firewalld火墙服务

最新推荐文章于 2023-10-09 09:56:03 发布
最新推荐文章于 2023-10-09 09:56:03 发布
阅读量249 收藏 1
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lin_made/article/details/80587749
本文介绍了Firewalld防火墙的基础知识,包括其工作原理、动态管理特性以及如何通过图形界面和命令行进行配置。涵盖了区域配置、端口管理、服务管理和富规则设定等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.Firewalld概述

动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones”,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对IPv4和IPv6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口
系统提供了图像化的配置工具firewall-config、system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld永久性或非永久性运行时间的改变:它依次用iptables工具与执行数据包筛选的内核中的Netfilter通信

2.Firewalld域

这里写图片描述

3.启用火墙

[root@client ~]# yum install firewalld
[root@client ~]# firewall-config   #打开图形管理工具
[root@client ~]# systemctl start firewalld
[root@client ~]# systemctl enable firewalld
[root@client ~]# systemctl stop iptables
[root@client ~]# systemctl disable iptables

图形管理工具具体功能:
1.选择运行时(Runtime)模式或永久(Permanent)模式的配置。
2.可选的策略集合区域列表。
3.常用的系统服务列表。
4.当前正在使用的区域。
5.管理当前被选中区域中的服务。
6.管理当前被选中区域中的端口。
7.开启或关闭 SNAT(源地址转换协议)技术。
8.设置端口转发策略。
9.控制请求 icmp 服务的流量。
10.管理防火墙的富规则。
11.管理网卡设备。
12.被选中区域的服务,若勾选了相应服务前面的复选框,则表示允许与之相关
的流量。
13.firewall-config 工具的运行状态

这里写图片描述
这里写图片描述
这里写图片描述

4.用命令行接口配置防火墙

firewall-cmd --state                     #查看火墙状态
firewall-cmd --get-active-zones          #显示当前正在使用的区域
firewall-cmd --get-default-zone          #查询默认的区域名称
firewall-cmd --get-zones                 #显示可用的区域
firewall-cmd --zone=public --list-all    #列出public域中所有的信息   
firewall-cmd --get-services              #显示预先定义的服务
firewall-cmd --list-all-zones           #显示所有区域的网卡配置参数、资源、端口以及服务等信息
firewall-cmd --set-default-zone=trusted #设置默认的区域
firewall-cmd --add-source=172.25.254.155 --zone=trusted    #将源自此 IP 或子网的流量导向指定的区域
firewall-cmd --remove-source=172.25.254.155 --zone=trusted #不再将源自此 IP 或子网的流量导向某个指定区域
firewall-cmd  --list-interfaces                      #查看接口        
firewall-cmd  --get-zone-of-interface=eth0           #查看接口所在区域
firewall-cmd  --change-interface=eth0 --zone=trusted #将某个网卡与区域进行关联
firewall-cmd  --remove-interface=eth0 --zone=trusted #将某个网卡与区域解除关联
firewall-cmd  --add-interface=eth0 --zone=public     #将源自该网卡的所有流量都导向某个指定区域
firewall-cmd --add-port=8080/tcp --zone=public       #把在firewalld服务中访问8080端口的流量策略设置为允许

以上修改只是当前生效,在火墙重启之后就会失效,如果想让配置策略一直存在,就需要使用永久(Permanent)模式了,方法就是在用 firewall-cmd 命令正常设置防火墙策略时添加–permanent 参数,这样配置的防火墙策略就可以永久生效了。但是,永久生效模式有一个“不近人情”的特点,就是使用它设置的策略只有在系统重启之后才能自动生效。如果想让配置的策略立即生效,需要手动执行 firewall-cmd –reload 命令。如:

firewall-cmd  --permanent --change-interface=eth0 --zone=trusted #永久更改网卡的区域
firewall-cmd --reload           #在不改变状态的情况下重新加载火墙
firewall-cmd --complete-reload  #完全加载(会中断当前的操作)

这里写图片描述
这里写图片描述
………..截图下面省略…………….

修改firewalld域
这里写图片描述
测试:
这里写图片描述
这里写图片描述
测试:
这里写图片描述
把172.25.254.155访问时所使用的区域改为trusted
这里写图片描述
测试:
这里写图片描述
临时更改,火墙重启之后失效
这里写图片描述
永久修改:
这里写图片描述

5.direct rules

firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT #-p表示协议,-dport表示目的端口,-s主机来源,-j表示动作
如:
[root@client ~]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.155 -j ACCEPT

drop   丢弃,不做回应
reject  拒绝
accept 接受

这里写图片描述
浏览器测试
这里写图片描述

6.端口转发:

[root@localhost ~]# firewall-cmd  --permanent --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.252
success
[root@localhost ~]# firewall-cmd --permanent --add-masquerade
success
[root@localhost ~]# firewall-cmd --reload 
success

这里写图片描述
这里写图片描述

7.地址伪装

在路由器先添加一个网卡,再执行下面命令

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
BOOTPROTO=none
IPADDR=172.25.0.152
PREFIX=24
[root@localhost ~]# vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p
在测试的主机上
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0
IPADDR=172.25.0.252
GATEWAY=172.25.0.152
[root@localhost ~]# ping 172.25.254.155

在路由主机
这里写图片描述
/etc/sysconfig/network-scripts/ifcfg-eth1内容:
这里写图片描述
内核设置
这里写图片描述
在测试主机
这里写图片描述
/etc/sysconfig/network-scripts/ifcfg-eth0内容:
这里写图片描述
测试:
这里写图片描述

lin_made
关注
火墙Firewalld
nnn717的博客
05-12 238
文章目录1 Firewalld概述2 Firewalld与iptables的关系3 Firewalld火墙区域4 Firewalld网络服务5Firewalld配置方法5.1图形化5.2 Firewall-cmd命令 1 Firewalld概述 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 工作在网络层 支持IPv4、IPv6火墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式:运行时配置、永久配置 2 Firewalld与iptables的关系 Fire
firewalld火墙策略
xrt0211的博客
03-21 608
firewalld火墙策略 1.什么是防火墙? 防火墙也称防护墙,是由Check Point创立者Gil Shwed1993年发明并引入国际互联网。 防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。 防火墙是系统的第一道防线,其作用是防止非法用户的进入。 主要作用:保障内网的安全性、保证内外网之间数据的流通性。 所谓防火墙,指的是一个由软件和硬件设备组...
5分钟理解Centos7火墙firewalld
weixin_30628077的博客
01-22 449
版权声明:本内容为原创内容,转载请声明出处。 原文地址:http://www.excelib.com/article/287/show firewalld简介 Centos7中默认将原来的防火墙iptables升级为了firewalldfirewalld跟iptables比起来至少有两大好处: 1firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须...
firewalld 详解
YFH优快云的博客
10-09 1220
firewalld详解
什么是firewalld,简介、策略及规则(Centos7火墙
礁之的博客
12-19 7638
火墙策略与规则一、linux防火墙简介-火墙技术种类:- 包过滤防火墙概述:- 包过滤的工作层次:二、firewalld简介- 概述:- 特点:- 工作原理(数据处理流程):- 网络区域: 一、linux防火墙简介 -火墙技术种类: (1)包过滤防火墙 packet filtering (2)应用代理防火墙 application proxy (3)状态检测防火墙 stateful inspection (firewalld是包过滤防火墙,所以这里只讲包过滤防火墙- 包过滤防火墙概述: (1
iptables防火墙firewalld火墙
qq_32812063的博客
06-08 1258
火墙
firewalld火墙部署
dreamer_xixixi的博客
06-06 539
1.Firewalld 概述   动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones”,以配对一个网络即器相关链接和界面一定程度的信任。它具备对ipv4和ipv6火墙设置的支持。它支持以太网桥,并有分离运行时间和用机具性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口    系统提供了图像化的配置工具firewall-config,sys...
iptables+firewalld火墙策略优化
tst8023ryq的博客
12-14 519
iptables+firewalld火墙策略优化1.火墙介绍2.火墙管理工具切换3. iptables 的使用4.火墙默认策略firewalld1 firewalld的开启2.关于firewalld的域3.关于firewalld的设定原理及数据存储4. firewalld的管理命令5. firewalld的高级规则6.firewalld中的NAT 1.火墙介绍 2.火墙管理工具切换 3. iptables 的使用 4.火墙默认策略 firewalld 1 firewalld的开启 2.关于firewalld
linux系统firewalld火墙优化策略
wwy0324的博客
06-08 2799
[root@client ~]# yum search iptablesLoaded plugins: langpacks================================== N/S matched: iptables ===================================iptables-devel.i686 : Development package for i...
基于linux的FIREWALLD火墙管理(部分)
xbw_linux123的博客
06-06 219
Firewalld 概述 1.动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙 , 用以支持网络 “ zones” , 以分配对一个网络及其相关链接 和界面一定程度的信任。它具备对 IP v4 和 IP v6火墙设 置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选 择。它还具备一个通向服务或者应用程序以直接增加防火墙规则 的接口 系统提供了图像化的配置工具 f...
Linux中的firewalld火墙
even160941的博客
06-05 1534
Firewalld 概述 动态防火墙后台程序 firewalld 提供了一个动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IPv4 和 IPv6火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序...
Iptables(2) - iptables命令的基本用法
weixin_33701564的博客
07-16 629
一、iptables命令 iptables是一个规则管理工具. 具有添加、修改、删除和显示等功能. 规则和链都有计数器: pkts: 由规则或链所匹配到的报文的个数 bytes: 由规则或链匹配到的所有报文大小之和 1.1 用法 用法: $ iptables [-t table] SUBCOMMAND CHAIN CERTERIA -j TARGET -t table: filter na...
Linux学习-iptables操作
丢爸
04-25 398
iptables操作事例 #获取filter表中的规则链信息 [root@nginx02 ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPU
linux默认防火墙软件,linux下防火墙的管理工具firewall-cmd
weixin_36083698的博客
05-04 590
关于firewalld作为内核的管理软件firewall-cmd,通过使用这个软件来间接管理linux内核的开启与关闭等等,而firewall-cmd软件也本身支持firewall-cmd(命令)firewall-config(图形管理工具)两种管理模式来管理kerne lnetfilte。配置文件:/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件里。Fir...
Linux火墙策略firewalld
a10742864的博客
12-05 818
##firewalld## #1.zone //如果要拒绝,就要用drop,block遇到对方一直访问,会占用过多系统资源 #2.火墙基本策略参数 #3.火墙环境搭建 1)firewall-cmd --get-zones获取所有可选择区 firewall-cmd --list-all查看默认区 //修改域不需要重启服务,即改即生效,并且是永久的 2)客户端访
Linux学习整理-网络防火墙firewalld
weixin_45776100的博客
02-23 1286
firewall的知识点
Ansys.2025.R2.Products.Win64-SSQ,电子部分也集成到一起了,25版本就没分开,不知道其它更新了什么,不好下载就下载到雷盘再取回
07-26
Ansys 电子加结构和流体
langchain4j-ollama-spring-boot-starter-1.0.0-beta4.jar中文文档.zip
07-26
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
【人工智能竞赛】Dify Hackathon创意赛:AI技术与多元领域创新应用的深度探索与实践Dify Hackathon
最新发布
07-26
内容概要:本文介绍了Dify Hackathon创意赛,探讨了在AI浪潮下如何通过创新和实践推动技术进步。Dify平台作为大模型应用开发平台,融合了Backend as Service与LLMOps理念,支持多模态模型和可视化Prompt设计,降低了AI应用开发门槛。Hackathon模式鼓励跨领域合作和快速迭代,参赛项目涵盖知识库、金融、健康、娱乐等多个领域。亮点项目包括“AI迪生:猫咪云养游戏”,通过AI agent提升云养宠体验;“社交骇客:AI时代的Facebook”,利用AI匹配志同道合的好友;“AI康复:AI口语康复”,帮助听障群体进行个性化口语训练;“ReadKnown知了阅读”,作为个人知识助手提升阅读效率。评委强调了技术与创意的平衡,以及项目市场和社会价值的重要性。开发者们对Dify平台的高度评价,展示了其在AI应用开发中的强大支持作用。 适合人群:对AI技术感兴趣的研发人员、创业者、产品经理、设计师等。 使用场景及目标:①了解AI技术在不同领域的应用场景和潜力;②学习如何利用Dify平台快速开发AI应用;③探索AI创新项目的市场和社会价值。 其他说明:Dify Hackathon创意赛不仅展示了AI技术的广泛应用,还强调了跨领域合作和快速迭代的重要性,为未来的AI应用开发提供了宝贵经验和启示。
firewalld火墙的使用教程
03-08
### 关于 Firewalld 的使用教程 #### 安装 Firewalld 对于基于 Red Hat 的系统,如 CentOS 或 RHEL,在安装 `firewalld` 可以通过包管理器完成。命令如下所示: ```bash [root@bogon ~]# yum install firewalld firewall-config [^1] ``` 这会下载并安装 `firewalld` 和图形化配置工具。 #### 启动与启用服务 为了使 `firewalld` 能够随操作系统启动而自动运行,需执行以下指令来开启此服务: ```bash systemctl start firewalld.service # 开启服务 systemctl enable firewalld.service # 设置开机自启 ``` #### 基本操作命令 - **查看状态** 要检查当前防火墙的状态以及活动区域的信息,可输入: ```bash firewall-cmd --state # 查看是否正在运行 firewall-cmd --get-active-zones # 获取激活区详情 ``` - **设置默认区域** 可以通过下面的命令更改系统的默认区域(例如 public, home, work 等),并将之设为永久生效: ```bash firewall-cmd --set-default-zone=public [--permanent] [^2] ``` 注意:带有 `[--permanent]` 参数表示修改将被保存至重启后仍然有效;如果不加该参数,则仅临时应用直到下一次重新加载规则集或重启机器为止。 #### 添加/删除端口和服务 当需要开放特定的服务或者端口号时,可以利用这些命令来进行调整: ```bash firewall-cmd --zone=public --add-port=80/tcp [--permanent] # 打开端口80 HTTP协议 firewall-cmd --zone=public --remove-service=http [--permanent] # 移除HTTP服务支持 ``` 每次做出变更之后记得刷新规则使其立即生效: ```bash firewall-cmd --reload # 刷新规则库 ``` #### 处理 IP 地址和接口分配 还可以针对不同的IP地址范围定义访问权限,或是指定某个网卡所属的安全域: ```bash firewall-cmd --zone=trusted --add-source=192.168.1.0/24 # 将整个C类子网加入信任列表 firewall-cmd --zone=external --change-interface=enp0s3 # 更改ethernet设备enp0s3到外部区域 ``` 以上只是对 `firewalld` 功能的一个简单介绍[^2]。更深入的学习建议查阅官方文档或其他权威资料获取完整的理解和实践指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值