Firewalld

最新推荐文章于 2025-06-18 17:36:35 发布
转载 最新推荐文章于 2025-06-18 17:36:35 发布 · 1.1k 阅读 · 0

学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不会用,索性直接搬官方文档,学习firewalld了,好像比iptables要简单点了。

 

官方文档地址:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld

 

1firewalld简介

firewalldcentos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念

 

firewalld有图形界面和工具界面,由于我在服务器上使用,图形界面请参照官方文档,本文以字符界面做介绍

 

firewalld的字符界面管理工具是 firewall-cmd 

 

firewalld默认配置文件有两个:/usr/lib/firewalld/(系统配置,尽量不要修改)和 /etc/firewalld/ (用户配置地址)

 

zone概念:

硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域(根据文档自己理解,如果有误请指正):

drop:默认丢弃所有包

block:拒绝所有外部连接,允许内部发起的连接

public:指定外部连接可以进入

external:这个不太明白,功能上和上面相同,允许指定的外部连接

dmz:和硬件防火墙一样,受限制的公共连接可以进入

work:工作区,概念和workgoup一样,也是指定的外部连接允许

home:类似家庭组

internal:信任所有连接

对防火墙不算太熟悉,还没想明白publicexternaldmzworkhome从功能上都需要自定义允许连接,具体使用上的区别还需高人指点

 

2、安装firewalld

root执行 # yum install firewalld firewall-config

 

3、运行、停止、禁用firewalld

启动:# systemctl start  firewalld

查看状态:# systemctl status firewalld 或者 firewall-cmd--state

停止:# systemctl disable firewalld

禁用:# systemctl stop firewalld

 

4、配置firewalld

查看版本:$ firewall-cmd --version

查看帮助:$ firewall-cmd --help

查看设置:

               显示状态:$ firewall-cmd --state

               查看区域信息: $ firewall-cmd --get-active-zones

               查看指定接口所属区域:$ firewall-cmd --get-zone-of-interface=eth0

拒绝所有包:# firewall-cmd --panic-on

取消拒绝状态:# firewall-cmd --panic-off

查看是否拒绝:$ firewall-cmd --query-panic

 

更新防火墙规则:# firewall-cmd --reload

                           # firewall-cmd --complete-reload

    两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务

 

将接口添加到区域,默认接口都在public

# firewall-cmd --zone=public --add-interface=eth0

永久生效再加上 --permanent 然后reload防火墙

 

设置默认接口区域

# firewall-cmd --set-default-zone=public

立即生效无需重启

 

打开端口(貌似这个才最常用)

查看所有打开的端口:

# firewall-cmd --zone=dmz --list-ports

加入一个端口到区域:

# firewall-cmd --zone=dmz --add-port=8080/tcp

若要永久生效方法同上

 

打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹,这个不详细说了,详情参考文档

# firewall-cmd --zone=work --add-service=smtp

 

移除服务

# firewall-cmd --zone=work --remove-service=smtp

 

还有端口转发功能、自定义复杂规则功能、lockdown,由于还没用到,以后再学习

 

iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
Linux发行版中使用firewalld作为默认防火墙管理工具
jaber_chen的博客
05-11 615
一、Firewalld介绍 1、firewalld介绍 Firewalld提供了动态托管的防火墙,并支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了一个接口,以直接添加防火墙规则。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策
Linux防火墙firewalld
m0_67156403的博客
05-01 880
firewalld(Dynamic Firewall Manager of Linux System,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。在比较新的系统中,firewalld 防火墙已经取代了 iptables 防火墙 firewalldiptables的区别 1.iptables主要是基于接口,来设置规则,从而判断网络的安全性。 firewalld是基于区域,根据不同的区域来设置不同的规则,从而保
firewalld防火墙
qq_58461022的博客
05-08 2497
iptables -t 表名 规则链名 [规则号] -p 协议名 --sport 源端口 --dport 目标端口 -j 动作。相关端口,端口需依赖所对应的服务,用法如:ssh服务被关闭,意味着TCP22被封,但ssh的端口被管理员改为222,那么在端口中开启222即可实现访问服务器ssh服务,虽然此时的服务ssh是被关闭的。它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。
你真的懂firewalld吗?不妨看看我的这篇文章
2303_78436387的博客
05-27 1273
firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。例如,当一个新的网络接口被添加到系统中时,firewalld可以接收到相关的通知,并自动更新防火墙规则以适应新的网络环境。firewalld和liptables都是用来管理防火墙的工具(属于用户态),它们都可以用来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统(属于内核态),从而实现包过滤防火墙功能。
Linux关于防火墙操作命令
qq_39849423的博客
01-09 427
#Linux关于防火墙操作命令 ##一、防火墙相关指令 ###查看防火墙状态 systemctl status firewalld ###开启防火墙 systemctl start firewalld ###关闭防火墙 systemctl stop firewalld ###重启防火墙 firewall-cmd --reload ##二、端口开放相关命令 ###查看已经开放的端口 firewall...
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Node.js_的_Firewalld__界面化,基于_Node.js_适用于_个人服务器_和_NA_
09-17
Node.js的Firewalld界面化项目旨在为个人服务器提供一个图形化用户界面,使得用户能够更加直观和简单地进行防火墙配置。这个项目是基于Node.js开发的,Node.js是一种轻量级的、高性能的服务器端JavaScript运行环境,...
firewalld-filesystem-0.5.3-5.el7.noarch.rpm
11-30
离线安装包,亲测可用
Firewalld 防火墙
weixin_43332972的博客
01-27 1044
firewalld 防火墙
firewalld防火墙全面指南:从基础配置到高级策略
miracle_again的博客
06-18 1974
firewalld是CentOS 7及以上版本默认的防火墙管理工具,基于Netfilter框架,支持动态更新规则和区域(zone)管理,相比传统的iptables更适合企业级服务器环境。本文将详细解析firewalld的核心功能、配置方法及实战技巧,帮助你高效管理服务器安全。
Linux之Firewalld安装及使用
月生的静心苑
02-18 1万+
Firewalld提供了动态托管的防火墙,并支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4,IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了一个接口,以直接添加防火墙规则。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略
超新星系列|中国足协“2024奥运希望之星”:恒大足校王世龙
cstraveler的博客
03-31 8081
超新星系列|中国足协“2024奥运希望之星”:恒大足校王世龙
Linux Firewalld用法及案例
热门推荐
陈洋的博客
05-02 1万+
官方文档 RHEL FIREWALLD Firewalld概述 动态防火墙管理工具 定义区域与接口安全等级 运行时和永久配置项分离 两层结构 核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器 顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具 原理图 Fire...
Linux防火墙管理工具之firewalld
A soul tortured by desire
05-08 581
centos7默认的防火墙是firewalld,代替了之前的iptables firewalld服务引入了一个信任级别的概念来管理与之相关联的连接与接口。采用firewall-cmd(命令行)或firewall-config(xwindows/gui)来动态的管理kernel netfilter的临时或永久的接口规则,并实时生效而无需重启服务。 查看firewall版本:firewall-cm...
firewalld的配置
period000的博客
06-08 4686
一、防火墙 1.概述 动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.域 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务 internal(...
centos7 firewall 防火墙 命令
fujunsfzh的专栏
06-13 704
如果你的系统上没有安装使用命令安装 #yum install firewalld //安装firewalld 防火墙开启服务 # systemctl start firewalld.service关闭防火墙 # systemctl stop firewalld.service开机自动启动 # systemctl enable firewalld.service关闭开机制动启动 #
centos7版本firewalld防火墙的基本命令配置管理
chen_jianjian的专栏
04-08 535
centos7/redhat7已经默认使用firewalld作为防火墙,其使用的方式已经变化,基于iptables的防火墙默认 不启用,但是仍可以继续使用 注意:centos7/redhat7中有几种防火墙共存:firewalldiptables、ebtablesd、 默认使用的是firewalld作为防火墙,管理工具是firewalld、 Centos7的内核版本是3.10 uname ...
firewalld warning
最新发布
07-26
firewalld 是 Linux 系统中用于管理网络连接的安全工具,其提供基于区域(zone)的防火墙规则管理机制。在使用过程中,可能会出现一些警告信息,这些信息通常提示配置中的潜在问题或安全隐患。 ### 警告信息解释 一个常见的警告是 `WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release.`,这个警告表示 `AllowZoneDrifting` 选项被启用。该选项允许网络连接在不同区域之间漂移,这可能带来安全风险,因为它使得防火墙规则可能不会按预期应用[^4]。 另一个可能遇到的错误是在启动 firewalld 服务时出现的 DBus 异常,例如 `ERROR: Exception DBusException: org.freedesktop.DBus.Error.AccessDenied: Connection ":1.10" is not allowed to own the service "org.fedoraproject.FirewallD1" due to security policies in the configuration file`,这通常表明权限配置问题,即当前连接没有权限拥有指定的服务[^3]。 ### 解决方法 对于 `AllowZoneDrifting` 警告,可以通过编辑 firewalld 的配置文件来禁用此功能。具体操作是找到 firewalld 配置文件(通常位于 `/etc/firewalld/firewalld.conf`),并将 `AllowZoneDrifting=yes` 更改为 `AllowZoneDrifting=no`。 针对 DBus 异常导致 firewalld 启动失败的问题,可以尝试重新安装 firewalld 或者检查 SELinux 设置是否阻止了 firewalld 的正常运行。此外,确保系统上的所有软件包都是最新的,因为此类问题有时可能是由于已知的 bug 被修复后的版本缺失所致[^3]。 ### Ansible playbook 示例 如果使用 Ansible 来管理 firewalld 配置,可以参考以下 playbook 示例来启用特定端口: ```yaml - name: firewalld test hosts: webservers tasks: - name: firewall enabled firewalld: port: 20 permanent: true immediate: true state: enabled ``` 此 playbook 将针对名为 `webservers` 的主机列表执行任务,启用端口 20 并将其设置为立即生效以及永久生效[^1]。 ### 注意事项 确保在修改任何配置之前备份原始文件,并测试更改后的效果以确认问题已被解决。同时,保持系统更新可以帮助避免已知的问题和安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值