(企业服务篇)火墙服务firewalld

最新推荐文章于 2022-03-09 19:46:36 发布
原创 最新推荐文章于 2022-03-09 19:46:36 发布 · 289 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#firewalld

本文详细介绍Firewalld的安装、启动、配置方法,包括端口管理、服务添加、网络区域设置及直接规则操作,适合系统管理员和网络工程师学习。

Firewalld:

启用firewalld

yum install -y firewalld firewall-config -y下载firewalld 和firewalld-config(此文件是firewalld的图形接口)软件
systemctl start  firewalld开启firewalld软件
systemctl enable firewalld将firewalld设置成开机自启
systemctl disable firewalld关闭firewalld的开机自启
systemctl stop firewalld关闭火墙服务

本文只针对于firewalld的命令来进行firewalld的配置:iptables在下一篇博客中会详细描述。

端口添加删除服务命令:(selinux附加的内容)

semanage port -a -t http_port_t -p tcp 777   ##将777端口给http_port_t
semanage port -d -t http_port_t -p tcp 777   ##删除http_port_t的使用权
semanage port -l | grep http   ##查看http的端口信息
netstat -antlupe | grep httpd   ##查看软件正在用的端口

semanage port -l |grep http   ###显示http的端口信息
实验:将777给httpd用,修改阿帕奇的配置文件把,阿帕奇的端口设置成刚刚开启的端口,重启apache重启成功表示成功

1>

2>

3>

4>

5>

6>

注:上面的截图可以看见此时777端口已经加在了http服务下

 火墙的运行原理:

动态火墙后台程序firewalld提供一个动态管理的防火墙,用以支持网络“zeons”,以分配一个对网络及其相关链接和界面一定程度的信任。它具备对IPv4和ipv6防火墙设置的支持。它支持一个通向服务或者应用程序以直接增加防火墙规则的接口
  系统提供了图像化的配置工具firewall-config,system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld用户性或者非永久性运行时间的改变:它依次用iptables工具与执行数据筛选的内核中的Netfilter通信

网络区名称                                                                        默认配置
work(工作)用于工作区,仅接受ssh,mdns,ipp-client或dhcpv6-client 服务连接
drop(丢弃)任何接受的网络数据包都被丢弃,没有任何回复
internal(内部)用于内部网络,仅接受ssh,mdns,ipp-client,samba-client或dhcpv6-client 服务连接
external(外部)出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
trusted (信任)可以接受所有的网络连接
home(家庭) 用于家庭网络,仅接受ssh,mdns,ipp-client samba-client或dhcpv6-client 服务连接
dmz(非军事区)仅接受ssh服务连接
public(公共)在公共区域使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
block(限制)拒绝所有网络连接

使用命令行接口配置防火墙:

命令                           解释
firewall-cmd --state 显示火墙的运行状态
firewall-cmd --get-active-zones显示当前活动的区域
firewall-cmd --get-default-zone显示当前的默认域
firewall-cmd --get-zones查看firewalld的所有的域
firewall-cmd --zone=public --list-all显示public域的所有信息
firewall-cmd --get-services显示firewalld的所有服务
firewall-cmd --list-all-zones列出所有的域及其详细信息
firewall-cmd --set-default-zone=work将默认域设置成work域

1>firewall-cmd --state      

                        
2>firewall-cmd --get-active-zones


3>firewall-cmd --get-default-zone


4>firewall-cmd --get-zones


5>firewall-cmd --zone=public --list-all


6>firewall-cmd --get-services


7>firewall-cmd --list-all-zones


8>firewall-cmd --set-default-zone=dmz

命令:

firewall-cmd --zone=trusted --add-source=172.25.254.6  ###将172.25.254.6加入到信任域里

firewall-cmd --zone=work  --remove-interface=eth1    ###将网卡eth1从work域中删除

firewall-cmd --zone=trusted --add-interface=eth1   将网卡设备eth1加入到trusted域里面

firewall-cmd --add-service=dns      ###将dns服务加入到默认域中

通过上面的介绍我们已经能够知道火墙的运行机制了,但是在实际的生产环境中会遇到更加精确的产品要求,这就需要了解下面的知识:

Direct Rules  :

通过firewall-cmd 工具,可以使用 --direct选项在运行时间里增加或者移除链。如果不熟悉iptables,使用直接接口非常危险,因为您可能在无意间导致防火墙被入侵。直接端口模式适用于服务或程序,一边在运行时间内增加特定的防火墙规则。直接端口模式添加的规则优先应用

实验:端口的转发:

firewall-cmd --permanent --add-forward-port=port=22:proto=tcp:tport=22:toaddr=172.25.254.6        ####将访问本机的22端口的信息转发到ip为172.25.254.6的22端口上,此时在访问目标ssh 172.25.254.106的时候会自动连接到ip:172.25.254.6主机上。

实验1:

firewall-cmd --zone=trusted --add-source=172.25.254.6    ###将172.25.254.6加入到信任域里

此时当前服务端的主机的默认域是work域,并且work域里面没有允许httpd服务:

测试:在两套不同ip的主机上访问服务端的httpd:

主机1:ip:172.25.254.6:

主机2 ip :172.25.254.206访问结果:

 

firewalld的伪装:

实验:

客户端设置:

设置客户端ip是:1.1.1.206将本机的网关设置成1.1.1.106(服务器端的ip地址)

服务器端设置:

1.设置服务端ip是:1.1.1.106和172.25.254.106:

2.将服务端的火墙的伪装功能打开:

1>firewall-cmd --permanent --add-masquerade(注:前面的permanent指的是永久更改,需要重新加载firewall的配置文件才能生效)

2>firewall-cmd --reload(注:这个reload是重新读取firewalld的配置文件,也就是说临时设定的不会其作用)

3.将服务器端的内核路由功能打开:

vim /etc/sysctl.conf    

sysctl -p                ###重新加载内核路由策略

sysctl -a |grep ip_forward       ###查看内核路由功能

测试:

在客户端上ping 172.25.254.106:

自定义表
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT

此时主机172.25.254.6在连接172.25.254.106的22端口的时候会被接受


firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.6 -j ACCEPT

####将刚才设置的firewall的域的信息删除
###direct表示指定  表是filter中的INPUT第一行 -p 端口类型 --dport 端口22
-s 指定源, -j 表示的动作
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22! -s 172.25.254.6 -j ACCEPT
实验:
在服务端设置:将默认域的ssh服务去掉
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22! -s 172.25.254.6 -j ACCEPT  ###这句的命令是除了172.25.254.6连不上,剩下的都连的上。

实验截图:

172.25.254.6主机连接106主机的时候:

172.25.254.206主机连接106主机的时候:

动作有三种:
1.ACCEPT   2.DROP  3.REJECT
不同的动作对于ssh有不同的回应

DROP的时候目的主机会将所有发送到22端口的数据包都丢弃;(此时连接就没有反馈)

REJECT的时候目的主机会直接拒绝连接(连接请求有反馈)

 

 

halobios_
关注
【银河麒麟服务器系统】麒麟系统firewalld火墙详解与常见问题说明
小铭同学的博客,持续更新linux操作系统相关技能实践
06-19 1205
firewalld守护进程。Netfilter内核模块。
Linux系统的firewall(配置火墙相关参数,firewalld“三表五链“、端口转发、地址伪装)
monster_warm的博客
08-19 1763
firewalld 概述 动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones“以分配对一个网络及其相关链接和界面一定程序的新人。具备对IPV4和IPV6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 配置防火墙相关参数 使用图形方式进行添加 firewall-config ...
Linux火墙在中小型企业应用
07-30
Linux火墙在中小型企业应用论文。
企业级Firewalld火墙】【企业级火墙配置】【fierwalld 操作案例】
mingqing的博客
10-05 1684
文章目录企业级Firewalld火墙**1、区域:**命令详解**firewalld配置使用**更改默认区域向public区域添加服务企业级火墙配置iptables -Ffierwalld 操作案例 企业级Firewalld火墙 rhel 7:firewall-cmd工具,firewalld服务 1、区域: firewalld将网卡对应到不同的区域(zone),通过不同的zone定义了不同的安全等级 命令详解** firewalld配置使用** 查看默认区域: 更改默认区域 向public区域
firewall-cmd --direct
11-24 2832
直接选项 直接选项可以更直接地访问防火墙。这些选项要求用户知道基本的iptables概念,即table(filter / mangle / nat / ...),chain(INPUT / OUTPUT / FORWARD / ...),命令(-A / -D / -I / .. 。),参数(-p / -s / -d / -j / ...)和目标(ACCEPT / DROP / REJECT / ...)。直接选项应该仅作为最后的手段,当它不可能使用时诸如--add-service=‘service’或--
nfs
wcczb的博客
06-09 427
nfs [root@localhost ~]# systemctl start firewalld.service 1. 安装 yum install nfs-utily systemctl start nfs-server.service     ##开启服务 systemctl enable nfs-server.service    ##开机自动开启 2. fire
什么是firewalld,简介、策略及规则(Centos7防火墙
礁之的博客
12-19 7743
火墙策略与规则一、linux火墙简介- 防火墙技术种类:- 包过滤防火墙概述:- 包过滤的工作层次:二、firewalld简介- 概述:- 特点:- 工作原理(数据处理流程):- 网络区域: 一、linux火墙简介 - 防火墙技术种类: (1)包过滤防火墙 packet filtering (2)应用代理防火墙 application proxy (3)状态检测防火墙 stateful inspection (firewalld是包过滤防火墙,所以这里只讲包过滤防火墙) - 包过滤防火墙概述: (1
linux环境搭建-linux火墙、端口配置
weixin_44923168的博客
03-09 375
linux火墙操作 #启动防火墙 systemctl start firewalld #禁用防火墙 systemctl stop firewalld #设置开机启动 systemctl enable firewalld #停止并禁用开机启动 systemctl disable firewalld
linux下的火墙管理 (iptables
qq_42564122的博客
04-02 485
文章目录火墙介绍结构火墙管理工具切换iptables 的使用 火墙介绍 数据访问流程: 以apache为例:当外部数据想要访问apache时,首先要通过内核的80端口进行访问内核,内核同意访问,外部数据才能访问到apache上的数据。 火墙火墙为内核上的插件,其功能为对来访的数据包进行过滤筛选(起到是否同意访问的功能)。 netfilter: 为了保证数据交换的安全性,内核上开启了一个名为ne...
精选资源
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
精选资源
firewalld配置网关服务
01-09
[root@ c7-41 ~] systemctl start firewalld.service 2,插入ip转发,并生效 [root@ c7-41 ~] vim /etc/sysctl.conf [root@ c7-41 ~] cat /etc/sysctl.conf |grep -v '^#' net.ipv4.ip_forward=1 [root@ c7-41 ~] ...
Linux运维】CentOS服务器环境搭建与安全加固:基于LVM与firewalld的实战配置及企业级应用部署方案
11-03
重点讲解了最小化安装、LVM磁盘管理、防火墙精细化配置和服务容器化等关键技术,并通过LVM动态扩容和firewalld火墙规则配置的代码实例,展示了实际操作步骤与原理解析。同时提出了分层架构设计思想,强调安全性与...
firewalld火墙策略
xrt0211的博客
03-21 642
firewalld火墙策略 1.什么是防火墙? 防火墙也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 防火墙是系统的第一道防线,其作用是防止非法用户的进入。 主要作用:保障内网的安全性、保证内外网之间数据的流通性。 所谓防火墙,指的是一个由软件和硬件设备组...
fedora 的 firewall 命令
kuaile_sky的专栏
01-22 2568
原文地址:http://fedoraproject.org/wiki/FirewallD/zh-cn 1 使用 FirewallD 构建动态防火墙 1.1 “守护进程”1.2 静态防火墙(system-config-firewall/lokkit)1.3 什么是区域? 1.3.1 预定义的服务1.3.2 端口和协议1.3.3 ICMP 阻塞1.3.4 伪装1.3.
Linux firewall-cmd 命令详解
热门推荐
三生万物
09-26 6万+
宽为限 紧用功 功夫到 滞塞通 firewall-cmd Linux上新用的防火墙软件,跟iptables差不多的工具。补充说明firewall-cmd 是 firewalld的字符界面管理工具,firewalld是centos7的一大特性,最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld跟iptables比起来至少有两大好处:firewalld
多源动态最优潮流的分布鲁棒优化方法(IEEE118节点)(Matlab代码实现)
01-01
多源动态最优潮流的分布鲁棒优化方法(IEEE118节点)(Matlab代码实现)内容概要:本文介绍了基于Matlab实现的多源动态最优潮流的分布鲁棒优化方法,适用于IEEE118节点电力系统。该方法旨在应对电力系统中源荷不确定性带来的挑战,通过构建分布鲁棒优化模型,有效处理多源输入下的动态最优潮流问题,提升系统运行的安全性和经济性。文中详细阐述了模型的数学 formulation、求解算法及仿真验证过程,并提供了完整的Matlab代码实现,便于读者复现与应用。该研究属于电力系统优化调度领域的高水平技术复现,具有较强的工程实用价值。; 适合人群:具备电力系统基础知识和Matlab编程能力的研究生、科研人员及从事电力系统优化调度的工程技术人员,尤其适合致力于智能电网、鲁棒优化、能源调度等领域研究的专业人士。; 使用场景及目标:①用于电力系统多源环境下动态最优潮流的建模与求解;②支撑含可再生能源接入的电网调度决策;③作为鲁棒优化方法在实际电力系统中应用的教学与科研案例;④为IEEE118节点系统的仿真研究提供可复现的技术支持。; 阅读建议:建议结合提供的Matlab代码逐模块分析,重点关注不确定变量的分布鲁棒建模、目标函数构造及求解器调用方式。读者应具备一定的凸优化和电力系统分析基础,推荐配合YALMIP工具包与主流求解器(如CPLEX、Gurobi)进行调试与扩展实验。
云计算电子教材【物联网与云计算】基于传感器网络与RFID技术的智慧城市应用:云计算支撑下的物联网体系架构与产业融合发展
01-01
内容概要:本文系统介绍了物联网与云计算的基本概念、发展历程、技术架构、应用场景及产业生态。文章阐述了物联网作为未来互联网的重要组成部分,通过RFID、传感器网络、M2M通信等技术实现物理世界与虚拟世界的深度融合,并展示了其在智能交通、医疗保健、能源管理、环境监测等多个领域的实际应用案例。同时,文章强调云计算作为物联网的支撑平台,能够有效应对海量数据处理、资源弹性调度和绿色节能等挑战,推动物联网规模化发展。文中还详细分析了物联网的体系结构、标准化进展(如IEEE 1888、ITU-T、ISO/IEC等)、关键技术(中间件、QoS、路由协议)以及中国运营商在M2M业务中的实践。; 适合人群:从事物联网、云计算、通信网络及相关信息技术领域的研究人员、工程师、高校师生以及政策制定者。; 使用场景及目标:①了解物联网与云计算的技术融合路径及其在各行业的落地模式;②掌握物联网体系结构、标准协议与关键技术实现;③为智慧城市、工业互联网、智能物流等应用提供技术参考与方案设计依据;④指导企业和政府在物联网战略布局中的技术选型与生态构建。; 阅读建议:本文内容详实、覆盖面广,建议结合具体应用场景深入研读,关注技术标准与产业协同发展趋势,同时结合云计算平台实践,理解其对物联网数据处理与服务能力的支撑作用。
新的一年的第一份代码~新年祝福~加油~~
01-01
看到一个弹窗代码想试试,结果开会员才允许复制(;´д`)ゞ 得,那我自己拿AI编了类似的,不过美观方面确实和那收费还有很大差距。 o(* ̄▽ ̄*)
基于Java的停车场管理系统【附源码+数据库+万字论文+PPT+包部署+录制讲解视频】.zip
最新发布
01-01
标题基于Java的停车场管理系统设计与实现研究AI更换标题第1章引言介绍停车场管理系统研究背景、意义,分析国内外现状,阐述论文方法与创新点。1.1研究背景与意义分析传统停车场管理问题,说明基于Java系统开发的重要性。1.2国内外研究现状综述国内外停车场管理系统的发展现状及技术特点。1.3研究方法以及创新点介绍本文采用的研究方法以及系统开发中的创新点。第2章相关理论总结Java技术及停车场管理相关理论,为系统开发奠定基础。2.1Java编程语言特性阐述Java的面向对象、跨平台等特性及其在系统开发中的应用。2.2数据库管理理论介绍数据库设计原则、SQL语言及在系统中的数据存储与管理。2.3软件工程理论说明软件开发生命周期、设计模式在系统开发中的运用。第3章基于Java的停车场管理系统设计详细介绍系统的整体架构、功能模块及数据库设计方案。3.1系统架构设计阐述系统的层次结构、模块划分及模块间交互方式。3.2功能模块设计介绍车辆进出管理、车位管理、计费管理等核心功能模块设计。3.3数据库设计给出数据库表结构、字段设计及数据关系图。第4章系统实现与测试系统实现过程,包括开发环境、关键代码及测试方法。4.1开发环境与工具介绍系统开发所使用的Java开发环境、数据库管理系统等工具。4.2关键代码实现展示系统核心功能的部分关键代码及实现逻辑。4.3系统测试方法与结果阐述系统测试方法,包括单元测试、集成测试等,并展示测试结果。第5章研究结果与分析呈现系统运行效果,分析系统性能、稳定性及用户满意度。5.1系统运行效果展示通过截图或视频展示系统实际操作流程及界面效果。5.2系统性能分析从响应时间、吞吐量等指标分析系统性能。5.3用户满意度调查通过问卷调查等方式收集用户反馈,分析用户满意度。第6章结论与展望总结研究成果,提出系统改进方向及未来发展趋势。6.1研究结论概括基于Java的停车场管理
firewalld火墙的使用教程
03-08
### 关于 Firewalld 的使用教程 #### 安装 Firewalld 对于基于 Red Hat 的系统,如 CentOS 或 RHEL,在安装 `firewalld` 可以通过包管理器完成。命令如下所示: ```bash [root@bogon ~]# yum install firewalld firewall-config [^1] ``` 这会下载并安装 `firewalld` 和图形化配置工具。 #### 启动与启用服务 为了使 `firewalld` 能够随操作系统启动而自动运行,需执行以下指令来开启此服务: ```bash systemctl start firewalld.service # 开启服务 systemctl enable firewalld.service # 设置开机自启 ``` #### 基本操作命令 - **查看状态** 要检查当前防火墙的状态以及活动区域的信息,可输入: ```bash firewall-cmd --state # 查看是否正在运行 firewall-cmd --get-active-zones # 获取激活区详情 ``` - **设置默认区域** 可以通过下面的命令更改系统的默认区域(例如 public, home, work 等),并将之设为永久生效: ```bash firewall-cmd --set-default-zone=public [--permanent] [^2] ``` 注意:带有 `[--permanent]` 参数表示修改将被保存至重启后仍然有效;如果不加该参数,则仅临时应用直到下一次重新加载规则集或重启机器为止。 #### 添加/删除端口和服务 当需要开放特定的服务或者端口号时,可以利用这些命令来进行调整: ```bash firewall-cmd --zone=public --add-port=80/tcp [--permanent] # 打开端口80 HTTP协议 firewall-cmd --zone=public --remove-service=http [--permanent] # 移除HTTP服务支持 ``` 每次做出变更之后记得刷新规则使其立即生效: ```bash firewall-cmd --reload # 刷新规则库 ``` #### 处理 IP 地址和接口分配 还可以针对不同的IP地址范围定义访问权限,或是指定某个网卡所属的安全域: ```bash firewall-cmd --zone=trusted --add-source=192.168.1.0/24 # 将整个C类子网加入信任列表 firewall-cmd --zone=external --change-interface=enp0s3 # 更改ethernet设备enp0s3到外部区域 ``` 以上只是对 `firewalld` 功能的一个简单介绍[^2]。更深入的学习建议查阅官方文档或其他权威资料获取完整的理解和实践指导。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值