firewalld学习--service的使用和配置

最新推荐文章于 2022-10-19 18:26:19 发布
转载 最新推荐文章于 2022-10-19 18:26:19 发布 · 499 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/a-s-m/p/11303006.html

service配置文件

firewalld默认给我们提供的ftp的service配置文件ftp.xml

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>FTP</short>
  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
  <port protocol="tcp" port="21"/>
  <module name="nf_conntrack_ftp"/>
</service>

service相对于zone来说结构要简单的多,其整体配置文件结构如下

<service [version="string"]>
     [<short>short description</short>]
     [<description>description</description>]
     [<port [port="portid[-portid]"] protocol="protocol"/>]
     [<module name="helper"/>]
     [<destination ipv4="address[/mask]" ipv6="address[/mask]"/>]
</service>

firewall-cmd分别提供了两个命令来创建和删除service

firewall-cmd --permanent --new-service='service'
firewall-cmd --permanent --delete-service='service'

如果直接编辑xml文件应该更简单,

大部分服务在“/usr/lib/firewalld/services/”目录下都可以找到,不过我们不要直接修改而要复制一份到“/etc/firewalld/services/”中然后再进行修改,

更好的做法是在“/usr/lib/firewalld/services/”中找一个类似的服务复制一份到“/etc/firewalld/services/”目录中,然后修改文件名和其中的内容。

service文件中的标签解释

version

version是service节点的一个可选属性,用于表示service的版本。

short

short在zone、icmptype等配置文件中也存在,其作用是简介,主要是让我们对所配置的内容有所了解,类似于注释的作用。

description

作用跟short相同,不过描述信息更加详细。

port

服务所对应的端口,这项是service中非常重要的一个配置项,大部分service主要就是对port进行绑定的,当一个service绑定了指定端口之后,该端口接收到的连接就会当成这个service,然后到所对应的zone中去查询规则,从而判断是否可以放行。

一个service中可以配置多个port节点,这在有的时候是非常有用的,比如

port节点有两可个配置的属性:port和protocol

port属性

port用来配置所使用的端口号,可以是单个端口也可以是一个端口段,比如port=100-105表示100到105之间的端口号,另外,port属性是个可选属性,可以不进行设置。

protocol属性

protocol属性用于指定所对应的协议,如果port属性不为空,那么protocol应该设置为tcp或者udp,如果port属性为空(没设置),那么protocol可以设置为/etc/protocols中所包含的任意协议。

module

module用于设置netfilter的helper。学生前面给大家介绍过,firewalld其实是基于netfilter进行工作的,netfilter中的helper主要用于连接的跟踪,这样就可以实现“有状态的防火墙”,也就是将相关的连接管理到一起。一个典型的例子就是ftp的连接,我们知道一般来说ftp使用的是21号端口,不过21号端口主要是用来传输命令的,实际传输文件又会使用一个其他的端口,不过这两个连接还有内在的联系,这种情况就可以使用netfilter中的helper来处理,在我们这里service中就是module节点。

destination

destination非常简单,他就表示目标地址,也就是根据目标地址来绑定服务,他有两个属性:ipv4和ipv6,分别用于绑定ipv4和ipv6的地址,可以使用单个地址也可以使用掩码。

另外,在一个service中destination最多只能出现一次。

转载于:https://www.cnblogs.com/a-s-m/p/11303006.html

firewalld(6)自定义services、ipset
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-02 1606
自定义服务配置文件:通常位于目录下,文件名以.xml结尾。这些文件允许用户定义自己的服务,包括其使用的端口、协议、模块(如内核模块)以及目标地址等。系统级服务配置文件:位于目录下,这些文件包含预定义的服务配置,这些服务通常是众所周知的网络服务(如HTTP、SSH等)。参考 /usr/lib/firewalld/services/ssh.xml,在下面新建你需要的服务名以.xml结尾,内容格式参照如ssh.xml、rdp.xml等文件中的内容即可。
linux中firewalld服务管理
运维小何的博客
05-09 518
一、防火墙  1.概述    动态防火墙后台程序 FireWalld 提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接界面一定程度的信任;它支持以太网桥,并有分离运行时间永久行配置选择。  2.域   home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务   intern...
firewalld学习--service
weixin_30585437的博客
08-05 395
servicefirewalld中另外一个非常重要的概念。还是拿门卫的例子来解释。 在iptables的时代我们给门卫下达规则时需要告诉他“所有到22号楼的人全部予以放行”、“所有到80号楼的人全部予以放行”等等, 不过到了firewalld的时代就不需要这样了, 而是可以直接下达像“到销售部的全部予以放行”这样的命令,然后门卫再一查发现销售部在80号楼,那么所有到80号楼的人门...
firewalld服务讲解
Liang_GaRy的博客
10-19 1588
Linxu-firewalld服务讲解
用活firewalld防火墙之service
denghe6366的博客
07-20 557
原文地址:http://www.excelib.com/article/291/show 前面学生已经给大家介绍了在firewalldservice的概念以及在zone中怎么使用service,但是service本身怎么配置我们还没讲,本节学生就来给大家介绍service本身的配置service配置文件 service相对于zone来说结构要简单的多,其整体配置文件结构如下 ...
linux 7 services设定,centos7 firewalld.service 设定
weixin_34942785的博客
05-16 275
官方文档地址:cd /usr/lib/firewalld/services 目录中存放定义好的网络服务端口参数,系统参数,不能修改。cd /etc/firewalld/services/systemctl status firewall查看firewall服务状态firewall-cmd –state查看firewall的状态firewall-cmd –l...
高级Linux-firewalld配置使用服务对象端口组
与传统的iptables命令相比,firewalld提供了更高级的配置选项动态管理功能,使得配置管理防火墙变得更加灵活方便。 ## 1.2 firewalld工作原理 Firewalld的工作原理是基于网络区域的概念,将网络接口划分为...
14. Linux-RHCE-firewalld-高级配置技巧
# 1. 理解Linux防火墙与...它提供了一种简单而强大的方法来对网络连接进行管理控制,可以灵活地配置防火墙规则,适应不同的网络环境需求。 ## 1.3 Linux防火墙与firewalld的关系 在Linux系统中,firewalld
Linux-RHCE精讲教程之防火墙工具firewalld-配置ICMP规则
# 1. 理解Linux防火墙工具firewalld ## 1.1 什么是firewalld Firewalld是一个动态的守护进程,可以管理Linux系统的防火墙。它提供了一个动态管理防火墙的命令行界面D-Bus API,同时...## 1.3 firewalld的优点
Linux-RHCE精讲教程之防火墙工具firewalld-配置基本规则
# 1. 概述防火墙及firewalld 1.1 什么是防火墙? 防火墙是一种网络安全系统,通过监控控制网络流量来保护内部网络免受恶意...firewalld提供了简单易用的命令行工具图形化界面,方便管理员进行配置管理。 1.3 f
Linux-RHCE精讲教程之防火墙工具firewalld-配置ARP过滤
本文将重点介绍防火墙工具firewalld使用配置。 ## 1.2 Linux RHCE认证概述 RHCE(Red Hat Certified Engineer)是由红帽公司提供的高级Linux认证,具有RHCE认证意味着在企业Linux系统管理中具备了专业的能力。...
firewalld关于service的操作
乐猿
12-02 2860
firewalld关于service的操作
firewalld服务
windowsworld的博客
06-01 933
input,output,forward,postrouting,prerouting firewall的图形管理 firewall-config 运行该命令进入以下界面 该图分别对应firewalld的域,默认只有ssh与dhcpv6-client可以被火墙允许。 使用ssh命令远程连接172.25.254.142 ssh root@172.25.254.142(可以连接,因为ssh在fi...
linux禁止开机启动防火墙firewalld.service
热门推荐
挨踢学霸
03-17 1万+
每次重启测试环境会发现外网都无法访问80端口,用systemctl status firewalld.service检查防火墙,是开启的状态 要使firewall不开机启动,使用命令systemctl disable firewalld.service重启虚机后,再次检查firewall的状态 已经没有启动了。更多文章关注公众号“挨踢学霸”...
linux中的firewalld服务
Ongwu Keep going
06-08 355
  一.Firewalld概述    1.动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接界面一定程度的信任。它具备对 IP v4 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。   2.系统提供了图像化的配置...
firewalld的zone及firewalldservice
Linux从入门到弃坑
09-27 836
iptables规则备份恢复 iptables备份数据到配置文件/etc/sysconfig/iptables,使用如下命令 [root@linux-001 ~]# service iptables save iptables备份规则到另外一个文件,而不是配置文件 在这里插入代码片 ...
linux的Firewalld防火墙概述
weixin_51725822的博客
02-25 1373
linux防火墙之firewalld一、Firewalld概述1.1 firewalld防火墙1.2 firewalld 与 iptables 的区别(1)作用点(2)存储位置(3)新规则的使用(4)防火墙类型1.3 firewalld 区域的概念firewalld防火墙预定义了9个区域1.4 firewalld数据处理流程二、firewalld防火墙的配置2.1 firewalld防火墙的配置方法2.2 区域管理(1)显示当前系统中的默认区域(2)显示默认区域的所有规则(3)显示当前正在使用的区域及其对应
centos 7防火墙firewalld.service
寻找手艺人的专栏
06-18 1025
centos7中使用systemctl工具来管理服务程序(包括了servicechkconfig) 关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running) #启动一个服务: systemctl start firewall
firewalld配置规则
最新发布
03-22
### 如何在 Linux 中配置 Firewalld 防火墙规则 Firewalld 是一种动态管理防火墙的工具,支持 zones services 的概念,相比传统的 iptables 提供了更灵活的方式来管理调整防火墙策略[^1]。 #### 添加服务到防火墙规则 可以通过简单的命令允许特定的服务通过防火墙。例如,要允许 HTTP 服务访问服务器: ```bash firewall-cmd --permanent --add-service=http firewall-cmd --reload ``` 上述命令中的 `--permanent` 参数表示永久生效,而 `--reload` 则重新加载配置以使更改立即生效[^2]。 #### 创建自定义链并添加规则 为了实现更加复杂的网络控制需求,可以创建一个新的 IPv4 原始表链(raw table)。以下是具体的操作方法: ```bash firewall-cmd --direct --add-chain ipv4 raw blacklist ``` 这条命令的作用是在 IPv4 协议下,在原始表中新增一条名为 `blacklist` 的链。此功能适用于需要低层处理的情况,比如高级网络配置或特殊的数据包过滤场景[^3]。 #### 设置 IP 黑名单 对于需要屏蔽单个或多台设备的需求,可通过富规则的形式指定源地址进行拒绝连接操作。下面是一个例子展示如何阻止来自三个不同 IP 地址的所有流量: ```bash firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.101' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.102' reject" firewall-cmd --reload ``` 这些命令会针对每一个给定的 IP 地址设置独立的拒绝规则,并确保修改后的配置能够持久保存[^4]。 #### 注意事项 - 所有涉及 `--permanent` 的变更都需要执行一次 `firewall-cmd --reload` 来激活新设定。 - 使用 `--direct` 方式的指令直接影响底层规则集,因此需谨慎对待以免造成不必要的安全风险或者连通性问题。 ```python print("以上即为 firewalld 配置的一些基本示例") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值