firedwalld防火墙基础配置命令相关

最新推荐文章于 2025-04-06 21:19:14 发布

亨特潘

最新推荐文章于 2025-04-06 21:19:14 发布

阅读量2.2k

点赞数

本文链接：https://blog.youkuaiyun.com/weixin_50344914/article/details/110140131

版权

防火墙相关

firewalld

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4，IPv6防火墙设置以及以太网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式：
1.运行时配置：临时命令在重启前有效，重启后清空
2.永久配置：配置命令只有在重启后才能生效
在这里插入图片描述

firewalld与iptables

netfilter

位于Linux内核中的包过滤功能体系
称为Linux防火墙的“内核态”（面向硬件）

Firewalld和iptables

CentOS7默认的管理防火墙规则的工具（Firewalld）
称为Linux防火墙的“用户态”（面向用户）
在这里插入图片描述

firewalld和iptables的区别

在这里插入图片描述

firewalld相关

firewalld网络区域

区域如同进入主机的安全门，每个区域都具有不同限制程度的规则
可以使用一个或多个区域，但是任何一个活跃区域至少需要关联源地址或接口（网络接口—网卡）
默认情况下，public区域是默认区域，包含所有接口（网卡）
在这里插入图片描述

firewalld数据处理流程

检查数据来源的源地址
1.若源地址关联到特定的区域，则执行该区域所指定的规则
2.若源地址未关联到特定的区域，则使用传入网络接口的区域并执行该区域所指定的规则
3.若网络接口未关联到特定的区域，则使用默认区域并执行该区域所指定的规则

外部流量效果：源地址是否关联
网卡的所属区域
源地址关联（1）优先级大于网卡关联（2，3）优先级

firewalld防火墙配置方法

运行时配置

实时生效，并持续至Firewalld重新启动或重新加载配置
不中断现有连接
不能修改服务配置（临时有效，重新加载失效）

永久配置

不立刻生效，除非Firewalld重新启动或重新加载配置
中断现有连接
可以修改服务配置（永久有效，前提是需要重新加载）

firewall-config图形工具

systemctl start firewalld #开启防火墙
在这里插入图片描述

应用解析

配置：运行时配置和永久配置
重新加载防火墙
更改永久配置并生效
关联网卡到指定区域
修改默认区域
连接状态

区域下选项卡

服务：子选项卡（激活的区域以粗体显示，存在网卡，地址）
端口：子选项卡（添加的协议，端口）
协议：子选项卡
源端口：子选项卡（开放端口范围）
伪装：子选项卡（nat）
端口转发：子选项卡
ICMP过滤器：子选项卡

服务下选项卡

模块：子选项卡
目标地址：子选项卡

firewalld区域分类

firewalld将网卡对应到不同的区域（zone），zone默认共有9个
分别是：block、dmz、drop、external、home、internal、public、trusted、work
1.drop(丢弃)
任何接收的网络数据包都被丢弃，没有任何回复，仅能有发送出去的网络连接。
2.block(限制)
任何接收的网络数据包都被丢弃，没有任何回复，仅能有发送出去的网络连接。
3.pubic（公共）
在公共区域内使用，不能相信网络内的其它计算机不会对您的计算机造成危害，只能接收经过选取的连接。
4.external（外部）
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其它计算机，不能相信它们不会对您的计算机造成危害，只能接收经过选择的连接。
5.dmz（非军事区）
用于您的非军事区的电脑，此区域内可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接。
6.work（工作）
用于工作区。您可以基本相信网络内的其它电脑不会危害您的电脑，仅仅接收经过选择的连接。
7.home（家庭）
用于家庭网络。您可以基本信任网络内的其它计算机不会危害您的计算机。仅仅接收经过选择的连接。
8.internal（内部）
用于内部网络。您可以基本信任网络内其它计算机不会威胁您的计算机。仅仅接收经过选择的连接
9.trusted（信任）
可接受所有的网络连接。

/etc/firewalld/中的配置文件

Firewalld会优先使用/etc/firewalld/中的配置，如果不存在配置文件，则使用/usr/lib/firewalld/中的配置
/etc/firewalld/:用户自定义配置文件，需要时可通过从/usr/lib/firewalld/中拷贝
/usr/lib/firewalld/：默认配置文件,不建议修改，若恢复至默认配置，可直接删除/etc/firewalld/中的配置

firewall-cmd命令行工具

用法

显示可以使用容易理解的名称表示的所有服务
ls /usr/lib/firewalld/services
在这里插入图片描述
查看支持的所有的服务名称
firewall-cmd --get-services

查看所有区域
firewall-cmd --get-zones

查看当前默认区域
firewall-cmd --get-default-zone

查看当前指定网卡所处的区域
firewall-cmd --get-zone-of-interface=ens33

查看指定区域中有没有相关的服务开放
查看public（默认）区域中有没有ssh服务开启（yes/no）
firewall-cmd --zone=public --query-service=ssh
查看public（默认）区域中有没有ssh服务开启（yes/no）
firewall-cmd --zone=public --query-service=dns
查看public（默认）区域中有没有ssh服务开启（yes/no）
firewall-cmd --zone=public --query-service=dhcp
查看public（默认）区域中有没有ssh服务开启（yes/no）
firewall-cmd --zone=public --query-service=ftp
在这里插入图片描述
查看当前区域开放的服务
firewall-cmd --list-services
若是不指定区域，默认与当前网卡区域一样默认区域

查看所有区域开放的服务
firewall-cmd --list-all-zones

查看指定区域开放的服务
查看public（默认）区域开放的服务
firewall-cmd --list-services --zone=public
查看home区域开放的服务
firewall-cmd --list-services --zone=home
查看dmz区域开放的服务
firewall-cmd --list-services --zone=dmz
在这里插入图片描述
查看指定区域开放的详细服务
查看public（默认）区域中开放的详细服务
firewall-cmd --list-all --zone=public

防火墙重启
firewall-cmd --reload

设置访问和放行端口

在区域增加http服务

1.原
在这里插入图片描述

在public区域开启http服务，永久配置

验证
2.添加服务的端口号，协议
查看http的端口号
netstat -anpt | grep http

永久配置，区域public中的服务端口80
firewall-cmd --permanent --zone=public --add-port=80/tcp
重启
firewall-cmd --reload
查看
firewall-cmd --list-all --zone=public
在这里插入图片描述

删除区域里开放的服务

删除默认区域的http
firewall-cmd --permanent --zone=public --remove-service=http
重启
firewall-cmd --reload
查看
firewall-cmd --list-all --zone=public
在这里插入图片描述

临时配置形式进行删除端口号添加服务配置

运行时配置：临时命令在重启前有效，重启后清空
firewall-cmd --zone=public --remove-port=80/tcp
在这里插入图片描述

为网卡配置区域

为新的网卡配置区域

cd /etc/sysconfig/network-scripts/
cp ifcfg-ens33 ifcfg-ens37
vi ifcfg-ens37
在这里插入图片描述

查看新网卡所在区域
firewall-cmd --get-zone-of-interface=ens37

firewall-cmd --list-all --zone=internal

通过指定区域对应网卡

firewall-cmd --permanent --zone=external --change-interface=ens37
systemctl stop NetworkManager
firewall-cmd --reload
firewall-cmd --get-zone-of-interface=ens37
在这里插入图片描述

配置拒绝服务设置

禁止访问public区域

irewall-cmd --zone=public --add-icmp-block=echo-request --permanent
firewall-cmd --reload
firewall-cmd --list-all --zone=public
在这里插入图片描述

删除禁止访问区域public设置

firewall-cmd --zone=public --remove-icmp-block=echo-request --permanent
firewall-cmd --reload
firewall-cmd --list-all --zone=public
在这里插入图片描述

指定主机禁止ssh登录访问区域

在20.0.0.20上ssh登录20.0.0.10
在这里插入图片描述
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“20.0.0.20/32” service name=“ssh” reject”
firewall-cmd --reload
firewall-cmd --list-all --zone=public

再次登录

设置默认区域

firewall-cmd --set-default-zone=home #设置默认区域为home
在这里插入图片描述
激活
firewall-cmd --zone=home --add-source=20.0.0.20/32

查看活动区域及端口

firewall-cmd --get-active-zones
在这里插入图片描述

firewalld项目

项目环境及需求描述

禁止主机ping服务器
只允许20.0.0.20主机访问SSH服务器
允许所有主机访问Apache服务
在这里插入图片描述

流程

1.禁止主机ping服务器
firewall-cmd --zone=public --add-icmp-block=echo-request --permanent
firewall-cmd --reload
firewall-cmd --list-all
在这里插入图片描述
效果

2.只允许20.0.0.10主机访问SSH服务器
设置只有区域public配置20.0.0.10/32用户，关联20.0.0.10地址可登录SSH服务
firewall-cmd --list-all #查看默认
firewall-cmd --zone=public --add-source=20.0.0.10/32 --permanent #设置只有区域public配置20.0.0.10/32用户
firewall-cmd --set-default-zone=home #设置默认为home
firewall-cmd --change-interface=ens33 --zone=home --permanent#设置网卡ens33关联默认区域home
systemctl stop NetworkManager
firewall-cmd --reload
在这里插入图片描述
firewall-cmd --zone=home --remove-service=ssh --permanent #删除home区域关联的SSH服务
firewall-cmd --reload
firewall-cmd --list-all

允许20.0.0.10用户访问SSH服务
firewall-cmd --zone=public --add-rich-rule=“rule family=“ipv4” source address=“20.0.0.10” service name=“ssh” accept”
firewall-cmd --list-all --zone=public
在这里插入图片描述在20.0.0.10主机访问SSH服务器

在20.0.0.30主机访问SSH服务器

3.允许所有主机访问Apache服务
yum -y install httpd #安装
echo “nice” > /var/www/html/index.html #配置网页服务
systemctl start httpd#开启http服务
firewall-cmd --zone=public --add-service=http --permanent
firewall-cmd --zone=home --add-port=80/tcp --permanent
firewall-cmd --reload #重启允许所有主机访问apache
在这里插入图片描述