基于redhat7下的系统防火墙firewalld学习

最新推荐文章于 2025-05-16 20:42:53 发布
最新推荐文章于 2025-05-16 20:42:53 发布
阅读量814 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: redhat linux firewall firewalld\ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42446031/article/details/88857500
本文介绍了Redhat7系统中的firewalld防火墙,包括其概念、动态管理特性以及如何配置与学习。通过实验环境演示了firewalld的配置、启动,展示了selinux对端口的控制,以及如何指定或移除IP通过特定域访问、添加服务和端口、设置规则、伪装和端口转发等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一,firewalld

1.什么是防火墙?

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
再redhat系统中防火墙服务有两个firewalld和iptables,在这里我们将介绍一下firewalld。

2.firewalld?

动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙
, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接
和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设
置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选
择。它还具备一个通向服务或者应用程序以直接增加防火墙规则
的接口
系统提供了图像化的配置工具 firewall-config 、 system-
config-firewall, 提供命令行客户端 firewall-cmd, 用于配
置 firewalld 永久性或非永久性运行时间的改变 : 它依次用
iptables 工具与执行数据包筛选的内核中的 Netfilter 通信

二,firewalld的配置与学习

1.实验环境:
在这里我们需要准备两台虚拟机,博主的两台虚拟机记为server和client.
server:两块网卡,在这里我们两个网卡的ip分别为eth0:172.25.254.97,eth1:1.1.1.97
client:一块网卡eth0,ip为1.1.1.117
真机的ip为172.25.254.77
在这里插入图片描述
在这里插入图片描述
2.firewaldd的配置和启动
在前面我们讲过防火墙服务有两个,那么我们这里先关闭iptables服务,确保两个防火墙互不影响

systemctl stop iptables.service			##关闭iptables服务
systemctl disable iptables.service		##设置iptables开机不启动
systemctl mask iptables.service			##锁定iptables服务
systemctl start firewalld				##启动firewalld服务
systemctl enable firewalld				##设置firewalld开机自启动

注意,这些设置全部在server上做
在这里插入图片描述
3.selinux对端口的控制
因为防火墙一个很重要的控制内外部网络的控制就是端口,那么,再linux系统中还有一个控制端口的服务就是我们学过的selinux
为了让大家了解selinux对其端口的控制我们用httpd服务来做示例

首先我们通过配置文件/etc/httpd/conf/httpd.conf修改端口为6666,然后重启httpd服务(当然,这里的selinux必须得是enforcing状态)

在这里插入图片描述
在这里插入图片描述
我们发现无法启动,这是因为再selinux中的系统默认的httpd的端口没有6666这个端口,那么我们可以手动添加这个端口

semanage port -l | grep http ##查看http的端口
semanage port -a -t http_port_t -p tcp 6666 ##添加端口6666
semanage port -l | grep http ##查看端口
systemctl restart httpd.service ##重启服务

在这里插入图片描述
我们发现只要添加上6666端口则可以重启httpd服务,实验结束后一切还原
在这里插入图片描述
在这里插入图片描述4.firewall所有域的查看,默认域等
在这里插入图片描述

firewall-cmd --state					##火墙状态
firewall-cmd --get-active-zones			##火墙生效的域
firewall-cmd --get-default-zone			##火墙当前处于的域
firewall-cmd --get-zones				##火墙的域
firewall-cmd --zone=public --list-all	##列出public域的所有信息
firewall-cmd --get-service				##火墙的服务
firewall-cmd --list-all-zones			##列出所有域
firewall-cmd --set-default-zone=dmz		##修改当前域为dmz

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

firewall-cmd --add-service=ftp			##添加ftp服务为默认域的开放服务,临时生效
firewall-cmd --permanent --add-service=http	##永久生效,不过得重新家在配置文件
firewall-cmd --reload					##刷新

在这里插入图片描述
5.指定或移除某个ip通过某个域访问系统以及重新加载配置火墙文件
在这里插入图片描述
我们现在的域为public,开放的服务只有ssh和dhcp,我们来看一下真机是否可以通过http访问
在这里插入图片描述
我们发现无法访问,那么我们可以设置真机走trusted域,即信任域

firewall-cmd --zone=trusted --add-source=172.25.254.77 ##让77走trusted域

在这里插入图片描述
在这里插入图片描述
我们发现加载真机走trusted域后真机则可以看到了,那么我们若不想让真机通过http访问server,则将其移除即可
在这里插入图片描述
注意:我们在这里的设置都是临时的,若要永久设置则:

firewall-cmd --permanent --zone=trusted --add-source=172.25.254.77	##永久添加77主机走trusted
firewall-cmd --permanent --zone=trusted --remove-source=172.25.254.77	##永久删除77主机走trusted
firewall-cmd --reload			##刷新

6.添加指定网卡到不同的域中

firewall-cmd --zone=trusted --add-interface=eth1 ##将eth1网络接口放到trusted中,eth0依旧在public中

在这里插入图片描述
我们在此时会发现添加补上,这是因为我们的eth1已经再别的域里了,所以用到的不能是add而是change
在这里插入图片描述
此时如果我们用真机去访问server
在这里插入图片描述
在这里插入图片描述
发现1.1.1.97网卡可以进行访问
7.添加某个服务或者端口为指定域的开放服务或端口
添加服务:

firewall-cmd --list-all --zone=public	##查看public的所有信息
firewall-cmd --add-service=dns		##接入dns服务
firewall-cmd --reload			##刷新,但不会终结已经开启的服务
firewall-cmd --complete-reload		##完全刷新,立即停掉刚才设置的服务

在这里插入图片描述
添加端口:

firewall-cmd --add-port=80/tcp

在这里插入图片描述
开放端口后,虽然我们没有开启http服务,但是真机依旧可以访问
在这里插入图片描述8.添加指定规则
首先我们将默认域设置为block
在这里插入图片描述
在这里插入图片描述

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.77 -j ACCEPT 只允许77主机访问ssh

在这里插入图片描述
在这里插入图片描述

移除上一条规则
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 22 -s 172.25.254.77 -j ACCEPT
除77外都可以访问ssh
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 22 ! -s 172.25.254.77 -j ACCEPT

在这里插入图片描述
在这里插入图片描述

firewall-cmd --direct --get-all-rules ##查看所有特殊规则

在这里插入图片描述

注意:所有设置的规则里,除了规则设定过的主机,其他主机均走默认域

9.火墙伪装
在前面我们做过有关于虚拟机上网的设置,里面提到了火墙伪装,那么在这里我们再来具体的看一下火墙伪装

火墙伪装:确保两点:masquerade和ip_forward的值

masquerade必须为yes,ip_forward必须为1(即开启路由功能)
在这里我们通过个火墙伪装,将我们的eth0网卡虚拟为一个路由器

在这里插入图片描述
注意,我这里的ip_forward是关闭的,所以如图修改,若为一则就不用管了
在这里插入图片描述
测试:
将client的网管设置为服务器eth1的eth1ip:1.1.1.97,然后去ssh真机
在这里插入图片描述

真机用命令w -i查看登陆真机的主机有哪些

在这里插入图片描述
我们发现真机显示的连接着是97也就是server,而我们真正连接真机的却是client(1.1.1.117)

10.端口转发
我们在上个实验的基础上继续做端口转发,因为刚才是client连接的真机,而真机以为是server,那么当真机ssh连接server时就真的是server,那么我们可以通过端口转发,使真机连接server,最终到达的确是client

firewall-cmd --permanent -zone=public --add-forward-port=port=22:proto=tcp:toport=22:toaddr=1.1.1.117 ##端口转发

在这里插入图片描述
在这里插入图片描述
最终我们通过22端口使真机通过server连接上了client,端口转发成功!

[RHCE 学习笔记]RedHat 防火墙服务iptables和firewalld详解
Xiaoyintongxue1的博客
02-11 1085
基于RedHat9 整理的一篇关于RHCE红帽中级课程防火墙服务章节的学习笔记。详细讲解了防火墙软件iptables和firewalld的工作原理和基本语法、配置以及一些实验
redhat Firewalld 防火墙
parameter_的博客
06-03 537
在rhel7中有两种防火墙,与iptables不同的是firewalld防火墙 比起iptables来firewalld有两个好处 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、firewalld使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。 但
Redhat7 Firewalld防火墙
运维Carl的博客
06-21 544
1. 区域概念与作用可以分为以下规则区域 trusted #允许所有的数据包 home #拒绝流入的数据包,除非与输出流量数据包相关或者是ssh,mdns,ipp=client,samba-client,与dhcpv6-client服务则允许 internal #等同于home区域 work #拒绝流入的数据包,除非与输出流量包相关或者是ssh,ip
firewalld防火墙
最新发布
悟已往之不谏
05-16 644
firewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4、IPv6 防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
Firewalldredhat7
msun96的博客
02-08 1433
简单介绍redhat7系列防火墙新的管理工具 firewall,介绍firewall-cmd命令的使用,以及介绍如何使用firewall实现伪装(snat),端口转发(dnat)
LINUX(redhat)学习Firewall
qq_36265384的博客
05-19 650
iptable与firewall只选一个--------------firewall准备---------------------------systemctrl status iptables.servicesystemctrl mask  iptables.service(防止误操作启动iptable)systemctrl status firewall.service数据包来的时候先确定  ...
Linux下的防火墙firewalld和iptables,地址伪装,地址转发)
ranrancc_的博客
08-17 1441
文章目录一、防火墙的基本知识1、防火墙的定义2、防火墙的分类3、防火墙的工作机制(三表五链) 一、防火墙的基本知识 1、防火墙的定义 防火墙,也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网,防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障,它按照系统管理员预先定义好的规则来控制数据包的进出,防火墙...
Linux学习笔记RHEL 7(四)--Iptables、Firewalld防火墙设置与Xshell远程连接
笑桐笔记的博客
03-28 4484
本章节所讲都是在网卡配置成功的基础上,其中网卡配置及测试请移步我的上一篇博客: Linux学习笔记(七)--RedHatEnterpriseLinux 7.0之管道符、重定向、环境变量、Vim编辑器与Shell命令脚本一、iptables基本的命令参数        iptables中常用的参数以及作用参数作用-P设置默认策略-F清空规则链-L查看规则链-A在规则链的末尾加入新规则-I num在规...
redhat 7中部署邮件系统
weixin_52532523的博客
10-12 5327
某高校组建了校园网,现需要在校园网中部署一台电子邮件服务器,用于发送公文和工作交流。
CentOS7 Redhat7 openssh8.4p1升级包
10-21
5. **防火墙设置**:升级后,确保防火墙(如firewalld或iptables)配置允许SSH连接。 **总结** 升级OpenSSH到8.4p1版本是提升系统安全性的重要步骤,但同时需要注意潜在的问题和风险。在升级前做好充分的准备,...
centos7&redhatfirewalld 详细介绍配置
weixin_34043301的博客
04-01 256
firewalld和iptables的关系 firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。 firewalld的配置模式 fi...
Redhat Linux 7 firewalld
专注企业信息化
08-28 445
获得root 控制权限。在“#”下操作。   看防火墙状态。   systemctl status firewalld   Redhat Linux 7 命令关闭防火墙  临时关闭防火墙命令。重启电脑后,防火墙自动起来。  systemctl stop firewalld  永久关闭防火墙命令。重启后,防火墙不会自动启动。 systemctl disable firewalld
RedHat Linux 8 中火墙管理工具firewalld介绍
Howei__的博客
03-22 1202
firewalld 服务开启 如果主机里本身开启的是iptables管理服务,更改为firewalld 1 firewalld的开启 systemctl stop iptables systemctl disable iptables systemctl mask iptables systemctl unmask firewalld systemctl enable --now firewall...
Linux防火墙的基础知识学习
even160941的博客
06-05 899
防火墙相关概念介绍 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体),主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:在硬件级别实现部分防火墙功能,另-部...
RedHat 7firewalld防火墙规则
三朝看客
06-16 2748
RedHat7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalld跟iptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、firewalld使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功
RHCE-防火墙
qq_68163788的博客
04-26 2612
防火墙是一种网络安全设备,用于保护网络不受恶意攻击和未经授权的访问。它是一种位于网络边缘的设备,可以监控和控制进出网络的流量,根据预设的安全策略,阻止潜在的威胁和攻击。 防火墙的工作原理是检测进出网络的数据包,并根据事先设定的规则对其进行过滤和处理。例如,可以根据源地址、目标地址、端口号等特征进行过滤,也可以根据协议类型、应用程序等进行识别和阻止。 防火墙可以提供多种安全功能,如网络地址转换(NAT)、虚拟专用网络(VPN)、入侵检测和预防(IDS/IPS)等。
RedHat8 防火墙firewalld
杨仕虎的博客
07-25 3013
防火墙基础 firewalld:守护进程 firewall-cmd:管理工具 nftables:8的防火墙架构,7之前版本依然使用iptables的netfilter 原则:数据包必须要属于一个域(zone)才能被转发 匹配zone的3个顺序
RedHat9 | 防火墙配置与管理
weixin_45564816的博客
06-12 1832
区域默认配置预定义允许访问的服务备注trusted允许所有进站所有home默认拒绝进入,除流量与流出流量相关(请求由内部发起)与home类似,根据区域名含义,可作为内网与外网的区分internal默认拒绝进入,除流量与流出流量相关(请求由内部发起)与home类似,根据区域名含义,可作为内网与外网的区分work默认拒绝进入,除流量与流出流量相关(请求由内部发起)public默认区域,默认拒绝进入external默认拒绝进入,除流量与流出流量相关(请求由内部发起)ssh。
redhat下的iptables和firewalld 笔记
miaoxiaocheng的博客
03-28 441
iptables命令怎么用? 网上看见的一个不错的图。 使用iptables命令配置的防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,还要执行保存命令: service iptables save 怎么理解firewalld? 简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略...
redhat 7.9防火墙设置
04-02
</think>### RedHat 7.9 防火墙配置教程(基于firewall-cmd) #### 一、基础防火墙状态管理 1. **启用/禁用防火墙** - 永久启用防火墙: $$systemctl\ enable\ firewalld.service$$ - 永久禁用防火墙: $$...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值