firewall-cmd 常用参数及作用

  1. 参数	                   作用
  2. --get-default-zone	       查询默认的区域名称
  3. --set-default-zone=<区域名称>      设置默认的区域,使其永久生效
  4. --get-zones	             显示可用的区域
  5. --get-services	            显示预先定义的服务
  6. --get-active-zones	       显示当前正在使用的区域与网卡名称
  7. --add-source=	            将源自此IP或子网的流量导向指定的区域
  8. --remove-source=	      不再将源自此IP或子网的流量导向某个指定区域
  9. --add-interface=<网卡名称>  	 将源自该网卡的所有流量都导向某个指定区域
  10. --change-interface=<网卡名称>	  将某个网卡与区域进行关联
  11. --list-all	          显示当前区域的网卡配置参数、资源、端口以及服务等信息
  12. --list-all-zones	      显示所有区域的网卡配置参数、资源、端口以及服务等信息
  13. --add-service=<服务名>	      设置默认区域允许该服务的流量
  14. --add-port=<端口号/协议>	      设置默认区域允许该端口的流量
  15. --remove-service=<服务名>	  设置默认区域不再允许该服务的流量
  16. --remove-port=<端口号/协议>	  设置默认区域不再允许该端口的流量
  17. --reload	          让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
  18. --panic-on	          开启应急状况模式
  19. --panic-off	          关闭应急状况模式

 

 与Linux系统中其他的防火墙策略配置工具一样,使用firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且随着系统的重启会失效。如果想让配置策略一直存在,就需要使用永久(Permanent)模式了,方法就是在用firewall-cmd命令正常设置防火墙策略时添加--permanent参数,这样配置的防火墙策略就可以永久生效了。但是,永久生效模式有一个“不近人情”的特点,就是使用它设置的策略只有在系统重启之后才能自动生效。如果想让配置的策略立即生效,需要手动执行firewall-cmd --reload命令。

查看firewalld服务当前所使用的区域:

  1. [root@zhangjh ~]# firewall-cmd --get-default-zone
  2. public

查看eth0网卡在firewalld服务中的区域:

  1. [root@zhangjh ~]# firewall-cmd --get-zone-of-interface=eth0
  2. public

把firewalld服务中eth0网卡的默认区域修改为external,并在系统重启后生效。分别查看当前与永久模式下的区域名称:

  1. [root@zhangjh ~]# firewall-cmd --permanent --zone=external --change-interface=eth0
  2. success

查看eth0网卡在firewalld服务中的区域:  可以看到,在经过上边的修改之后并没有改变eth0网卡的默认区域,因为我们设置的是--permanent(永久)模式,需要执行命令firewall-cmd --reload 命令才能立即生效。

  1. [root@zhangjh ~]# firewall-cmd --get-zone-of-interface=eth0
  2. public

把firewalld服务中eth0网卡的默认区域修改为external,并在系统重启后生效。分别查看当前与永久模式下的区域名称:

  1. [root@zhangjh ~]# firewall-cmd --zone=external --change-interface=eth0 --permanent
  2. success
  3. [root@zhangjh ~]# firewall-cmd --get-zone-of-interface=eth0
  4. public
  5. [root@zhangjh ~]# firewall-cmd --get-zone-of-interface=eth0 --permanent
  6. external

把firewalld服务的当前默认区域设置为public:

  1. [root@zhangjh ~]# firewall-cmd --set-default-zone=public
  2. Warning: ZONE_ALREADY_SET: public
  3. [root@zhangjh ~]# firewall-cmd --get-default-zone
  4. public

启动/关闭firewalld防火墙服务的应急状况模式,阻断一切网络连接(当远程控制服务器时请慎用):

  1. [root@zhangjh ~]# firewall-cmd --panic-on     #阻断一切网络
  2. Warning: ALREADY_ENABLED
  3. [root@zhangjh ~]# firewall-cmd --panic-off
  4. success

查询public区域是否允许请求SSH和HTTPS协议的流量:  

  1. [root@zhangjh ~]# firewall-cmd --zone=public --query-service=ssh
  2. yes
  3. [root@zhangjh ~]# firewall-cmd --zone=public --query-service=https
  4. no

把firewalld服务中请求HTTPS协议的流量设置为永久允许,并立即生效:

  1. [root@zhangjh ~]# firewall-cmd --zone=public --add-service=https
  2. success
  3. [root@zhangjh ~]# firewall-cmd --zone=public --add-service=https --permanent
  4. success
  5. [root@zhangjh ~]# firewall-cmd --reload
  6. success
  7. [root@zhangjh ~]# firewall-cmd --zone=public --query-service=https
  8. yes

把firewalld服务中请求HTTP协议的流量设置为永久拒绝,并立即生效:

  1. [root@zhangjh ~]# firewall-cmd --reload
  2. success
  3. [root@zhangjh ~]# firewall-cmd --zone=public --query-service=http
  4. no
服务的访问控制列表(TCP wrappers):

TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。

TCP Wrappers服务的防火墙策略由两个控制列表文件所控制,用户可以编辑允许控制列表文件来放行对服务的请求流量,也可以编辑拒绝控制列表文件来阻止对服务的请求流量。控制列表文件修改后会立即生效,系统将会先检查允许控制列表文件(/etc/hosts.allow),如果匹配到相应的允许策略则放行流量;如果没有匹配,则去进一步匹配拒绝控制列表文件(/etc/hosts.deny),若找到匹配项则拒绝该流量。如果这两个文件全都没有匹配到,则默认放行流量。

  1. 客户端类型	  示例	              满足示例的客户端列表
  2. 单一主机	    192.168.10.10	          IP地址为192.168.10.10的主机
  3. 指定网段	    192.168.10.	          IP段为192.168.10.0/24的主机
  4. 指定网段	    192.168.10.0/255.255.255.0	IP段为192.168.10.0/24的主机
  5. 指定DNS后缀	.jianghua.com	          所有DNS后缀为.jianghua.com的主机
  6. 指定主机名称	www.jianghua.com	      主机名称为www.jianghua.com的主机
  7. 指定所有客户端	ALL	                所有主机全部包括在内

在配置TCP Wrappers服务时需要遵循两个原则:

  1. 编写拒绝策略规则时,填写的是服务名称,而非协议名称;
  2. 建议先编写拒绝策略规则,再编写允许策略规则,以便直观地看到相应的效果.

下面编写拒绝策略规则文件,禁止访问本机sshd服务的所有流量(无须/etc/hosts.deny文件中修改原有的注释信息):

  1. [root@zhangjh ~]# vim /etc/hosts.deny
  2. #
  3. # hosts.deny    This file contains access rules which are used to
  4. #               deny connections to network services that either use
  5. #               the tcp_wrappers library or that have been
  6. #               started through a tcp_wrappers-enabled xinetd.
  7. #
  8. #               The rules in this file can also be set up in
  9. #               /etc/hosts.allow with a 'deny' option instead.
  10. #
  11. #               See 'man 5 hosts_options' and 'man 5 hosts_access'
  12. #               for information on rule syntax.
  13. #               See 'man tcpd' for information on tcp_wrappers
  14. sshd:*
  15.  
  16. [root@zhangjh ~]# ssh 192.168.38.251
  17. ssh_exchange_identification: read: Connection reset by peer

  

效果就是客户端ssh连接失败:

  1. [c:\~]$ ssh 192.168.38.251
  2.  
  3. Connecting to 192.168.38.251:22...
  4. Connection established.
  5. To escape to local shell, press 'Ctrl+Alt+]'.
  6.  
  7. Connection closed by foreign host.
  8.  
  9. Disconnected from remote host(192.168.38.251:22) at 00:09:10.
  10.  
  11. Type `help' to learn how to use Xshell prompt.

接下来,在允许策略规则文件中添加一条规则,使其放行源自192.168.38.0/24网段,访问本机sshd服务的所有流量。可以看到,服务器立刻就放行了访问sshd服务的流量,效果非常直观:

  1. [root@zhangjh ~]# vim /etc/hosts.allow
  2. #
  3. # hosts.allow   This file contains access rules which are used to
  4. #               allow or deny connections to network services that
  5. #               either use the tcp_wrappers library or that have been
  6. #               started through a tcp_wrappers-enabled xinetd.
  7. #
  8. #               See 'man 5 hosts_options' and 'man 5 hosts_access'
  9. #               for information on rule syntax.
  10. #               See 'man tcpd' for information on tcp_wrappers
  11. sshd:192.168.38.  

 成功连接:

  1. [c:\~]$ ssh 192.168.38.251
  2.  
  3. Connecting to 192.168.38.251:22...
  4. Connection established.
  5. To escape to local shell, press 'Ctrl+Alt+]'.
  6.  
  7. Last login: Mon May 28 23:54:47 2018 from 192.168.38.1
  8. [root@zhangjh ~]#

firewall-cmd 防火墙命令详解 及 TCP Wrappers的更多相关文章

  1. centos7中firewall防火墙命令详解

    为了架设ss在vultr上买了一个日本的vps 用的是centos7的系统 防火墙是 firewall 捣鼓了两天 在这里总结一下. 如果小伙伴也准备在vultr上买vps  在注册是 可以使用这个优 ...

  2. windows防火墙命令详解

    Old command 针对win7以下版本<包含win7> Example 1: 启用一个程序 Old command New command netsh firewall add al ...

  3. Linux防火墙iptables学习笔记(三)iptables命令详解和举例[转载]

     Linux防火墙iptables学习笔记(三)iptables命令详解和举例 2008-10-16 23:45:46 转载 网上看到这个配置讲解得还比较易懂,就转过来了,大家一起看下,希望对您工作能 ...

  4. net user命令详解

    net use \\ip\ipc$ " " /user:" " 建立IPC空链接 net use \\ip\ipc$ "密码" /user: ...

  5. DOS常用命令详解

    DOS常用命令详解 dir 列文件名 deltree 删除目录树 cls 清屏 cd 改变当前目录 copy 拷贝文件 diskcopy 复制磁盘 del 删除文件 format 格式化磁盘 edit ...

  6. [转载]nc命令详解

    最近在搞反向连接,试来试去发现最好的工具还是nc.正好趁这个机会把nc的用法总结一下: 1.端口扫描: nc -vv ip port 例:nc -vv 192.168.1.1 5000 扫描192.1 ...

  7. DOS命令详解

    DOS命令详解 命令 \? 可以进入命令帮助 1.md命令创建目录. MKDIR [drive:]pathMD [drive:]path 如果命令扩展被启用,MKDIR 会如下改变: 如果需要,MKD ...

  8. net use命令详解

    net use命令详解 1)建立空连接: net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格) 2)建立非空连 ...

  9. linux netcat 命令详解

    功能说明:强大的网络工具语 法:nc [-hlnruz][-g<网关...>][-G<指向器数目>][-i<延迟秒数>][-o<输出文件>][-p< ...

随机推荐

  1. 使用Maven运行Java main的3种方式

    使用Maven运行Java main的3种方式 原文  http://blog.csdn.net/qbg19881206/article/details/19850857 主题 Maven maven ...

  2. asp.net 子域跨域 带cookie

    先来一个老外的解决方案: http://www.asp.net/web-api/overview/security/enabling-cross-origin-requests-in-web-api ...

  3. 在Magento System Configuration页面添加配置项

    以 Jp_Coupon 模块为例: 目标: 在 System configuration 页面添加一个 JP tab, 在JP中添加 Coupon section, 然后给 Coupon sectio ...

  4. 50道CSS基础面试题(附答案)

    1 介绍一下标准的CSS的盒子模型?与低版本IE的盒子模型有什么不同的? 标准盒子模型:宽度=内容的宽度(content)+ border + padding + margin低版本IE盒子模型:宽度 ...

  5. vue+element-ui实现cookie登录

    //效果 //login.vue <template> <div> <el-form :model="ruleForm" :rules="r ...

  6. ubuntu下virtualbox的卸载

    本想在ubuntu下virtualbox,可惜出错了,需要卸载后再安装,只能百度拼凑后再安装: 1.首先是执行删除命令:sudo apt-get remove virtualbox*( 这样就不用去查 ...

  7. Masonry 等间隔或等宽高排列多个控件

    - (void)viewDidLoad { [super viewDidLoad]; // Do any additional setup after loading the view, typica ...

  8. aar、jar、so的引入和aar打包包含so、aar、jar文件

    so依赖   1,先建本地仓库,指向so放置的目录

  9. Cocos2d-x v3.1 坐标系统(五)

    Cocos2d-x v3.1 坐标系统(五) 为了能够更好的布局以及了解对象所在的位置,我们必须对Cocos2d-x中的坐标有详细的了解,本篇文章主要就是了解Cocos中用到的坐标系统.学过数学的人都 ...

  10. CentOS-7系统安装配置

    CentOS 7 系统安装配置 服务器相关设置如下: 操作系统:CentOS 7.3.1611 IP地址:192.168.3.30 网关:192.168.3.1 DNS:8.8.8.8 8.8.4.4 ...