16.Linux :firewalld

原创 已于 2025-08-06 20:00:37 修改 · 356 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2025-08-06 18:30:52 首次发布

Linux :firewalld

防火墙基础概念
  1. 核心功能
    • 隔离风险区域与安全区域
    • 过滤不安全服务和非法用户
    • 限制用户访问特定网络
    • 提供安全监控能力
二、防火墙

netfilter模块–网络过滤模块
/lib/modules/3.10.0-957.el7.x86_64/kernel/net/netfilte

工具适用系统特点
netfilterLinux 内核模块基础网络过滤框架
iptablesCentOS 6传统管理工具
firewalldCentOS 7+动态防火墙,支持实时更新
三、Firewalld 核心概念

  1. 特殊区域(Zones)

    Zone行为反馈
    drop强制拒绝流量无响应
    block拒绝流量返回拒绝消息
    trusted允许所有流量-

    📌 关键特性

    • drop/block 区域始终禁止流量(无论是否勾选服务)
    • trusted 区域始终允许流量
四、常用命令
# 基础操作
firewall-cmd --state                  # 查看状态
[root@xieyuhui ~]# firewall-cmd --state 
running

firewall-cmd --get-default-zone       # 查看默认区域
[root@xieyuhui ~]# firewall-cmd --get-default-zone 
public

firewall-cmd --set-default-zone=home  # 设置默认区域
[root@xieyuhui ~]# firewall-cmd --set-default-zone=home
success
[root@xieyuhui ~]# firewall-cmd --get-default-zone 
home

# 服务管理
firewall-cmd --add-service=http       # 允许 HTTP 服务(临时生效)
firewall-cmd --add-service=http --permanent  # 永久生效
[root@xieyuhui ~]# firewall-cmd --add-service=http --permanent 
success

firewall-cmd --remove-service=http    # 移除服务
[root@xieyuhui ~]# firewall-cmd --remove-service=http
success

# 端口管理
firewall-cmd --add-port=8080/tcp      # 开放端口
[root@xieyuhui ~]# firewall-cmd --add-port=8080/tcp
success
firewall-cmd --list-all               # 查看所有配置
[root@xieyuhui ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client
  ports: 8080/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
五、富规则(Rich Rules)

  1. 语法

    firewall-cmd --add-rich-rule='' --permanent

  2. 核心组件

    rule family=ipv4/ipv6              # 协议
source address=192.168.100.10/24      # 源地址
service name=http                  # 服务名
port=80 protocol=tcp               # 端口协议
accept/reject/drop                 # 动作

  3. 典型场景

    # 允许特定网段访问 HTTP
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.100.10/24 service name=http accept' --permanent

# 拒绝 SSH 连接并记录日志
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.100.10/24 service name=ssh audit limit value=2/m reject' --timeout=600(未来10分钟内拒绝ssh)
六、网络增强功能

  1. IP 转发与伪装

    # 启用 IP 转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

sysctl -p
# 对某个区域伪装
firewall-cmd --add-masquerade --zone=public --permanent
#启用伪装
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.100.0/24 masquerade' --zone=public --permanent

  2. 端口转发

    # 基础转发
firewall-cmd --add-forward-port=port=8080:proto=tcp:toport=80

# 富规则转发(带目标IP)
firewall-cmd --add-rich-rule='rule family=ipv4 source address=8.8.8.0/24 forward-port port=80 protocol=tcp to-port=80 to-addr=192.168.100.10' --permanent

  3. 禁 Ping 配置

    vim /etc/sysctl.conf
net.ipv4.icmp_echo_ignore_all=1
sysctl -p
七、日志与审计

  1. 日志级别

    emerg > alert > crit > error > warning > notice > info > debug

  2. 审计规则示例

    # 记录 HTTP 访问(notice 级别,限速 10条/分钟)
firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.100.10/24 service name=http log prefix=http level=notice limit value=10/m accept' --permanent
八、操作流程
#配置标准流程
1.添加规则
firewall-cmd --add-rich-rule='' --permanent  
2. 重新加载
firewall-cmd --reload 
3. 验证配置
firewall-cmd --list-all
xx.ii
关注
Linux操作系统:Firewalld
m0_51456787的博客
08-09 2110
1 、常用的两张表 : filter、nat , filter用于过滤数据包,nat用于路由转发功能 2 、常用的两条链 : INPUT、OUTPUT 3 、常见的三个行为 : ACCEPT、DROP、REJECT 4 、限制流量的三个特征 : 端口、协议、IP,对应的五元组 : - d - s -- dport -- sport - p 5 、端口转发 : 本机端口、远程端口。......
Linux: network: firewall: firewalld 导致icmp带admin prohibited
mzhan017的博客
03-20 584
最近遇到一个主机主动回icmp,destination unreachable的错误包,而且里面的code是 administratively prohibited。使用netstat命令看,这个主机是有监听1026端口。说明是有管理员配置的iptables的rule给拒绝了这个包。
Linux防火墙启动超时报错:firewalld.service: Failed with result ‘timeout‘
m0_70227179的博客
11-12 767
如果你没有修改其他配置文件的情况下,大概率就是重启防火墙失败之后进程堵塞了,导致后续无法在启动防火墙,
Linux防火墙报错:Failed to start firewalld.service: Unit is masked
昊喵喵博士
07-25 241
【代码】Linux防火墙报错:Failed to start firewalld.service: Unit is masked。
Centos报Failed to stop firewalld.service: Unit firewalld.service not loaded.这个错的解决方案
热门推荐
qq_59311764的博客
12-16 5万+
centos使用systemctl stop firewalld.service(关闭防火墙命令)出现以下错误 Failed to stop firewalld.service: Unit firewalld.service not loaded. 根据百度翻译得到: 无法停止防火墙。服务:单位防火墙。服务未加载。 然后又使用systemctl start firewalld(启动防火墙)命令,出现以下错误 Failed to start firewalld.service: Unit not f
Linux报错 Failed to start firewalld.service: Unit is masked
达内---刘天孝作品
01-29 925
Failed to start firewalld.service: Unit is masked.报错
Centos7关闭防火墙时遇到的错误Failed to start firewalld.service: Unit not found. Unit firewalld.service could no
m0_38048955的博客
01-03 1761
systemctl disable firewalld.service //设置关闭开机制动启动。systemctl enable firewalld.service //设置开机自动启动。systemctl start firewalld.service //开启防火墙。systemctl stop firewalld.service //关闭防火墙。其实就是要排除你们是否安装了这个firewalld。然后查了很多资料都说执行下面这个就解决了。依次执行以上命令后发现终于ok了。Centos7关闭防火墙。
Linux 防火墙:Firewalld
shyuu的博客
09-14 2459
firewalld是 CentOS 7 系统中默认的防火墙管理工具,取代了之前的iptables,也工作在网络层,属于包过滤防火墙。firewalld和iptables都是用户态的防火墙管理工具,内部结构都指向内核态的netfilter网络过滤子系统,用来实现包过滤防火墙的功能。firewalld提供了一种动态防火墙管理工具,支持网络区域的定义、网络连接的安全等级管理。它支持 IPv4、IPv6 防火墙设置以及以太网桥(一些高级服务会用到,比如云计算)。它拥有两种配置模式:运行时配置和永久配置。
阿里云服务器提示FirewallD is not running以及Failed to start firewalld.service: Unit firewalld.service is maske
龙倾心的博客
10-02 707
今天玩Linux时发现的一个问题:防火墙开不了。 刚开始查了一下firewall设置: firewall-cmd --list-ports 发现防火墙没有开,就行设置一下让他开启来,结果还是不行,报如下错误: firewalld服务被锁定,不能添加对应端口: 出现这种情况,我们就要设置防火墙服务的锁定配置了。 执行命令,即可实现取消服务的锁定 systemctl unmask firewalld 下次需要锁定该服务时执行 systemctl mask firewalld 当我们设置了取消服务锁定时既可
firewalld.service: Start operation timed out. Terminating
u012934058的博客
09-12 1298
【代码】firewalld.service: Start operation timed out. Terminating。
Linux系统:Firewalld防火墙基础
weixin_45726050的博客
12-09 1419
文章目录前言:一、iptables介绍二、四表五链2.1 四表五链概述:2.2:具体的四表2.3 具体的五链2.4 四表五链之间的关系三、iptables语法格式四、Firewalld概述4.1 Firewalld简介4.2 Firewalld网络区域五、 Firewall图形工具5.1 Firewall-config图形工具 15.2 Firewall-config图形工具 2六、firewal...
LinuxFirewalld防火墙基础
T1937085011的博客
06-11 985
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具支持IPv4、IPv6防火墙设置以及以太网桥支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式。
yum报错 libssl.so.10: cannot open shared object file: No such file or directory
done V5 的博客
09-10 1万+
报错内容:libssl.so.10: cannot open shared object file: No such file or directory 报错截图: 问题确认: [root@xxx tmp]#ll /usr/lib64/libssl.so* [root@xxx tmp]#ll /usr/lib64/libcrypto.so* 确认确实没有libssl.so.10和libcrypto.so.10 解决方法:通过下载编译openssl来生成libssl.so.1.0.0和li..
Failed to stop firewalld.service: Unit firewalld.service not loaded. ubuntu
03-08
在Ubuntu中遇到`Failed to stop firewalld.service: Unit firewalld.service not loaded`错误通常意味着系统上未安装或未启用`firewalld`服务。对于此类情况,有几种方法可以处理这个问题。 #### 方法一:确认...
Failed to start firewalld.service: Unit firewalld.service not found
03-14
好的,用户遇到了Linux系统中firewalld.service单元不存在或未找到的错误。我需要根据提供的引用信息来解答这个问题。首先,根据引用[2],这个错误通常是因为系统没有安装firewalld服务导致的。用户可能在尝试停止或...
linux-系统日志查看指令systemctl
guchuanhang的专栏
08-05 328
本文介绍了Linux系统管理中的三个重要工具:systemctl用于管理系统服务,包括启动/停止服务和设置开机自启;journalctl用于查看systemd日志,支持按服务筛选和实时跟踪;以及基本日志查看和端口占用检查方法。文中还讲解了.service文件的存放位置差异,提供了常用命令参考和实用技巧,如查看Nginx进程启动时间、日志关键字搜索等。这些工具和技巧能有效帮助管理员进行日常系统维护和故障排查。
Linux 设备驱动程序(3)- 字符驱动(1)
qq_49477505的博客
08-02 1341
本文介绍了Linux字符设备驱动的开发流程,重点讲解了设备编号管理、核心数据结构及注册方法。字符设备驱动用于管理以字节流方式读写的设备,如串口、键盘等。开发时需处理主次设备号分配、file_operations结构定义、file/inode结构使用等关键环节。文章详细说明了静态/动态分配设备号的方法,以及通过cdev结构注册驱动的步骤(初始化、添加、创建节点等)。最后强调驱动卸载时要反向释放资源,包括删除设备文件、注销cdev结构等。整个流程体现了字符设备驱动如何在内核中建立设备编号与操作方法的关联机制。
Linux-进程优先级
m0_73936730的博客
08-04 704
简单的说优先级和权限的区别: 老规矩:先写个简单的进程代码: 进程优先级的修正数据,nice 值,nice其取值范围是-20至19,一共40个级别。新的优先级 = 优先级(默认80) + nice,这样,当nice值为负值的时候,那么该程序将会优先级值将变小,即其优先级会变高,则其越快被执行,所以调整进程优先级,在Linux下,就是调整进程nice值。再次修改nice值会失败,进程优先级不能经常修改我们 语法格式: 示例: 语法格式: 示例:
14.Linux : nfs与autofs的使用
最新发布
xie52的博客
08-05 412
【代码】14.Linux : nfs与autofs的使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值