防火墙Firewalld_网络端口安全

最新推荐文章于 2025-03-06 15:23:01 发布
原创 最新推荐文章于 2025-03-06 15:23:01 发布 · 645 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #服务器

本文介绍了如何管理Firewalld,包括设置默认zone、管理源地址、接口和服务,添加和删除rich规则,以及配置NAT和端口转发。同时提到了SELinux端口标签的管理,如查看、添加、删除和修改端口。
部署运行你感兴趣的模型镜像

管理Firewalld

与之相关的服务有:iptables,ip6tables,ebtables;
默认的zone是public.

Firewall-cmd --permanent #永久
firewall-cmd --get-default-zone #查看zones

firewall-cmd --set-default-zone=<ZONES> #设置默认zone.

firewall-cmd --get-zones #查看所有可用的zone

firewall-cmd --get-services #查看所有的服务

firewall-cmd --get-active-zones #查看所有激活的zones

firewall-cmd --add-source=<CIDR> #添加源地址

firewall-cmd --remove-source=<CIDR> #删除源地址

firewall-cmd --add-interface=<INTERFACE> #添加接口

firewall-cmd --changeinterface=<INTERFACE> #改变接口

firewall-cmd. --list-all  #列举所有已经配置的ZONE

firewall-cmd --list-all-zones  #列举所有ZONE的信息

firewall-cmd --add-service=<SERVICE> #添加服务

firewall-cmd --add-port=<PORT/PROTOCOL> #添加协议端口

firewall-cmd --remove-service=<SERVICE> #删除服务

firewall-cmd --remove-port=<PORT/PROTOCOL> #删除协议端口

firewall-cmd --reload  #修改配置后,重新加载

管理Rich Rules
Rich Rules 可以表达基本的允许/拒绝规则,也可以去配置日志如:syslog和auditd,端口转发,伪装,限制等。使用帮助命令 firewalld.richlanguage
在这里插入图片描述

Rich rules有4个选项可以使用。
在这里插入图片描述
在这里插入图片描述

添加规则

firewall-cmd --permanent --add-rich-rule=’rule family=ipv4 source address=192.168.0.11/32 reject’ #拒绝来自192.168.0.11主机的数据,family 为指定ipv4 或ipv6

在这里插入图片描述
用服务来写:service name=.
在这里插入图片描述

用协议来写 protocal value=
在这里插入图片描述

用端口来写 port port=
在这里插入图片描述
Reject 会返回一个icmp回应,drop丢弃不会有任何回应
防火墙日志syslog and audit
在这里插入图片描述
在这里插入图片描述

is one of emerg(紧急) , alert(警报) , crit , error(错误) , warning(警告), notice(注意) , info(信息), or debug(故障) .
m for minutes, h for hours, or d for days.
如:
limit value=3/m 表示限制三分钟
LOG:记录在/var/log/messages

firewall-cmd --permanent --add-rich-rule='rule service name=ssh log prefix=ssh level=notice limit value=3/m accept'

在这里插入图片描述
Audit:记录在/var/log/audit/audit.log

firewall-cmd --add-rich-rule=’rule family=ipv4 source address=172.25.254.250/32 service name=dns audit limit value=1/h reject’ --timeout=300 #拒绝DNS在一下个五分钟,每个小时记录拒绝172.25.254.250主机的DNS服务,

在这里插入图片描述
删除规则

firewall-cmd --permanent --remove-rich-rule='rule' #直接复制’使用--list-all 或者list-rich-rule查看

NAT
Firewalld 支持两种网络地址转换:masquerading(伪装) and port forwarding(端口转发) .
Masquerading:伪装通过公网地址改变包的源地址,去访问外网。只用于IPV4。
配置:

firewall-cmd --permanent --zone=<ZONE> --add-masquerade #设置所有包都通过伪装在zone内转换。

在这里插入图片描述

firewall-cmd --permanent --zone=<ZONE> --add-rich-rule='rule family=ipv4 source address=172.25.254.250/32 masquerade' #通过定义富规则:源地址172.25.254.250主机通过伪装出去;

在这里插入图片描述

Port forwarding 端口转发
单个端口被转换成多个端口在同一台机器,或者一个端口在不同机器上
配置:
在这里插入图片描述
在这里插入图片描述

SELinux端口标签
SELinux 端口:每个服务的端口都受到SELinux的保护。会停止通过其他方法进来的端口。
管理SELinux端口:
查看

semanage port -l #查看端口列表 -C可以查看被改变的SELinux端口

在这里插入图片描述
添加端口:

semanage port -a -t http_port_t -p tcp <port> | -a #添加 -t  selinux内容 -p 协议 端口

在这里插入图片描述
在这里插入图片描述
安装seliunx-policy-devel 软件包用于查看服务的selinux作用
在这里插入图片描述
用于更新MAN 数据库
在这里插入图片描述
在这里插入图片描述
删除端口

semanage port -d -t http_port_t  -p tcp <port> | -d #删除

在这里插入图片描述
修改端口

semanage port -m -t http_port_t -p tcp <port> | -m #修改

在这里插入图片描述

请珍惜劳动成果,支持原创,欢迎点赞或者关注收藏,你每一次的点赞和收藏都是作者的动力,内容如有问题请私信随时联系作者,谢谢!

您可能感兴趣的与本文相关的镜像

Centos7.9_hadoop集群下配置防火墙_安全部署_防火墙配置_端口配置_协议配置_IP配置_全部亲测---记录022_大数据工作笔记0182
添柴程序猿的专栏
07-24 1826
这个时候如果你配置了防火墙,如果扫描机的IP被屏蔽掉了,或者对应的端口被屏蔽掉了那么对我们来说,漏洞就扫描不到了,其实,除了系统本身的软防火墙,还有网闸,等待安全设备,可以保证内网的安全.在我们平时搭建大数据平台的时候,由于防火墙的限制,会让搭建集群的时候,报各种错误,但是,有些网络环境要求比较严格的地方,防火墙又要求必须要放开,尤其是..5.直接放开某个IP可以访问,本机所有端口,这样比较方便,因为有时候不知道有些开源软件内部还用到了哪些端口,如果一个个端口放开就比较麻烦。这里说一下防火墙的配置.
CentOS7使用firewall-cmd来管理端口开放
weixin_38776330的博客
01-28 561
CentOS7 开放端口 通过firewall-cmd来操作 背景 自去年11月转项目经理,工作中技术占的比重少了很多,很久没有上这个博客,今天又想起这个途径,久违的登上,有些怀念。 命令 CentOS7提供firewall-cmd工具来操作防火墙firewall-cmd --permanent:表示设置为永久,配置被写入配置文件。 不会立即生效,重新启动防火墙加载配置后生效。不带此参数表示本次运行,立即生效 首先,最常用的,开放、查询端口 # 查询某个端口是否开放。本次运行 [root@insta
centos7以上版本防火墙操作
u010029821的博客
04-27 263
1、指定IP与端口 firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.1.100” port protocol=“tcp” port=“3306” accept” 指定多个端口(连续) firewall-cmd --permanent --add-rich-rule=“rule family=“ipv4” source address=“192.168.1.100” port protoc
Centos7 防火墙策略rich-rule 限制ip访问-----图文详解
冰恋云的专栏
03-13 9380
查看防火墙策略。
firewalld富规则配置黑名单
weixin_53389944的博客
03-06 995
的富规则,可以灵活地屏蔽指定 IP 地址或 IP 地址段。如果需要撤销规则,可以使用。参数确保规则持久化,并通过。
centos7配置firewall白名单
小徕虫的博客
04-22 8031
要解决的问题 在服务器搭建了nacos环境后,想通过防火墙策略限制网络访问,保证安全。因为是暴露在公网环境中,所以只想让1xx.1xx.1xx.1xx这个IP能访问到8848这个端口。其它IP的访问不可用。 背景环境 [root@owxwoldsev23pa~]# cat /etc/centos-release CentOS Linux release 7.6.1810 (Core) [root@owxwoldsev23pa~]# firewall-cmd --version 0.6.3 [root@owx
centos almalinux rocketLinux firewall-cmd 开放多个连续端口
WonSafe的博客
07-04 2329
linux firewall 端口
CentOS7使用firewall-cmd打开关闭防火墙端口
zyh444的博客
08-16 1193
一、centos7版本对防火墙进行加强,不再使用原来的iptables,启用firewalld 1.firewalld的基本使用 启动: systemctl start firewalld 查状态:systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 在开机时启用一个服...
防火墙白名单设置方法_firewalld_centos7.pdf
10-31
firewall设置访问白名单,仅允许合法的ip访问特定端口,如下以9089端口以及5672端口为例
Linux系统-centos防火墙firewalld详解
u013015301的博客
02-08 981
CentOS 7.6默认的防火墙管理工具是firewalld,它取代了之前的iptables防火墙firewalld属于典型的包过滤防火墙或称之为网络防火墙,与iptables一样,都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。
防火墙Firewalld(iptables)
2201_75444658的博客
08-01 1015
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
Centos7(Firewall)防火墙开启常见端口命令
09-15
Centos7默认安装了firewalld,如果没有安装的话,则需要YUM命令安装;firewalld真的用不习惯,与之前的iptable防火墙区别太大,但毕竟是未来主流讲究慢慢磨合它的设置规则,需要的朋友可以参考下
linux防火墙firewalld未进行任何配置,状态是关闭的。如何怎么在不断开远程连接的情况下,开启linux防火墙firewalld,ssh端口为62345,请给我写出操作步骤及命令。
最新发布
08-06
我们面对的问题:在启用firewalld防火墙的同时,确保自定义SSH端口(62345)不被阻断,从而保持当前远程连接不中断。 关键点:在启用防火墙前,必须将自定义SSH端口(62345/tcp)添加到防火墙的永久规则中,然后再...
管理防火墙端口的终极指南:使用 `firewall-cmd` 命令
热门推荐
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
09-30 2万+
在这篇博客中,我将深入探讨如何使用命令来查看和管理Linux防火墙端口设置。掌握这些命令对于确保系统安全至关重要。无论你是运维新手还是经验丰富的专业人士,这篇文章都会为你提供必要的技能和知识。让我们一起来探索吧!🔍命令功能查看防火墙状态列出已开启的端口启动防火墙设置防火墙开机自启添加端口规则删除端口规则重新加载防火墙配置。
linux中使用firewall命令操作端口
dangbochang的专栏
03-04 908
介绍了在linux中如何使用firewall cmd来打开或关闭端口,添加和删除端口转发
Linux防火墙连续多个端口,Linux7 以上系统防火墙开通端口的方法
weixin_39751679的博客
05-09 1474
Linux7 以上系统防火墙开通端口的方法一, 查看防火墙状态查看防火墙状态 systemctl status firewalld开启防火墙 systemctl start firewalld关闭防火墙 systemctl stop firewalld若遇到无法开启先用: systemctl unmask firewalld.service然后: systemctl start firewalld...
Linux 防火墙配置指南:firewalld 端口管理应用案例(二十个实列)
weixin_41978174的博客
07-15 736
这些例子涵盖了常见的服务器角色和应用场景。在实际操作中,我们还需要根据具体的网络拓扑、安全策略和应用需求来精细调整防火墙规则。例如,可能需要限制特定IP地址或网段的访问,设置端口转发,或者配置更复杂的富规则等。此外,作为一个经验丰富的Linux运维工程师,我还建议定期审核防火墙规则,移除不再需要的规则,并使用如这样的命令来检查当前的防火墙配置,确保系统安全性和性能的平衡。
firewalld添加多个端口限制等高级功能
UFO_SERIESOFSOFT的博客
12-22 4018
国内网站基本找不到详细的配置细节,只是基本的命令普及!对于个性化的订制规则,建议阅读官网文档: https://firewalld.org/documentation/ 使用rich-rule规则,我们可以自由限制ip、port、service。如果我们使用的服务规则比较多,例如包含多个端口,直接添加非常难管理。这时,我们需要自定义service来统合这些规则。 我们可以编写一个service的x...
linux防火墙命令
weixin_45459281的博客
03-20 6683
查看firewalld防火墙的版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小Eason哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值