防火墙之firewall配置

最新推荐文章于 2024-11-10 10:42:51 发布
原创 最新推荐文章于 2024-11-10 10:42:51 发布 · 398 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器 #网络 #firewall #防火墙

本文详细介绍了CentOS7中firewalld防火墙的管理和与iptables的区别,包括配置方式、服务操作、区域划分、规则设置以及与docker和K8s的集成,展示了firewalld的图形化界面和更高效的工作方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

firewall

​ CentOS 7中防火墙已经由firewalld来管理,Centos7默认安装了firewalld。

与iptables区别

  1. iptables 仅能通过命令行进行配置;而 firewalld 提供了图形接口,类似windows防火墙的操作方式;
  2. iptables 每一个单独更改意味着清除所有旧的规则,并从 /etc/sysconfig/iptables 中读取所有新的规;则;而 firewalld 在有规则变动后,可以仅仅运行规则中的不同之处,即在 firewalld 运行时间内,改变设置时可以不丢失现行链接;
  3. iptables 的配置文件在 /etc/sysconfig/iptables 中;而 firewalld 的配置文件在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件中;
  4. iptables 没有守护进程,并不能算是真正意义上的服务;而 firewalld 有守护进程;
  5. iptables 通过控制端口来控制服务,而 firewalld 则是通过控制协议来控制端口;
  6. firewalld默认是拒绝;而iptables默认是允许

firewall 服务

# 查看服务状态
service firewalld status
systemctl status firewalld
firewall-cmd --state

# 启动
service firewalld start
systemctl start firewalld

# 重启
service firewalld restart
systemctl start firewalld

# 关闭
service firewalld stop

# 重新加载
firewall-cmd --reload	# 每次修改规则、配置后,需要重新加载使其生效!

开机启动

# 设置开机启动
systemctl enable firewalld
# 停止并禁用开机启动
systemctl disable firewalld

firewalld区域与配置规则

​ 宽松模式::trusted ,单独拒绝的源ip地址写入block,适合于拒绝的少,允许的多的应用场景
​ 严格模式: block,单独允许的源IP地址写入trusted,适合于允许的少,拒绝的多的应用场景;

# 默认为 public
-public:	仅允许访问本机的sshd,dhcp,ping少数几个服务
-trusted:	允许任何访问
-block:		阻塞任何来访请求(明确拒绝)
-drop:		丢弃任何来访的数据包(直接丢弃,不给客户端回应,节省资源)

​ firewalld默认提供了九个zone配置文件:block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml,都保存在**/usr/lib/firewalld/zones/**目录下。

查看默认区域
firewall-cmd --get-default-zone    #默认就是public
修改默认区域
# 修改默认区域为: trusted 区域
firewall-cmd --set-default-zone=trusted
在一个区域添加协议
# 查看区域public里面的所有配置,ping服务没有列出来
firewall-cmd --zone=public --list-all

# runtime,添加http到public区域中,可以正常访问http了
firewall-cmd --zone=public --add-service=http

# runtime,添加ftp到public区域中,可以正常访问ftp了
firewall-cmd --zone=public --add-service=ftp

# 永久添加,写到了相当的配置文件中了
firewall-cmd --zone=public --add-service=http --permanent

# 从public中永久的移除dhcpv6-client服务
firewall-cmd --zone=public --remove-service=dhcpv6-client --permanent
拒绝源IP

​ 1个源IP只能在1个区域中,在block区域中,就不能在trusted区域中了

# firewall-cmd --zone=block --add-source=10.10.67.40 --permanent

firewall-cmd 规则配置

查看规则
firewall-cmd --list-all

prots:所开放、暴漏的端口(包括ipv4、ipv6)
rich rules:自定义防火墙规则,灵活运用,非常的实用(可限制ipv4、ipv6、源地址等)

端口策略
# 查看端口列表
firewall-cmd --permanent --list-port
# 查看所有已开端口
firewall-cmd  --list-ports

# 查询8080端口是否开放
firewall-cmd --query-port=8080/tcp

# 开放80端口
firewall-cmd --permanent --add-port=80/tcp
# 开放3306端口(--permanent:永久生效,没有此参数防火墙重启便失效)
firewall-cmd --zone=public --add-port=3306/tcp --permanent
# 关闭开放的3306端口
firewall-cmd --zone=public --remove-port=3306/tcp --permanent

# 移除端口
firewall-cmd --permanent --remove-port=8080/tcp

firwall-cmd:是Linux提供的操作firewall的一个工具;
permanent:表示设置为持久;
add-port:标识添加的端口;

ipv4、ipv6双协议区分限制
# ipv4
# 默认是public域
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'

# ipv6
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'

# 查看已经设置的规则
firewall-cmd --zone=public --list-rich-rules
对ip段开放所有端口
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.127.0/24" accept'
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="192.168.127.0/24" accept'

firewall-cmd --reload
限制访问源、访问端口
# 限制具体ip
# 添加
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"
# 删除
firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"

# 限制ip段
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept' 
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept'
信任docker、tunl0和calico卡(k8s常用)
# 需要注意的是如果使用了多个域例如trusted、public,加规则时需要加声明参数,否则会有提示
# 例如:--zone=public
firewall-cmd --permanent --zone=trusted --change-interface=docker0
firewall-cmd --permanent --zone=trusted --change-interface=tunl0 
firewall-cmd --permanent --zone=trusted --change-interface=calixxx
firewall-cmd --reload

# 查看信任网卡
firewall-cmd --zone=trusted --list-interfaces
实现本机的端口映射

​ 本地应用的端口重定向(8080–>80),应用场景:从客户机访问 8080 的请求,自动映射到本机 80

# 8080映射到80    
firewall-cmd --permanent --zone=public --add-forward-port=port=8080:proto=tcp:toport=80

firewall-cmd --reload
清空所有规则
# root执行
firewall-cmd --permanent --list-all | grep ports | head -n 1 | \
cut -d: -f2 | tr ' ' '\n' | xargs -I {} firewall-cmd --permanent --remove-port={}

firewall-cmd --reload
Firewall防火墙配置
疏笃
11-22 1209
firewalld 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 ipv4, ipv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
firewall配置详解
07-11
centos7下firewall配置谅解,不用IPtables的自己看看这个个吧,centos7换成这个了
Firewall配置
weixin_30484739的博客
01-03 318
一、安装firewall #yum install -y firewalld firewall-config 二、启动并设置开机自启动# systemctl start firewalld# systemctl enable firewalld# systemctl stop firewalld# systemctl disable firewalld 三、firewall配置# firewa...
firewalld防火墙配置
BiQing11的博客
06-17 2105
1、确认并开启firewalld服务。上面是两个常见到得配置文件。
Linux笔记:firewall配置
cuipy的博客
04-28 1159
firewall 的主要配置命令如下: 启动一个服务:systemctl start firewalld.service 关闭一个服务:systemctl stop firewalld.service 重启一个服务:systemctl restart firewalld.service 查看开放端口   firewall-cmd --zone=public --list-ports #永久添加80端口,协议为tcp   firewall-cmd --add-port=80/tcp --permane
Linux firewall防火墙详解(二)——firewall配置
永远是少年
12-07 9866
本文主要内容是Linux firewall防火墙配置 一、Linux firewall常用命令 二、通过配置文件使用firewall
linux批量配置防火墙脚本firewall.sh
最新发布
01-15
使用脚本实现批量配置防火墙规则
Firewall App Blocker-windows防火墙建议配置工具
11-23
Firewall App Blocker”是针对Windows系统中防火墙功能的一个第三方配置工具,它的主要功能是为用户提供更加直观和方便的方式来配置防火墙规则。通过这个工具,用户可以轻松地阻止或允许特定应用程序通过防火墙与...
CentOS7下Firewall防火墙配置用法详解(推荐)
09-15
centos 7中防火墙是一个非常的强大的功能了,这篇文章主要介绍了CentOS7下Firewall防火墙配置用法详解(推荐),小编觉得挺不错的,现在分享给大家,也给大家做个参考。
firewall防火墙配置实战
weixin_38924998的博客
02-19 1987
centos7防火墙配置大全
使用和配置firewalld
2302_76788372的博客
11-10 1188
网络接口和源可以分配给区允许的流量取决于您计算机连接到的网络,并分配了这个网络的安全级别。防火墙是保护机器不受来自外部的、不需要的网络数据的一种方式。的,它可在每次修改规则时启用、修改和删除规则,而不需要在每次修改规则时重启防火墙守护进程。对于每个区,您可以设置一种处理尚未进一步指定的传入流量的默认行为。对于您的非企业化区里的计算机来说,这些计算机可以被公开访问,且有限访问您的内部网络。是一个防火墙服务守护进程,其提供一个动态可定制的、基于主机的防火墙。会阻止未明确设置为打开的端口的所有流量。
firewalld防火墙配置_firewalld配置规则
2401_86964146的博客
09-07 1891
firewall-cmd --add-rich-rule=“rule family=“ipv4” source address=“192.168.2.1” port protocol=“tcp” port=“22” accept” # 允许192.168.2.1主机访问22端口。firewall-cmd --add-rich-rule=“rule family=“ipv4” source address=“192.168.2.1” accept” # 表示允许来自192.168.2.1的所有流量。
Linux】—管理、设置防火墙规则(firewalld详解)
热门推荐
✨ 欢迎来到【Seal ^_^ 的优快云博客】!✨
04-18 1万+
Linux】—管理、设置防火墙规则(firewalld详解)
firewalld的配置
a18829898663的博客
06-05 4616
firewalld的配置
防火墙配置————firewalld
LULUBAO1997的博客
12-06 835
这篇我们主要讲firewalld服务 系统提供了图像化的配置工具firewall-config、 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变
Firewalld 防火墙配置
来日可期的博客
12-12 1915
firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略。
一个简单的firewall配置
ufwt的专栏
12-02 1000
一个简单的firewall配置 例 11.8. 一个简单的firewall配置 #!/bin/bash#Our complete stateful firewall script. This firewall can be customized for#a laptop, workstation, router
firewall防火墙简单配置
qq_43636320的博客
02-08 1942
firewall防火墙简单配置
华为防火墙 firewall配置命令
11-03
华为防火墙配置命令主要包括以下几个方面: 一、基本设置命令: 1. 设置系统主机名:sysname [hostname] 2. 配置管理接口地址:interface ethernet [interface-id] ip address [ip-address] [subnet-mask] 3. 配置域名服务器地址:ip host source-ip [ip-address] 二、安全策略命令: 1. 创建安全区域:security-zone [name] 2. 创建安全策略:security-policy [policy-name] from [source-zone] to [destination-zone] source [source-address] destination [destination-address] service [service-name] action [allow|deny] 三、网络地址转换命令: 1. 配置动态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] dynamic known-ratio [ratio] to interface [interface-id] 2. 配置静态地址转换:nat address-group mapping-rule [name] protocol [tcp|udp] static [global-ip-address] inside [inside-ip-address] 四、日志命令: 1. 配置日志服务器:log server ip [ip-address] port [port] 2. 配置日志策略:log policy [policy-name] action [permit|deny] destination [log-server-name] source [source-address] service [service-name] 五、系统管理命令: 1. 保存配置:save 2. 加载配置:load 3. 显示系统配置信息:display firewall configuration 以上介绍了部分华为防火墙配置命令,仅供参考。具体的配置要根据实际情况和需要进行调整。建议在进行防火墙配置前先了解设备操作手册和相关技术文档,以便更准确地配置和管理华为防火墙
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CodeStarNote

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值