firewalld批量配置富规则——脚本案例

最新推荐文章于 2025-04-25 18:46:14 发布
最新推荐文章于 2025-04-25 18:46:14 发布
阅读量254 收藏 4
点赞数 1
分类专栏: Shell firewalld防火墙 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_53389944/article/details/146913149
版权

以下脚本是对firewalld的策略方针是:先放通所有流量,再禁用所有高危端口,按需开放特定IP的高危端口访问权限:

默认情况下firewalld富规则reject黑名单策略会比accept白名单的优先级高,所以我使用了priority=100参数设定reject优先级更低(priority默认优先级为0,数值越大优先级越小)。

所以他们的优先级是:特定accept > 高危reject > trusted1

#!/bin/bash

# 设置防火墙默认区域为trusted(允许所有流量)
firewall-cmd --set-default-zone=trusted > /dev/null 2>&1
if [ $? -ne 0 ]; then
    echo "防火墙初始化失败!无法设置默认区域"
    exit 1
fi

#############################################
# 第一阶段:禁用所有高危端口
#############################################

# 需要禁用的TCP高危端口
reject_tcp_port="20 21 23 69 111 2049 512 513 514 4899 8009 3389 445"
# 需要禁用的UDP高危端口 
reject_udp_port="69"

echo "正在禁用高危端口..."

# 禁用TCP端口(使用双引号包裹整个规则,内部引号转义)
for port in $reject_tcp_port; do
    firewall-cmd --permanent --add-rich-rule="rule priority=\"100\" port port=\"$port\" protocol=\"tcp\" reject" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:禁用TCP端口 $port 失败!"
    fi
done

# 禁用UDP端口(使用双引号包裹整个规则,内部引号转义)
for port in $reject_udp_port; do
    firewall-cmd --permanent --add-rich-rule="rule priority=\"100\" port port=\"$port\" protocol=\"udp\" reject" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:禁用UDP端口 $port 失败!"
    fi
done

#############################################
# 第二阶段:按需开放特定IP的访问权限
#############################################

echo "正在配置例外IP访问规则..."

# 定义需要特殊允许的IP和端口
Allow_traffic_20="10.119.68.{162..191} 10.119.68.{229..234} 10.119.11.{96..105} 10.119.68.161"
Allow_traffic_21="10.119.68.{162..191} 10.119.68.161 10.119.68.107"
Allow_traffic_3389="10.119.68.{155..158} 10.119.68.161 10.119.180.9 10.119.180.112"
Allow_traffic_445="10.119.68.{155..158} 10.119.68.161 10.119.13.29"
Allow_traffic_any="10.119.68.{180..181}"

# 配置20端口例外(使用双引号包裹整个规则)
for ip in $(eval echo "$Allow_traffic_20"); do
    firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$ip\" port port=\"20\" protocol=\"tcp\" accept" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:为IP $ip 开放20端口失败"
    fi
done

# 配置21端口例外(使用双引号包裹整个规则)
for ip in $(eval echo "$Allow_traffic_21"); do
    firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$ip\" port port=\"21\" protocol=\"tcp\" accept" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:为IP $ip 开放21端口失败"
    fi
done

# 配置3389端口例外(使用双引号包裹整个规则)
for ip in $(eval echo "$Allow_traffic_3389"); do
    firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$ip\" port port=\"3389\" protocol=\"tcp\" accept" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:为IP $ip 开放3389端口失败"
    fi
done

# 配置445端口例外(使用双引号包裹整个规则)
for ip in $(eval echo "$Allow_traffic_445"); do
    firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$ip\" port port=\"445\" protocol=\"tcp\" accept" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:为IP $ip 开放445端口失败"
    fi
done

# 配置全端口例外(使用双引号包裹整个规则)
for ip in $(eval echo "$Allow_traffic_any"); do
    firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$ip\" accept" > /dev/null 2>&1
    if [ $? -ne 0 ]; then
        echo "警告:为IP $ip 开放所有端口失败"
    fi
done

#############################################
# 最终生效配置
#############################################

# 重新加载防火墙配置
firewall-cmd --reload > /dev/null 2>&1
if [ $? -eq 0 ]; then
    echo "防火墙配置已成功更新!"
    echo "已禁用高危端口:$reject_tcp_port(TCP) $reject_udp_port(UDP)"
    echo "已设置例外访问规则"
else
    echo "错误:防火墙配置重载失败!"
    exit 2
fi

# 显示当前富规则
echo -e "\n当前生效的富规则:"
firewall-cmd --list-rich-rules

  1. trusted为保底策略优先级最低一个具有注脚的文本。 ↩︎

shell 编程 入门到实战详解
互联网老辛
09-30 2998
一. shell变量、循环 概述 Shell是一种具备特殊功能的程序,它提供了用户与内核进行交互操作的一种接口。它接收用户输入的命令,并把它送入内核去执行。内核是Linux系统的心脏,从开机自检就驻留在计算机的内存中,直到计算机关闭为止,而用户的应用程序存储在计算机的硬盘上,仅当需要时才被调入内存。Shell是一种应用程序,当用户登录Linux系统时,Shell就会被调入内存去执行。Shell独...
自动化运维工具Ansible——(3)Playbook部署LNMP
w1206507055的博客
06-22 1930
通过playbook安装管理LNMP
firewalld 高级配置、IP 伪装与端口转发、配置IP伪装规则配置端口转发规则firewalld的direct interface高级接口配置语言、语言语法解释、地址伪装、端口转发
jingyu飞鸟
06-11 6584
息作为前缀加入。日志等级可以是emerg、alert、crit、或者debug中的一个。可以选择日志的用法,按以下方式限制日志:持续时间的单位为s、m、h、d。s表示秒,m表示分钟,h表示小时,d表示天。最大限定值是1/d(每天最多有一条日志进入)。
快速添加防火墙firewalld脚本
二狗子的博客
02-23 557
这个脚本会接收一个参数,即你想要开放的端口号,然后使用firewalld命令来配置防火墙规则。请确保你的系统中已安装并启用了firewalld服务。
firewalld规则(超详细讲解版)
最新发布
qqlsz147369的博客
04-25 2457
firewalld是CentOS7默认的防火墙服务,而“规则(rich rules)”是firewalld提供的一种更灵活、更细粒度的规则配置方式,用来实现firewalld默认规则无法满足的功能。
Firewalld脚本
weixin_50344807的博客
11-18 668
文章目录Firewalld概述Firewalld和iptables的关系Firewalld网络区域Firewalld数据处理流程Firewalld防火墙的配置方法Firewall-config图像工具Firewalld防火墙预定义区域、firewall-cmd字符管理工具firewalld的基本使用服务设置服务管理为网卡设置区域设置默认区域查看活动区域及端口 Firewalld概述 ●支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 ●支持IPv4、IPv6防火墙设置以及以太网桥。 ●支持
shell脚本——friewalld防火墙
bailuyuanx的博客
03-12 614
firewalld脚本 #!/bin/bash ZONE=--zone=public PERM=--permanent Firewall (){ systemctl status firewalld.service 1>/dev/null 2>&1 B=$? if [ $B -eq 4 ]; then echo $server no firewalld.service else
firewalld规则配置黑名单
weixin_53389944的博客
03-06 637
规则,可以灵活地屏蔽指定 IP 地址或 IP 地址段。如果需要撤销规则,可以使用。参数确保规则持久化,并通过。
六章——Shell脚本应用 (应用——linux高级管理)
MKC__jiaoq的博客
07-10 1209
一、shell 基础 (一)、为什么用shell? 使用目的:用来解决服务器自动化运维,减轻管理员的工作量,解决大量的重复性的输入和交互式操作问题 (二)、编写shell 脚本 1、shell:一个特殊的应用程序,位于用户和操作系统内核之间,用来把用户输入的命令解释给系统内核去执行,并输出执行结果 (解释器) 2、查看Linux 系统所支持的shell 脚本种类: cat /etc/shells 注意: /bin/bash 是大多数Linux 系统的默认Shell 3、shell脚本: 把操作命令放在..
企业级批量无人值守安装
cnzzs的博客
08-26 678
企业级批量无人值守安装一、批量无人值守安装1.简介PXE工作流程2.核心技术(dhcp、httpd、tftp)3.实验3.1 准备环境3.2 防护关闭3.3 软件安装3.4 软件配置DHCP服务设置httpd服务配置tftp服务配置3.5 编写引导安装相关文件,放到指定位置3.5.1 需要共享的文件3.5.2 导入必要文件...
linux防火墙规则,firewalld规则
weixin_36202273的博客
05-12 4015
firewalld规则可以定义更复杂强大的防火墙规则语法:fiewall-cmd [--permanent] --add-rich-rule="rich rule"其中规则的结构如下:1,一般规则结构rule[source][destination]service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|sourc...
查看firewalld规则(按优先级排序)
weixin_53389944的博客
03-28 466
特性--list-all显示内容仅规则全部配置(包含规则)输出详细程度简洁全面规则排序按优先级排序不特别排序包含基础规则否是包含接口/源信息否是包含服务/端口信息否是。
firewalld 端口、规则
舍人的学习工厂
08-07 6523
​​​​​​​​​​​​章节概述: 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用。 本章节内将会分别使用iptables、firewall-cmd、firewall-config和Tcp_wrappers等防火墙策略配置服务,够熟练的对请求数据包流量进行过滤,还能够基于服务程序进行允许和关闭操作,从更好的层面保证了Linux系统的安全...
Linux -- firewalld语言规则
2301_77023501的博客
01-11 2087
firewalld语言(rich language)提供了一种不需要了解 iptables 语法的通过高级语言配置复杂 IPv4和IPv6 防火墙规则的机制,为管理员提供了一种表达性语言,通过这种语言可以表达firewalld 的基本语法中未涵盖的自定义防火墙规则。通过地址伪装,NAT 设备将经过设备的包转发到指定接收方,同时将通过的数据包的源地址更改为其自己的接口地址,当返回的数据包到达时,会将目的地址修改为原 始主机的地址并做路由。(1)为认证报头协议AH使用新的IPv4和IPv6连接。
firewalld规则以及应用场景
chrshh2006的专栏
03-27 1539
Firewalld支持规则(richrules),允许用户基于多种条件精细配置和控制网络访问。规则类型包括filter、nat、mangle和raw,每种规则类型都有不同的应用场景和配置选项。使用Firewalld和richrules可以定制精确的网络访问策略,保护系统的安全性和可用性。
firewalld(4) Rich Rule
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
07-01 1548
firewalld防火墙服务中的一部分,它提供了一种更为丰和易于理解的方式来创建复杂的防火墙规则。这种丰语言(Rich Language)使用带有值的关键词,并且是对iptables规则的一种抽象表示。
firewalld规则优先级
weixin_53389944的博客
09-10 604
可参考:https://www.cnblogs.com/architectforest/p/18382336。来指定,默认不填的话priority都是0,优先级区间(-32767至32767)默认情况下firewalld会先匹配黑名单(reject)规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值