redhat Firewalld 防火墙

最新推荐文章于 2025-02-11 00:26:53 发布
原创 最新推荐文章于 2025-02-11 00:26:53 发布 · 561 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了RHEL7中Firewalld防火墙的特点及其与iptables的不同之处,包括动态规则修改、人性化的使用方式及区域(zone)的概念,并详细讲解了Firewalld的基本配置与高级用法。

在rhel7中有两种防火墙,与iptables不同的是firewalld防火墙
比起iptables来firewalld有两个好处
1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;
2、firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。
但是firewalld支持的服务得自己一个一个去配置

在firewalld中也有zone的这个概念来提供一些默认的配置服务

  • trusted 可以接受所有的服务
  • home 用于内网,仅接受ssh,mdns,ip-client,samba-client.dhcpv6-client服务
  • work 适用于工作区,仅接受ssh,ip-client或dhcpv6-client 服务
  • public 试用于公网,仅接受ssh与dhcpc6-client服务连接(是firewalld的默认)
  • external 出去的ipv4网络连接通过此去区域伪装和转发,仅接受ssh服务
  • block 拒绝所有的服务

firewalld的基本使用

首先我们需要关闭iptables服务,以免引起冲突,然后确保firewalld处于开启的状态

systemctl stop iptables
systemctl mask iptables.service 
systemctl status firewalld
systemctl enable firewalld

这里写图片描述
然后对于firewalld的操作我们可以使用
firewall-cmd命令来进行操作firewall防火墙

firewall-cmd --state #查看防火墙当前状态

这里写图片描述

firewall-cmd --get-active-zones #查看当前活动的区域
firewall-cmd --get-zones        #查看所有可用的zones
 firewall-cmd --zone=public --list-all #列出指定域的所有设置

这里写图片描述

这里写图片描述

firewalld的基本配置

我们可以首先查看一下默认的区域是什么

firewall-cmd --get-default-zone

如果是不适合的区域可以进行修改,来适应你所需要的服务

firewall-cmd --set-default-zone=trusted  #修改区域为你所指定的区域
例:指定为trusted 
加上 --permanent 为永久设定
--zone          指定修改的区域
--add-interface=   增加网络接口
--remove-interface= 删去接口
如果需要增加删除服务只需要把 interface改成service就可以了
然后写上需要的服务
--add-source='IP地址'
增加指定区域中的网路地址
删除的话与之前类似

关于firewalld的刷新

firewall-cmd --reload
firewall-cmd --complete-reload

两种刷新的方法的区别在于
complete方法会直接断开所有当前正在进行的连接,而reload不会,比如正在进行ssh远程连接主机,如果修改了不允许ssh,使用complete此时ssh的连接将马上中断。

Direct Rules进行firewalld的访问控制

firewall-cmd命令中,–direct选项可以在运行时增加或者移除链,这种方法比较适合于服务或者程序在运行时间内增加特定的防火墙规则。
直接方式添加的规则优先。
这种方式的缺点在于,很容易无意间导致防火墙被入侵。
大致的添加删除规则与之前的iptables类似

firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT #添加
firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT #删除
firewall-cmd --direct --get-all-rules #列出所有的规则

这里写图片描述

firewall的转发与伪装

端口的转发

firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.120

通过22端口转发至172.25.254.120主机上
测试时,使用ssh访问自己的主机IP时 会转移到172.25.254.120主机之上

这里写图片描述

伪装

 firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=172.25.254.120 masquerade'

当然如果需要开启伪装服务,需要设置masquerade为yes

 firewall-cmd --add-masquerade

这里写图片描述

第二十章:Firewalld防火墙应用1
08-08
第二十章:Firewalld防火墙应用重点:一、概述;概述:Filewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具
第8章iptables与firewalld防火墙.txt
07-13
该文档详细介绍了Redhat7支持的iptables服务与firewalld服务,并将iptables服务的命令行实例做了完整演示。
RED HAT 防火墙服务firewalld
guilanl的专栏
01-23 1589
对于CentOS/RHEL 7或Fedora 18以上版本的系统,使用FirewallD服务来配置防火墙FirewallD即Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器。FirewallD是一个服务,用于配置网络连接,从而哪些内外部网络的数据包可以允许穿过网络或阻止穿过网络。 防火墙栈的整体图如
Redhat7 firewall(防火墙
weixin_34054931的博客
12-13 180
Redhat7 firewall(防火墙)启动、停止firewall# systemctl start\stop\restart\status firewalld主配置文件:/etc/firewalld/zones/public.xmlfirewall命令:开放服务:# firewall-cmd --permanent --add-service=ssh关闭服务:# fire...
Redhat Linux 7 firewalld
专注企业信息化
08-28 473
获得root 控制权限。在“#”下操作。   看防火墙状态。   systemctl status firewalld   Redhat Linux 7 命令关闭防火墙  临时关闭防火墙命令。重启电脑后,防火墙自动起来。  systemctl stop firewalld  永久关闭防火墙命令。重启后,防火墙不会自动启动。 systemctl disable firewalld
centos7&redhatfirewalld 详细介绍配置
weixin_34043301的博客
04-01 268
firewalld和iptables的关系 firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。 firewalld的配置模式 fi...
RedHat Linux 8 中火墙管理工具firewalld介绍
Howei__的博客
03-22 1238
firewalld 服务开启 如果主机里本身开启的是iptables管理服务,更改为firewalld 1 firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewall...
[RHCE 学习笔记]RedHat 防火墙服务iptables和firewalld详解
Xiaoyintongxue1的博客
02-11 1243
基于RedHat9 整理的一篇关于RHCE红帽中级课程防火墙服务章节的学习笔记。详细讲解了防火墙软件iptables和firewalld的工作原理和基本语法、配置以及一些实验
Firewalld 防火墙
段小宝的博客
05-26 643
Centos 5、Centos 6 系统的默认防火墙是 iptables; Centos 7 默认的防火墙firewalld。 目录一、Firewalld 概述1.1 Firewalld 防火墙1.2 firewalld 与 iptables 的区别二、firewalld 区域的概念三、firewalld 数据处理流程四、firewalld 防火墙配置firewalld 防火墙的配置方法使用 firewall-cmd 命令配置常用配置命令操作 一、Firewalld 概述 1.1 Firewalld
redhat8版防火墙管理工具( iptables/firewalld
qq_43719048的博客
03-15 1604
iptables与firewalld 四种动作: ACCEPT 允许 REJECT 明确拒绝 DROP 不理睬 丢弃 LOG 记录 数据包类型: PREROUTING INPUT OUTPUT FOREARD POSTROUTING iptables常用参数及作用: iptables -L // 查看已有的防火墙规则链 ~ -F //清空已有的防火墙规则链 ~ -P //设置默认策略 ~ -p // 匹配协议 ~ -s 匹配IP地址 ~ -j 接动作 ~ --dpor
RedHat9 | 防火墙配置与管理
weixin_45564816的博客
06-12 1962
区域默认配置预定义允许访问的服务备注trusted允许所有进站所有home默认拒绝进入,除流量与流出流量相关(请求由内部发起)与home类似,根据区域名含义,可作为内网与外网的区分internal默认拒绝进入,除流量与流出流量相关(请求由内部发起)与home类似,根据区域名含义,可作为内网与外网的区分work默认拒绝进入,除流量与流出流量相关(请求由内部发起)public默认区域,默认拒绝进入external默认拒绝进入,除流量与流出流量相关(请求由内部发起)ssh。
redhat 7 防火墙
蓝枫的专栏
05-11 735
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld  停止: systemctl disable firewalld 禁用: systemctl stop firewalld   2.systemctl是redhat7的服务管理工具中主要的工具,它融合之前
RedHat8 防火墙firewalld
杨仕虎的博客
07-25 3048
防火墙基础 firewalld:守护进程 firewall-cmd:管理工具 nftables:8的防火墙架构,7之前版本依然使用iptables的netfilter 原则:数据包必须要属于一个域(zone)才能被转发 匹配zone的3个顺序
基于redhat7下的系统防火墙firewalld学习
weixin_42446031的博客
03-27 848
一,firewalld 1.什么是防火墙? 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关...
LINUX(redhat)学习之Firewall
qq_36265384的博客
05-19 661
iptable与firewall只选一个--------------firewall准备---------------------------systemctrl status iptables.servicesystemctrl mask  iptables.service(防止误操作启动iptable)systemctrl status firewall.service数据包来的时候先确定  ...
Redhat7(centos7)及以上防火墙完整介绍
2401_84003809的博客
04-18 1214
对于面试还是要好好准备的,尤其是有些问题还是很容易挖坑的,例如你为什么离开现在的公司(你当然不应该抱怨现在的公司有哪些不好的地方,更多的应该表明自己想要寻找更好的发展机会,自己的一些现实因素,比如对于我而言是现在应聘的公司离自己的家更近,又或者是自己工作到达了迷茫期,想跳出迷茫期等等)Java面试精选题、架构实战文档你的支持,我的动力;祝各位前程似锦,offer不断!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />
红帽系类linux 之 firewall详解
Tian_Shi_Hei_De的博客
11-05 453
链接文章
RHCE-防火墙
qq_68163788的博客
04-26 2635
防火墙是一种网络安全设备,用于保护网络不受恶意攻击和未经授权的访问。它是一种位于网络边缘的设备,可以监控和控制进出网络的流量,根据预设的安全策略,阻止潜在的威胁和攻击。 防火墙的工作原理是检测进出网络的数据包,并根据事先设定的规则对其进行过滤和处理。例如,可以根据源地址、目标地址、端口号等特征进行过滤,也可以根据协议类型、应用程序等进行识别和阻止。 防火墙可以提供多种安全功能,如网络地址转换(NAT)、虚拟专用网络(VPN)、入侵检测和预防(IDS/IPS)等。
redhat 7.9防火墙设置
最新发布
04-02
<think>嗯,用户问的是在RedHat 7.9上配置防火墙的教程和使用firewall-cmd的方法。我需要根据提供的引用内容来组织答案。首先,要确认用户的需求是配置防火墙,可能包括开启关闭防火墙、放行端口、设置服务等等。 首先,我得检查引用里的信息。引用[1]提到了基本的防火墙操作,比如启用或禁用防火墙,放行SSH服务。引用[2]展示了如何开启80端口,使用--add-port参数。引用[3]和[4]则涉及限制SSH访问的IP段,使用富规则。用户可能需要知道如何允许特定服务或端口,以及如何限制访问源。 接下来,我需要分步骤来回答。首先可能是基础状态管理,比如启动、停止防火墙。然后配置常用服务,比如SSH或HTTP。接着是端口管理,放行或阻止特定端口。之后可能需要更高级的设置,比如IP白名单,这部分用富规则来处理。最后,确保用户知道如何保存配置,因为firewall-cmd的--permanent参数很重要,或者用--runtime-to-permanent命令。 还要注意是否需要提到区域(zone)的概念,但引用中用户可能没有提到,所以可能暂时不需要深入。但根据引用[2],使用--zone=public,可能需要简要说明。不过用户的问题可能更关注基本操作,所以保持步骤简单。 然后生成相关问题。用户可能接下来会问如何检查开放的端口,或者如何移除规则,或者如何处理更复杂的网络配置。需要根据引用中的内容来设计相关问题,比如性能分析可能不适用,但优化方法和应用场景可以对应到防火墙规则的管理和实际使用案例。 最后确保所有的命令都正确,符合引用中的示例,比如--add-service=ssh,--add-port=80/tcp,以及富规则的写法。注意用户可能对永久生效的选项不太清楚,所以每个命令都要加上--permanent,并提醒reload生效。</think>### RedHat 7.9 防火墙配置教程(基于firewall-cmd) #### 一、基础防火墙状态管理 1. **启用/禁用防火墙** - 永久启用防火墙: $$systemctl\ enable\ firewalld.service$$ - 永久禁用防火墙: $$systemctl\ disable\ firewalld.service$$ - 启动/停止防火墙服务: $$systemctl\ start\ firewalld.service$$ $$systemctl\ stop\ firewalld.service$$ 操作后需重新加载配置:$$firewall-cmd\ --reload$$[^1] #### 二、配置常用服务与端口 1. **放行SSH服务** 默认SSH端口(22)放行命令: $$firewall-cmd\ --permanent\ --add-service=ssh$$ 若修改了SSH端口(如51022),需单独放行: $$firewall-cmd\ --permanent\ --add-port=51022/tcp$$[^1][^4] 2. **放行HTTP/HTTPS服务** - 放行80端口: $$firewall-cmd\ --zone=public\ --add-port=80/tcp\ --permanent$$ - 放行443端口: $$firewall-cmd\ --zone=public\ --add-port=443/tcp\ --permanent$$[^2] #### 三、IP白名单配置(高级规则) 通过富规则限制SSH仅允许特定IP段访问(例如192.168.1.0/24和118.123.31.41): ```bash firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="51022" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="118.123.31.41" port protocol="tcp" port="51022" accept' firewall-cmd --permanent --remove-port=51022/tcp # 移除原开放规则 firewall-cmd --reload ```[^4] #### 四、配置保存与验证 1. **保存运行时配置到永久规则**: $$firewall-cmd\ --runtime-to-permanent$$[^3] 2. **查看当前生效规则**: $$firewall-cmd\ --list-all$$ ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值