如何在 Linux 系统中配置 firewalld 防火墙策略

最新推荐文章于 2025-06-17 16:39:40 发布
最新推荐文章于 2025-06-17 16:39:40 发布
阅读量2.4k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 技术干货 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linux_hua130/article/details/126369619
本文详细介绍了Linux系统中firewalld防火墙的使用,包括firewalld的概念、zones和服务,以及如何进行临时和永久设置。内容涵盖开启/关闭服务、端口管理、设置端口转发、添加富规则和Direct规则等操作,帮助读者全面掌握firewalld的管理技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防火墙对于控制进出 Linux 服务器的网络流量至关重要。它能够定义一组防火墙规则来控制主机上的传入流量。本文介绍如何添加、删除、启用和禁用防火墙规则和区域。

什么是FirewallD

“firewalld”是firewall daemon。它提供了一个动态管理的防火墙,带有一个非常强大的过滤系统,称为 Netfilter,由 Linux 内核提供。

FirewallD 使用zones和services的概念,而 iptables 使用chain和rules。与 iptables 相比,“FirewallD”提供了一种非常灵活的方式来处理防火墙管理。

每个zones都可以按照指定的标准进行配置,以根据你的要求接受或拒绝某些服务或端口,并且它可以与一个或多个网络接口相关联。默认区域为public区域。
[yijiFirewalld zones[/yiji]
以下命令列出 FirewallD 提供的zones。运行以下命令以列出zones:

[root@server1 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
  • block: 对于 IPv4,任何传入连接都会被 icmp-host-prohibited 消息拒绝,对于 IPv6 则是 icmp6-adm-prohibited。
  • dmz:应用于你的DMZ区域的计算机,这些计算机可公开访问,但对内部网络的访问受到限制。仅接受选定的传入连接。
  • drop:任何传入连接都将在没有任何通知的情况下被丢弃。只允许传出连接。
  • external:用于在系统中充当路由器时启用 NAT 伪装的外部网络。只允许选定的传入连接。
  • home:用于家庭网络。仅接受选定的传入连接。
  • internal:用于内部网络,网络上的其他系统通常是可信任的。仅接受选定的传入连接。
  • public:用于公共区域,仅接受选定的传入连接。
  • trusted:接受所有网络连接。
  • work:用于工作区域,同一网络上的其他计算机大多受信任。仅接受选定的传入连接。

Firewalld services

Firewalld 的service配置是预定义的服务。要列出可用的服务模块,请运行以下命令:

[root@server1 ~]# firewall-cmd --get-services

Firewalld的临时设置和永久设置

Firewalld 使用两个独立的配置,即临时设置和永久设置:

  • 临时设置: 临时设置不会在系统重启时保持不变。这意味着临时设置不会自动保存到永久设置中。
  • 永久设置: 永久设置会存储在配置文件中,将在每次重新启动时加载并成为新的临时设置。

启用、禁用Firewalld

Firewalld默认安装在Centos7/8中,下面命令时如何启用或者停用firewalld:

# 启用Firewalld
[root@server1 ~]# systemctl start firewalld
# 禁用Firewalld
[root@server1 ~]# systemctl stop firewalld
# 开机启动
[root@server1 ~]# systemctl enable firewlald
# 禁止开机启动
[root@server1 ~]# systemctl disable f
最低0.47元/天 解锁文章

200万优质内容无限畅学
Firewall防火墙配置
疏笃
11-22 1194
firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 ipv4, ipv6 防火墙设置以及以太桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。
firewalld防火墙配置应用
看清所以看轻
08-31 388
实验环境 如图2.11所示,企业网络中,服务器服务器采用Linux CentOS 7.3操作系统服务器安装3块千兆卡,分别连接Internet、企业内服务器。 ◆实验需求 ➢服务器连接互联卡ens33地址为100.1.1.10. 为公IP 地址,分配到firewall的external (外部)区域;连接内卡ens37地址为192.168.1.1.分配到f...
Firewalld 防火墙配置
来日可期的博客
12-12 1900
firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略
玩转 Linux 防火墙配置:从基础到实战,守护系统安全
最新发布
miracle_again的博客
06-17 770
firewalld 作为 Linux 系统里实用的防火墙管理工具,通过灵活的区域划分和丰富的规则配置,能帮我们打造坚固的网络安全防线。从简单的服务启停、规则查看,到复杂的富规则配置、端口转发,掌握这些操作,不管是应对日常的服务器维护,还是处理复杂的网络安全需求,都能游刃有余。希望大家看完这篇,能真正玩转 Linux 防火墙配置,让自己管理的系统安全又稳定!觉得有用的话,就分享给身边搞运维、做开发的朋友,一起把系统安全这块儿拿捏住~ 后面还会分享更多 Linux 系统管理、网络安全相关的干货,记得关注呀!
firewalld防火墙基本配置
qq_57258570的博客
11-16 4185
firewalld防火墙基本配置 1、firewalld的结构 与iptables一样,分为内核态和用户态,firewalld代替了iptables,是iptables的功能增强版。 比iptables增强的功能: 1.增强了对IPv6的支持 2.增加了9个基本安全区域,使基本配置更简单。 3.向下兼容iptables的语法。 4.支持图形化界面配置 2、firewalld数据处理流程 1.将数据包中的源IP地址,定义到指定的安全区域,先执行安全区域的规则。 2.如果源地址未...
Centos7.5 firewalld防火墙配置
weixin_30390075的博客
09-05 207
CentOS 7.0默认使用的是firewall作为防火墙 1、查看firewall服务状态 systemctl status firewalld 2、查看firewall的状态 firewall-cmd --state 3、开启、重启、关闭、firewalld.service服务 #查看linux哪些程序正在使用互联 firewall-cmd --permane...
Linux系统firewalld防火墙实战指南
qq_24442273的博客
10-21 947
firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。例如,当一个新的网络接口被添加到系统中时,firewalld可以接收到相关的通知,并自动更新防火墙规则以适应新的网络环境。firewalld和liptables都是用来管理防火墙的工具(属于用户态),它们都可以用来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统(属于内核态),从而实现包过滤防火墙功能。
第二章 Centos8 Linux配置与管理firewalld防火墙 项目实训3
星星的博客
04-28 1217
虚拟机需求:1台服务器(Server01),1台服务器(Server02), 1台客户端(Client1)在第一章的基础上继续实训项目实训3:配置防火墙
Linux——firewalld防火墙(一)
zj2059129607的博客
01-09 1368
firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙. firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太桥.并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
Linux安全】firewalld防火墙
weixin_68840588的博客
05-26 1124
firewalld防火墙
firewalld防火墙配置
BiQing11的博客
06-17 2097
1、确认并开启firewalld服务。上面是两个常见到得配置文件。
防火墙配置————firewalld
LULUBAO1997的博客
12-06 830
这篇我们主要讲firewalld服务 系统提供了图像化的配置工具firewall-config、 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变
firewall防火墙配置
slovyz的专栏
11-24 740
防火墙列表 firewall-cmd --list-all 添加防火墙策略 firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.10.5" port protocol="tcp" port="10050" accept' 删除防火墙策略 firewall-cmd --pe
firewalld防火墙(一)firewalld防火墙的基本应用 防火墙的基本配置 配置防火墙规则
月亮不营业Mk的博客
12-03 576
firewalld防火墙 结构 概述 以上两种称呼都可以表示Linux 防火墙 防火墙:管理防火墙内核的工具 firewalld防火墙配置方法 进入图形化界面 [root@centos01 ~]# init 5 启动防火墙服务 [root@centos01 ~]# systemctl start firewalld 在图形化中启动firewalld服务 [root@centos01 ~]# friewall-config 默认所有卡都属于public区 切换到字符界面 [root@c
有关firewall防火墙配置
l578900的博客
09-23 496
一、firewall服务,设定默认的工作区域为dmz区域,然后开法运行http服务被访问 打开firewall服务 设定默认工作区域,并查看其信息 添加http服务到允许访问 开启http服务,windows访问进行验证 二、根据之前iptables dnat的拓扑环境 使用firewall实现地址转换 通过访问4444端口链接内容的22端口 1、配置拓扑: Windows作为外主机ip12.34.56.79 Linux2作为web服务器ip 192.168.2.1,默认关为
linux-firewalld防火墙配置
qq_43566203的博客
07-11 1153
firewalld防火墙基本配置 1.1区域概念 ​ firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后要所数据包的源IP地址或传入的网络接口条件等将流量传入相应区域。每个区域都定义了自己打开或关闭的端口服务列表。其中默认区域为public区域,trusted区域默认允许所有流量通过,是一个特殊的区域。 区域名称 默认配置说明 Trusted 允许所有的传入流量 Home 允许与ssh、mdns、ipp-client、samba-client或dhcpv6
Firewall配置
weixin_30484739的博客
01-03 307
一、安装firewall #yum install -y firewalld firewall-config 二、启动并设置开机自启动# systemctl start firewalld# systemctl enable firewalld# systemctl stop firewalld# systemctl disable firewalld 三、firewall配置# firewa...
firewalld防火墙配置管理
lilygg的博客
12-14 1626
1.启用firewalld ##安装firewalld [root@localhost Desktop]# yum install -y firewalld firewall-config ##开启firewalld [root@localhost Desktop]# systemctl start firewalld ##开机自启 [root@localhost Desktop]# syste...
firewalld防火墙配置和应用
chenxinmeng
05-25 978
firewalld介绍 firewalld和iptables的区别(动态防火墙和静态防火墙) 我们首先需要弄明白的第一个问题是到底什么是动态防火墙。为了解答这个问题,我们先来回忆一下 iptables service 管理防火墙规则的模式:用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 service iptables ...
linux中怎么在firewalld防火墙添加策略让nfs-server服务能通过
03-18
<think>好的,我现在需要帮助用户在Linux系统配置firewalld防火墙以允许NFS服务器正常工作。根据用户提供的引用内容,我需要整合相关信息,并确保步骤正确。 首先,用户已经引用了四个相关的资料,其中引用1、2、3和4提到了安装NFS服务、配置共享目录以及firewalld的基本知识。特别是引用1和3详细说明了NFS服务端和客户端的安装步骤,以及防火墙端口的开放方法。引用4则解释了firewalld的工作原理,说明它和iptables一样基于netfilter,但管理方式不同。 接下来,我需要确定在firewalld中允许NFS服务需要开放哪些服务或端口。根据引用1,开放NFS相关端口包括nfs、mountd、rpc-bind这三个服务。而引用3提到安装NFS服务时的步骤,但没有具体说明防火墙配置,但引用1补充了这部分,需要添加这些服务并重新加载防火墙。 步骤应该是这样的:首先安装NFS服务端工具,然后配置共享目录,接着在firewalld中添加对应的服务,最后重新加载防火墙规则。同时,客户端需要安装NFS客户端工具,并挂载共享目录。此外,可能需要启用并启动NFS相关服务,如nfs-server和rpcbind。 需要检查是否有遗漏的步骤,例如是否需要永久添加防火墙规则(使用--permanent参数),以及配置共享目录后的导操作(exportfs -arv)。引用3中提到的配置共享目录后需要执行exportfs命令,这也是关键的一步。 另外,用户可能会遇到的常见问题包括防火墙规则未正确加载,或者NFS服务未启动,导致客户端无法连接。因此,在回答中需要强调这些步骤,并提醒用户检查服务状态和规则是否生效。 最后,生成相关问题时要围绕NFS配置防火墙设置,例如如何测试NFS连接、排除故障的方法,或者防火墙的其他相关服务配置。 总结步骤: 1. 安装NFS服务端工具。 2. 配置共享目录和导设置。 3. 添加firewalld服务(nfs、mountd、rpc-bind)。 4. 重新加载防火墙并重启相关服务。 5. 客户端安装工具并挂载目录。 6. 验证连接。 确保每个步骤都参考了正确的引用,并在需要的地方添加引用标识。</think>### 分步配置指南 #### 1. **安装NFS服务端工具** 根据系统类型选择安装命令: - **CentOS/RHEL**: ```bash sudo yum install nfs-utils -y ``` - **Debian/Ubuntu**: ```bash sudo apt update && sudo apt install nfs-kernel-server -y ``` #### 2. **配置NFS共享目录** - **创建共享目录**: ```bash sudo mkdir /shared_directory sudo chmod 777 /shared_directory # 按需设置权限 ``` - **编辑导配置文件**: 修改 `/etc/exports`,添加规则(例如允许所有客户端访问): ```bash /shared_directory *(rw,sync,no_root_squash) ``` - **应用配置**: ```bash sudo exportfs -arv # 重新导共享目录[^3] ``` #### 3. **配置firewalld开放NFS服务** - **添加NFS相关服务**: ```bash sudo firewall-cmd --permanent --add-service=nfs # 开放NFS主服务端口(2049) sudo firewall-cmd --permanent --add-service=mountd # 开放文件挂载管理端口 sudo firewall-cmd --permanent --add-service=rpc-bind # 开放RPC绑定端口(111) ``` - **重新加载防火墙**: ```bash sudo firewall-cmd --reload # 使规则生效[^2] ``` #### 4. **启动并启用NFS相关服务** - **启动服务**: ```bash sudo systemctl start nfs-server rpcbind sudo systemctl enable nfs-server rpcbind # 设置开机自启 ``` #### 5. **客户端配置** - **安装NFS客户端工具**: - CentOS/RHEL:`sudo yum install nfs-utils -y` - Debian/Ubuntu:`sudo apt install nfs-common -y` - **挂载共享目录**: ```bash sudo mount -t nfs <服务器IP>:/shared_directory /本地挂载点 ``` #### 6. **验证配置** - **查看防火墙规则**: ```bash sudo firewall-cmd --list-all # 确认nfs、mountd、rpc-bind已允许[^4] ``` - **测试客户端访问**: ```bash df -h # 检查挂载是否成功 touch /本地挂载点/testfile # 测试写入权限 ``` --- ### 关键注意事项 - **端口范围**:NFS依赖动态端口(如`rpc.mountd`),若防火墙严格限制,需额外固定端口并开放[^1]。 - **权限问题**:确保共享目录的权限(`/etc/exports`中的配置)与文件系统权限匹配。 - **服务依赖**:NFS需要`rpcbind`服务支持,启动时需同时激活。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值