得在安全组同步开放端口。–add-port=9200/tcp #添加端口,格式为:端口/通讯协议。–permanent #永久生效,没有此参数重启后失效。–zone #作用域。
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start...
linux_firewall_netfilter-master.zip_LINUX防火墙_linux 防火墙_linux 防火
09-23
简单linux防火墙程序,基于netfilter
Linux防火墙程序设计.rar_firewall_linux 设计_linux 防火墙_防火墙_防火墙 linux
09-24
Linux防火墙程序设计
Linux防火墙firewall
weixin_53123302的博客
02-08 753
Linux中的firewalld
Linux下的防火墙
大新软件老杨
05-19 1091
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.10.20 -p tcp --dport 80 -j REJECT //拒绝IP为192.168.10.20的访问tcp的80端口 --direct 规则 --add-rule 添加规则 ipv4 filter 指定为ipv4的filter表 INPUT 链 -s 数据来源 -p采用的协议 --dport 目的地端口 -j 行为动作。版权声明:本文为优快云博主「不想上课。
Linux Firewalld 防火墙
cliffordl的专栏
04-14 1006
firewalld 防火墙是 Centos7 (Ubuntu 也支持)系统默认的防火墙管理工具,取代了之前的 iptables 防火墙,也是工作在网络层,属于包过滤防火墙
Linuxfirewalld防火墙
qq_70756940的博客
04-17 1090
①、firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。②、相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。|zone:有多种区域,我们的IP、网卡可以加入到不同的区域。(互联网的地址 | 老师的电脑)|service:各种服务|各种端口
linux防火墙firewalld和iptables)
肥猫警长的博客
11-01 6042
这里写目录标题1安全技术和防火墙1.1 安全技术1.2 防火墙的分类2.Linux 防火墙的基本认识2.1Netfilter2.2防火墙工具介绍2.2.1 iptables2.2.2 firewalld2.2.3 nftables2.3 netfilter中五个勾子函数和报文流向3.firewalld服务3.1.1firewalld 介绍3.1.2命令行配置3.1.2.1基础命令3.1.2.2查看现有firewall设置3.1.2.3设置查看默认区3.1.2.4添加源地址(网段)及端口 及服务3.1.3其它
Linux系统防火墙——firewalld
DY_man的博客
04-25 5632
firewalld概述 firewalld防火墙是CentOS 7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfiler网络过滤子系统(属于内核态)来实现包过滤防火墙功能 firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具 支持IPV4、IPV6防火墙设置以及以太网桥(在某些高级服务可能会
Linux系列之——Firewall
lwthad的博客
01-15 215
################CentOS7以下################ 修改防火墙文件 vim /etc/sysconfig/iptables 开放端口6379  -A INPUT -m state --state NEW -m tcp -p tcp --dport 6379 -j ACCEPT 防火墙服务的 状态 重启 停止 开始 service iptable...
Linux系统安全防火墙篇之 Firewall(CentOS 7)
热门推荐
高飞的博客
12-20 31万+
Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具.。iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables serv...
linux 防火墙firewall
01-30
### 配置和管理Linux防火墙 #### 使用`firewalld` `Firewalld` 提供了一种动态管理防火墙的方式,允许更新规则而不中断现有连接。对于大多数现代Linux发行版,默认情况下会安装并启用 `firewalld`。 要查看当前状态可以运行如下命令: ```bash sudo systemctl status firewalld ``` 为了启动或停止服务可分别执行下面两条指令之一: ```bash sudo systemctl start firewalld # 启动服务 sudo systemctl stop firewalld # 停止服务 ``` 如果希望开机自动加载,则需设置为开启状态: ```bash sudo systemctl enable firewalld ``` 通过图形界面配置也很简单,只需打开应用程序菜单找到名为 "Firewall Configuration" 或者直接在终端里键入 `firewall-config` 即可进入GUI模式进行操作[^2]。 #### 添加端口和服务到特定区域 默认情况下,公共区(`public`)被选作活跃区;但是可以根据需求更改此设定。向指定区域内添加开放端口的例子如下所示: ```bash sudo firewall-cmd --zone=public --add-port=80/tcp --permanent ``` 上述命令永久性地将TCP协议下的HTTP(80)端口加入到了公网访问列表之中。记得每次修改后都要重新载入配置文件使改动生效: ```bash sudo firewall-cmm --zone=public --remove-port=80/tcp --permanent ``` 当涉及到具体的应用程序而非单一端口号时,比如SSH、HTTPS等常用的服务名同样适用这种方式处理: ```bash sudo firewall-cmd --zone=public --add-service=https --permanent ``` 这行代码的作用就是让HTTPS流量能够顺利穿过防火墙屏障到达目标主机上监听该类型的进程那里去[^1]。 #### 利用`iptables`实现更精细控制 尽管`firewalld`已经足够满足日常维护工作所需的功能特性了,但对于某些特殊场景下可能还是需要用到更为底层也更加灵活多变的工具——即`iptables`本身。它能让我们直接针对IPv4层面的数据流制定详尽而又复杂的过滤策略。 创建一条简单的INPUT链规则阻止来自某个IP地址的所有传入请求样例如下: ```bash sudo iptables -A INPUT -s 192.168.1.100 -j DROP ``` 这里的意思是从源地址为`192.168.1.100`过来的一切尝试都将遭到拒绝响应。当然实际应用当中往往不会这么绝对化,而是配合其他条件一起使用形成复杂逻辑判断结构[^3]。 保存这些自定义好的表项以便重启之后仍然有效非常重要: ```bash sudo sh -c "iptables-save > /etc/iptables/rules.v4" ``` 以上就是在Linux环境中围绕着两个主流防火墙解决方案展开的一些基本介绍与实践指导。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值