firewalld

firewalld配置详解
最新推荐文章于 2025-09-10 23:01:16 发布
转载 最新推荐文章于 2025-09-10 23:01:16 发布 · 55 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/542480
文章标签:

#运维 #网络

本文详细介绍了firewalld防火墙的配置方法,包括查看状态、设置信任级别、配置服务及端口、设置富规则等。firewalld支持IPv4和IPv6,并允许动态管理防火墙设置,无需重启即可生效。

  * firewalld(动态防火墙后台程序) 提供了一个 动态管理的防火墙,用以支持网络 “ zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

    * 系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户

端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。

    * firewalld和iptables service 之间最本质的不同是:

  1.iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.


 2 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接。

 


   1.配置firewalld

    firewall-cmd --state    ##查看firewalld状态

wKiom1k1DWCTmYQtAAAll23DoiQ878.png

    firewall-cmd --get-active-zones  ##查看当前活动的区域,并附带一个目前分配给它们的接    口列表


wKiom1k1DX3jA5W_AAA0kmYyJ00714.png

    firewall-cmd --get-default-zone  ##查看默认区域


wKiom1k1DnvDjs8wAAAsfVZ2N8k163.png

     firewall-cmd --get-zones  ##查看所有可用区域

wKiom1k1DsbhgvxvAAA6KyX9xk8750.png

  **

  trusted( 信任 )    可接受所有的网络连接

  home( 家庭 )      用于家庭网络,仅接受ssh、mdns、ipp-client、samba-client、或dhcpv6-                  client服务连接

  internal( 内部 )   用于内部网络,仅接受ssh、mdns、ipp-client、samba-client、dhcpv6client                服务连接

  work( 工作 )      用于工作区,仅接受ssh、ipp-client或dhcpv6-client服务连接

  public( 公共 )     在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认                区域

 external( 外部 )    出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接

 dmz( 非军事区 )     仅接受ssh服务接连

 block( 限制 )      拒绝所有网络连接  

 drop( 丢弃 )       任何接收的网络数据包都被丢弃,没有任何回复


     firewall-cmd --zone=public --list-all   ##列出指定域的所有设置


wKiom1k1Dt7QqzBTAABhdhZBRcA600.png

     firewall-cmd --get-services  ##列出所有预设服务


wKioL1k1MYeAtePgAADCgXEaSbM605.png

     firewall-cmd --list-all-zones  ##列出所有区域

wKiom1k1MaKB-5ExAACHAzTn8Zg696.png


     firewall-cmd --set-default-zone=trusted   ##设置默认区域为trusted


wKiom1k1Md6yQEs0AAAqzcjqL5Q793.png

   **测试

wKiom1k1NUHS69ELAACFDCijIak868.png



   firewall-cmd --permanent --add-source=172.25.254.74  ##设置网络地址到指定的区域,默认                                          是public,--permanent表示永久

   

   firewall-cmd --reload   ##重新加载服务,不中断服务

   firewall-cmd -complete--reload   ##重新加载服务,中断服务

 


wKiom1k1NdzCHttrAADmWX4UuL8715.png



   firewall-cmd --permanent --remove-source=172.25.254.74  ##移除指定区域的网络地址

wKioL1k1NlPSU0YUAAA2XRN0668844.png


  

   firewall-cmd --permanent --zone=trusted --add-source=172.25.254.74 

wKioL1k1NumA8oeTAAA3dffEics390.png  

   **测试

wKiom1k1NwqQ2CpNAADhLrbsBpI814.png




   firewall-cmd --remove-interface=eth0 --zone=public   ##从public区域移除eth0端口 

   firewall-cmd --add-interface=eth0 --zone=trusted    ##添加eth0端口到trusted

wKioL1k1N-DDsTsgAABUqKSCRKo295.png


   **测试

   可以访问eth0端口,不可以访问eth1端口


wKiom1k1N_LS2jZ2AADhLrbsBpI793.png

wKioL1k1OA6SU-ytAACKdkA8OIo725.png



   firewall-cmd --add-service=http --zone=public  ##添加http服务

wKiom1k1OKbi_UKnAAB7KTslCEQ924.png


    firewall-cmd --remove-service=ssh --zone=public   ##删除ssh服务

wKiom1k1OOKD2G9RAAB7P2_FDA4347.png


  

  firewall-cmd --direct --add-rule ipv4 filter INPUT 0 ! -s 172.25.254.74 -p tcp --dport    22 -j ACCEPT  ##设置除了74主机22端口不可访问,其他主机22端口都可以访问

wKioL1k1OWujTcbIAAA6othoCjE887.png

  **测试

  74主机

wKioL1k1OdXT8gZWAABJUvqdb2k406.png

  其他主机

wKiom1k1OfezjYf_AABG6FbUV-o216.png

  2.rich rules

  *  通过“ rich language”语法,可以用比直接接口方式更易理解的方法建立复杂防火墙规则。此外,还能永久保留设置。这种语言使用关键词值,是 iptables 工具的抽象表示。这种语言可以用来配置分 区,也仍然支持现行的配置方式。



  3.伪装和端口转发

  实验之前打开地址伪装

 firewall-cmd --permanent --zone=public --add-masquerade

wKioL1k1O3vjB0eNAABCWB-YXmY454.png

 ** masquerade : yes


   firewall-cmd --zone=public --add-rich-rule 'rule family=ipv4 source    address=172.25.254.74 masquerade'   ##伪装

wKiom1k1O6iSIBWcAAC6lADiOdM130.png

  **测试

  不同网段的IP可以连接

wKioL1k1PAejAxJ1AAG1sTeHhiM791.png

  


  

   firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.74

    ##端口转发

wKioL1k1PIOzcOa6AACkLV9yiCM563.png

  **测试

  ssh连接123主机,实际连接74主机

wKiom1k1PMXxjegqAAGGHMiiY-c974.png



本文转自  red777    51CTO博客,原文链接:http://blog.51cto.com/12314711/1932489


  

Firewalld防火墙
06-28 1133
firewalld防火墙是Linux系统上的一种动态防火墙管理工具,它是Red Hat公司开发的,并在许多Linux发行版中被采用。相对于传统的静态防火墙规则,firewalld使用动态的方式来管理防火墙规则,可以更加灵活地适应不同的网络环境和应用场景。firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6938
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
Firewalld 防火墙
luxunlx123的博客
08-14 400
############启用firewalld########## yum install -y firewalld firewall-config #安装防火墙和图形界面 systemctl start firewalld #启动防火墙 systemctl enable firewalld #开机自启动防火墙 systemctl disable firewalld #开机不自启防火...
firewalld操作
weixin_33912638的博客
05-11 147
2019独角兽企业重金招聘Python工程师标准>>> ...
2018-04-28 Centos7 Firewalld 配置和使用
逆风飞翔的博客
04-28 158
1、firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,关闭开机自启动: systemctl disable firewalld 停止:systemctl stop firewalld 查看服务是否开机启动:systemctl is-enabled...
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Node.js_的_Firewalld__界面化,基于_Node.js_适用于_个人服务器_和_NA_
09-17
Node.js的Firewalld界面化项目旨在为个人服务器提供一个图形化用户界面,使得用户能够更加直观和简单地进行防火墙配置。这个项目是基于Node.js开发的,Node.js是一种轻量级的、高性能的服务器端JavaScript运行环境,...
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
Linux下双网卡Firewalld的配置流程(推荐)
09-15
firewalld提供了一个 动态管理的防火墙,用以支持不同网络区域的规则,分配对一个网络及其相关链接和界面一定程度的信任。这篇文章给大家介绍了Linux下双网卡Firewalld的配置流程,需要的朋友参考下吧
练习使用firewalld的masquerade和nat功能
weixin_42145772的博客
01-16 4782
目的是练习使用firewalld的masquerade和nat功能,物理连接如下图: 手机开启便携式热点,台式机有两个网卡,一个是USB无线网卡wlan0连接手机便携式热点可以上网使用外网,动态IP地址为192.168.43.XXX同手机便携式热点分配,台式机的另一网卡eth0通过网线连接无线路由器TP-LINK,固定IP地址为192.168.8.102由路由器TP-LINK分配,笔记本电脑内置无线网卡wlan0通过WIFI连接到无线路由器TP-LINK,固定IP地址为192.168.8.101由路由器T
ip网络的设置设置与
period000的博客
04-17 917
ifconfig eth0 172.25.254.100 netmask 255.255.255.0 设定为临时ip DHCp动态ip设定static 静态ip为系统使用者自行设定 网路设定常用网络协议ipv432 2进制11111110.11111110.11111110.11111110 == 254.254.254.254ip  netmask:用来标示ip的网络位和主机位网络位表示网络区域...
linux系统firewalld火墙优化策略
wwy0324的博客
06-08 2811
[root@client ~]# yum search iptablesLoaded plugins: langpacks================================== N/S matched: iptables ===================================iptables-devel.i686 : Development package for i...
@firewalld防火墙详解
欢迎光临本栈——“码栈仙”,一个架构师的脑洞收容所。 这里不生产代码,只做bug的搬运工。
06-15 1684
文章目录firewalld一、防火墙概述二、防火墙区域管理1、区域2、主要的区域三、防火墙基本指令参数1、firewall-cmd命令分类列表四、防火墙区域配置策略1、防火墙(禁用与取消)2、firewalld(状态)3、firewalld(常用命令)4、配置(测试)五、防火墙配置放行策略1、firewalld(放行服务)2、firewalld(端口放行)3、firewalld(网段放行)六、firewalld防火墙(端口转发策略)案列七、firewalld(富规则)1、实列一2、实列二3、实列三4、fir
Firewalld的结构
denghe6366的博客
07-20 220
原文地址:http://www.excelib.com/article/287/show firewalld简介 Centos7中默认将原来的防火墙iptables升级为了firewalldfirewalld跟iptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、fire...
firewalld操作简要
AB20093248的博客
04-21 272
firewall-cmd --zone=public --permanent --add-port=1234/tcpfirewall-cmd --zone=public --remove-port=1234/tcpfirewall-cmd --zone=public --list-portsfirewall-cmd --reloadLinux 随机数cat /proc/sys/kerne...
秋日私语:一片落叶,一个智能的温暖陪伴
2501_92680371的博客
09-10 477
当秋风吹拂,落叶翩跹,繁华的城市也悄然披上金黄的外衣。然而,在这份诗意背后,是清洁伙伴们默默付出的辛劳,是清洁效率与成本的现实考量。
Nginx 实战系列(九)—— LVS负载均衡集群与DR模式部署指南
最新发布
qq_41978931的博客
09-10 1328
本文介绍了LVS负载均衡技术的核心概念与DR模式部署方案。LVS作为Linux内核自带的负载均衡解决方案,提供了NAT、TUN和DR三种工作模式,其中DR模式性能最优,通过直接路由实现高吞吐量。文章详细分析了DR模式的数据流向、ARP问题及解决方案,并提供了完整的配置步骤,包括负载调度器设置、内核参数调整和真实服务器配置。通过LVS-DR模式,可以实现高性能、低延迟的负载均衡集群,适用于大规模并发场景。
firewalld warning
07-26
firewalld 是 Linux 系统中用于管理网络连接的安全工具,其提供基于区域(zone)的防火墙规则管理机制。在使用过程中,可能会出现一些警告信息,这些信息通常提示配置中的潜在问题或安全隐患。 ### 警告信息解释 一个常见的警告是 `WARNING: AllowZoneDrifting is enabled. This is considered an insecure configuration option. It will be removed in a future release.`,这个警告表示 `AllowZoneDrifting` 选项被启用。该选项允许网络连接在不同区域之间漂移,这可能带来安全风险,因为它使得防火墙规则可能不会按预期应用[^4]。 另一个可能遇到的错误是在启动 firewalld 服务时出现的 DBus 异常,例如 `ERROR: Exception DBusException: org.freedesktop.DBus.Error.AccessDenied: Connection ":1.10" is not allowed to own the service "org.fedoraproject.FirewallD1" due to security policies in the configuration file`,这通常表明权限配置问题,即当前连接没有权限拥有指定的服务[^3]。 ### 解决方法 对于 `AllowZoneDrifting` 警告,可以通过编辑 firewalld 的配置文件来禁用此功能。具体操作是找到 firewalld 配置文件(通常位于 `/etc/firewalld/firewalld.conf`),并将 `AllowZoneDrifting=yes` 更改为 `AllowZoneDrifting=no`。 针对 DBus 异常导致 firewalld 启动失败的问题,可以尝试重新安装 firewalld 或者检查 SELinux 设置是否阻止了 firewalld 的正常运行。此外,确保系统上的所有软件包都是最新的,因为此类问题有时可能是由于已知的 bug 被修复后的版本缺失所致[^3]。 ### Ansible playbook 示例 如果使用 Ansible 来管理 firewalld 配置,可以参考以下 playbook 示例来启用特定端口: ```yaml - name: firewalld test hosts: webservers tasks: - name: firewall enabled firewalld: port: 20 permanent: true immediate: true state: enabled ``` 此 playbook 将针对名为 `webservers` 的主机列表执行任务,启用端口 20 并将其设置为立即生效以及永久生效[^1]。 ### 注意事项 确保在修改任何配置之前备份原始文件,并测试更改后的效果以确认问题已被解决。同时,保持系统更新可以帮助避免已知的问题和安全漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值