firewalld与iptables

最新推荐文章于 2025-11-06 17:22:50 发布
转载 最新推荐文章于 2025-11-06 17:22:50 发布 · 1.1k 阅读 · 1

本文介绍CentOS7中firewalld的基本配置方法,包括如何配置区域(zone)和服务(service),以及如何添加IP地址和网络接口到特定区域等。firewalld相比iptables更加简单易用。


从CentOS7(RHEL7)开始,官方的标准防火墙设置软件从iptables变更为firewalld,相信不少习惯使用iptables的人会感到十分不习惯,但实际上firewalld更为简单易用。 
大致用法就是:把可信任的IP地址添加到“trusted”区域,把不可信任的IP地址添加到“block”区域,把要公开的网络服务添加到“public”区域。

 

配置方式

firewalld的配置文件一般存放在下面两个目录:

  1. /etc/firewalld/
  2. /usr/lib/firewalld/

当需要一个文件时firewalld会优先使用第一个目录的。

  
这两个配置目录的结构很简单,主要是两个文件和三个目录:

  1. 文件: 
    • firewalld.conf:主配置文件(只有5个配置项) 
      • ①DefaultZone:默认使用的zone;
      • ②MinimalMark:使用标记的最小值;
      • ③CleanuupOnExit:退出后是否清除防火墙规则;
      • ④Lockdown:是否限制别的程序通过D-BUS接口直接操作firewalld;
      • ⑤IPv6_rpfilter:判断所接受到的包是否是伪造的
    • lockdown-whitelist.xml:当Lockdown设置为yes时,规定哪些程序可以对firewalld进行操作
    • direct.xml:直接使用类似iptables的语法来进行规则的增删
  2. 目录: 
    • zones:保存zone配置文件
    • services:保存service配置文件
    • icmptypes:保存和icmp类型相关的配置文件

 

什么是区域zone

所谓的区域就是一个信赖等级,某一等级下对应有一套规则集。划分方法包括:网络接口、IP地址、端口号等等。一般情况下,会有如下的这些默认区域:

  1. drop:丢弃所有进入的数据包
  2. block:拒绝所有进入的数据包
  3. public:只接受部分选定的数据包
  4. external:应用在NAT设定时的对外网络
  5. dmz:非军事区
  6. work:使用在公司环境
  7. home:使用在家庭环境
  8. internal:应用在NAT设定时的对内网络
  9. trusted:接受所有的数据包

比如,public区域由public.xml文件来配置:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
</zone>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

当然,你也可以定义自己的区域,只要在zones目录下新建一个同名的xml文件即可。

 

什么是服务service

iptables时代习惯使用端口号来匹配规则,但是如果某一个服务的端口号改变了,那就要同时更改iptables的规则,十分不方便,同时也不方便阅读理解。

service配置文件的命名为<服务名>.xml,比如ssh的配置文件是ssh.xml。


<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

 

配置实例

 

1.开启firewalld

# systemctl enable firewalld
# systemctl start firewalld
  • 1
  • 2

 

2.往trusted区域中注册IP地址

# firewall-cmd --zone=trusted --add-source=xxx.xxx.xxx.xxx
  • 1

 

3.往public区域中注册网络接口

# firewall-cmd --zone=public --add-interface=eth0
  • 1

 

4.往public区域中注册新服务

# firewall-cmd --zone=public --add-service=http
# firewall-cmd --zone=public --add-service=https
  • 1
  • 2

 

5.删除public区域中不需要的服务

# firewall-cmd --zone=public --remove-service=dhcpv6-client
# firewall-cmd --zone=public --remove-service=ssh
  • 1
  • 2

 

6.查看各个区域的配置情况

# firewall-cmd --get-active-zones
public
  interfaces: eth0
trusted
  sources: xxx.xxx.xxx.xxx
  • 1
  • 2
  • 3
  • 4
  • 5

 

7.查看某个区域的服务

# firewall-cmd --zone=public --list-services
# firewall-cmd --zone=trusted --list-services
CodingSir
关注
Firewalld详解
tallercc的博客
11-08 3637
firewall概述 动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接界面一定程度的信任。它具备对 IP v4 IP v6 防火墙 设置的支持。它支持以太网桥,并有分离运行时间永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具firewal
防火墙Firewalldiptables
2201_75444658的博客
08-01 1042
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
【Linux防火墙】firewalld还是 iptables的选择
最新发布
weixin_51910506的博客
11-06 271
Linux防火墙工具选择建议:firewalld适合新手简单配置(如端口开放、IP限制),提供动态规则管理区域配置;iptables则适用于复杂场景(如高级NAT、自定义链),灵活性更高但学习成本大。现代系统默认使用firewalld,而旧系统或特殊需求可能仍需iptables。注意避免两者混用,长期趋势是firewalld适配新一代nftables框架。根据实际需求复杂度选择工具,简单操作优先firewalld,高级功能选用iptables
【Linux安全管理】Firewalld详解
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-16 5661
1、iptables不同 2、配置防火墙 3、firewalld区域概念 4、filewalld 配置生效 5、firewalld服务 firewalld 端口映射 富规则 rich-rule 绑定源地址的区域规则> 网卡绑定的区域规则> 默认区域规则。
iptablesfirewalld的应用
weixin_58701060的博客
08-01 368
iptables: 搭建web服务,设置任何人能够通过80端口访问。 禁止所有人ssh远程登录该服务器 禁止某个主机地址ssh远程登录该服务器,允许该主机访问服务器的web服务。服务器地址为172.24.8.128 firewalld 禁止某个ip地址进行ssh访问 配置端口转发(在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口) 此规则将本机80端口转发到192.168.1.1的8080端口上...
浅析FirewalldIptables
lilygg的博客
06-08 1万+
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过NetfilterTCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptables 关于两者的不同介绍如下: firewalld自身并不具备防火墙的功能,而是iptables一样需要通过内核的netfilter...
防火墙(firewalldiptables
qq_16021247的博客
04-13 310
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过NetfilterTCPwrappers两个机制来管理的。 1)Netfilter:数据包过滤机制 2)TCP Wrappers:程序管理机制 关于数据包过滤机制有两个软件:firewalldiptablesiptables通过控制端口来控制服务,而firewalld则是通过控制协议来控制端口 Iptablesfirewalld只能...
Firewalldiptables防火墙的区别
量子黑洞、的博客
08-05 3163
Firewalldiptables防火墙简述: Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤限制,属于典型的包过滤防火墙(或称为网络层防火墙)。linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能极高的效率,也因此获得广泛的应用。 相同点: firewalld iptables 防火墙都属于典型的包过滤防火墙或称之为网络层防火墙, firewalld iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,
CentOS 7之FirewallDiptables的区别
weixin_33935777的博客
06-05 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
26_ 防火墙工具:Firewalld iptables 详解
Hui`s的博客
10-30 1226
Firewalld是一个动态防火墙管理工具,它提供了一个用户友好的界面来管理防火墙规则。它使用iptables作为后端来处理实际的规则,但提供了更高级的功能,如区域管理、服务端口的动态添加等。iptables是一个功能强大的防火墙工具,它允许管理员通过定义一系列的规则来控制进出Linux系统的数据包。这些规则可以基于数据包的源地址、目的地址、端口号、协议类型等条件来设置。
防火墙工具Firewalld iptables轻松搞定
知识库总结、分享
05-29 1155
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持iptables兼容,可以根据实际需求选择使用。ufwfirewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
linux firewalldiptables的区别
06-13 1624
firewalld iptables的比较: 1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话连接。而iptables,在修改了规则后必须得全部刷新才可以生效; 2,firewalld使用区域服务而不是链式规则; 3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; 4,firewalld自身...
同时开启firewalliptables
NetRookieX的博客
02-19 3604
使用向导 With the iptables service, every single change means flushing all the old rules and reading all the new rules from /etc/sysconfig/iptables, while with firewalld there is no recreating of all the...
防火墙(firewalldiptables
weixin_34362991的博客
02-18 359
防火墙: 保证数据的安全性是继数据可用性之后的最为重要的一项工作 防火墙作为公网内网之间的保护屏障 防火墙种类: 硬件防火墙:网关服务器 软件防火墙:装在操作系统中的软件 防火墙管理工具 主要功能:依据策略对穿越防火墙的自身流量进行过滤。 在centosRHEL系统中: firewalld:7版本以上(centos7.x,RHEL7.x) iptables:6版本(centos6.x,...
firewalld 详解
Suger999的博客
04-25 1202
firewalld通过动态管理、区域划分预定义服务简化了防火墙配置,适合需要灵活调整规则的场景(如服务器、多网络环境)。掌握核心概念常用命令后,可高效保障系统安全,避免网络攻击。👉提示: 使用或获取更多参数细节。
Firewalld 详解
大漠知秋的加油站
04-18 4918
文章目录Firewalld好处详解zone网络请求如何判断使用哪个 zone 的servicerich langulage rule理解多规则命令常用命令收集关于 zone配置文件关于 source关于 interface(网卡)关于 port关于服务配置文件关于伪装 ip关于转发关于 rich language rule其他配置特殊说明 Firewalld   Linux 上新的防火墙软件,原...
firewalld详解
king的博客
08-04 1047
firewalld详解一:firewalld概述二:firewalldiptables的关系三:firewalld网络区域3.1:区域介绍3.2:firewalld数据处理流程四:firewalld防火墙的配置方法4.1:运行时配置4.2:永久配置4.3:firewall-config图形工具 一:firewalld概述 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 支持IPV4、IPV6防火墙设置以及以太网桥。 支持服务或应用程序直接添加防火墙规则接口。 拥有两种配置模式:运行时配
Firewalld 防火墙详解
热门推荐
shenyuanhaojie的博客
09-19 4万+
文章目录1. firewalld 防火墙简介1.1 firewalld 是什么1.2 什么是动态防火墙1.3 firewalld iptables 之间的关系 1. firewalld 防火墙简介 1.1 firewalld 是什么 firewalld 提供了支持 网络 / 防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。 1.2 什么是动态防火墙   我们首先需要弄明白的第一个问题是到底什么是动态防火墙,为了解答这个问题,我们先来回忆一下 iptables service 管
firewalldiptables的区别
07-02
Firewalldiptables都是Linux系统中用于网络防火墙管理的工具,它们各有特点: 1. **firewalld**(firewallD): - **模块化设计**: Firewalld是一个现代、用户友好的防火墙服务,采用模块化的设计,支持策略单元(Zones),可以根据地理位置或应用类型定义不同的规则集。 - **自动配置**: 它能自动适应操作系统的变化,如网络接口添加或删除等,并提供动态规则调整功能。 - **图形界面**: 包括命令行工具GNOME或KDE桌面环境中的图形界面,方便用户直观地管理查看防火墙状态。 - **区隔服务**: 它更注重区分内外部网络(Zone)、服务端口,提供细粒度的控制。 2. **iptables (Iptables-NAT)**: - **传统命令行工具**: Iptables是从早期Linux防火墙包iptables演变而来,主要通过一系列规则链(Chains)匹配条件来进行规则设置。 - **静态配置**: 需手动编辑规则文件,不自动适应系统变化,需要定期更新规则。 - **命令行密集型**: 主要依赖于命令行操作,没有图形用户界面,但提供了丰富的灵活度。 - **NAT支持**: 提供了网络地址转换(Network Address Translation, NAT)的能力,这对于连接到互联网的设备很重要。 总结来说,firewalld倾向于简化管理,适合对网络策略不太熟悉或希望自动化的用户;而iptables对于需要高度定制网络策略的高级用户,或者对系统底层有更多的了解的人来说,可能更为合适。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值