防火墙——firewalld
介绍
firewald是对于iptables的一个封装,可以让你更容易地管理iptables规则。firewalld是iptables前端控制器,用于实现持久地网络流量规则。
一、对比
firewalld与直接控制地iptables相对比:
- firewalld使用区域和服务而不是链式规则。
- firewalld动态地管理规则集,允许更新规则而不破坏现有回话和连接。
- firewalld的规则是默认拒绝,iptables的规则默认是允许。
二、区域
firewalld可以将网卡对应到不同区域,一共有九个区域。
区域 | 默认策略规则 |
trusted | 允许所有的流量包进出 |
home |
拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client dhcpv6-client服务相关,则允许进入。 |
internal | 等同于home区域 |
work | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许进入。 |
public | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许进入。 |
external | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh服务相关,则允许进入。 |
dmz | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh服务相关,则允许进入。 |
block | 拒绝进入的流量,除非与出去的流量相关; |
drop | 拒绝进入的流量,除非与出去的流量相关; |
相对应的这九个区域的配置文件存在于/usr/lib/firewalld/zones下。
默认情况下,在/etc/firewalld/zones下面有一个public.xml。如果给任何一个区域做一些改动,并永久保存,/etc/firewalld/zones就会自动生成对应的配置文件。
三、服务
在/usr/lib/firewalld/services目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,例如ssh服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp端口。当默认的服务不够用或者需要重新定义默认的服务端口时,就可以在此目录下进行配置。
优点: 通过服务名字来管理规则更加人性化;用服务来组织端口分组更加高效,如果一个服务需要多个端口,则在服务配置文件中就可以直接操作多个端口的开启和关闭。
四、命令
1、基础信息
#firewalld启动关闭重启
systemctl start firewalld
systemctl stop firewalld
systemctl restart firewalld
#查看firewalld的版本
firewall-cmd -V | firewall-cmd --version
#显示帮助
firewall-cmd -h | firewall-cmd --help
#显示防火墙的状态
firewall-cmd --state | systemctl status firewalld
#重新加载防火墙配置
firewall-cmd --reload
2、区域相关
#查看所有区域的名称
firewall-cmd --get-zones
#查看默认的区域名称
firewall-cmd --get-default-zone
#设置默认的区域
firewall-cmd --set-default-zone=区域名称
#显示正在使用的区域和对应的网卡名称
firewall-cmd --get-active-zone
#默认public区域拒绝所有流量,但如果来源IP是192.168.10.0/24网段则允许
[root@localhost ~]# firewall-cmd --zone=public --list-services #查看publicq区域中默认通行的服务
dhcpv6-client telnet[root@localhost ~]# firewall-cmd --zone=public --remove-service=dhcpv6-client --remove-service=telnet #删除public区域中的默认服务
success
[root@localhost ~]# firewall-cmd --zone=trusted --add-source=192.168.10.0/24 #将所有来自192.168.10.0/24的端口设置为通行
success
[root@localhost ~]# firewall-cmd --reload
success
3、端口相关
#查看当前开放的端口
firewall-cmd --list-ports
#开启指定端口,允许所有端口访问
[root@localhost ~]# firewall-cmd --zone=public --add-port=443/tcp --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#移除某个开启的端口,允许所有端口访问
[root@localhost ~]# firewall-cmd --zone=public --remove-port=443/tcp --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#查看某个端口是否开放
[root@localhost ~]# firewall-cmd --query-port=80/tcp
yes
4、富规则相关
#查看目前拥有的富规则
firewall-cmd --list-rich-rules
#开放某个端口只允许指定IP访问
[root@localhost ~]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.10.11" port protocol="tcp" port="443" accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#移除某个富规则
[root@localhost ~]# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="192.168.10.11" port protocol="tcp" port="3306" accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success
5、转发规则
#允许TCP端口转发
[root@localhost ~]# firewall-cmd --zone=public --add-masquerade
success
[root@localhost ~]# firewall-cmd --reload
success#将访问到本机的443端口的流量转发到192.168.10.10的80端口上
[root@localhost ~]# firewall-cmd --add-forward-port=port=443:proto=tcp:toport=80:toaddr=192.168.10.10 --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#去除某条转发规则
[root@localhost ~]# firewall-cmd --remove-forward-port=port=443:proto=tcp:toport=80:toaddr=192.168.10.10 --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#查看所有转发规则
[root@localhost ~]# firewall-cmd --list-forward-ports
port=80:proto=tcp:toport=80:toaddr=192.168.10.11
port=3306:proto=tcp:toport=80:toaddr=192.168.10.13
6、服务相关
#允许192.168.10.10主机访问ssh服务,等同于开放22端口
[root@localhost zones]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.10.10" service name="ssh" accept" --zone=public
success
[root@localhost zones]# firewall-cmd --reload
success#每分钟允许两个新连接访问ftp服务
[root@localhost ~]# firewall-cmd --add-rich-rule="rule service name=ftp limit value=2/m accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#允许IPV6地址为1:2:3:4:6::子网的主机访问dns服务,并且每小时审核以西,300秒后自动取消
[root@localhost ~]# firewall-cmd --add-rich-rule="rule family="ipv6" source address="1:2:3:4:6::" service name="dns" audit limit value=1/h accept" --timeout=300
success
7、网卡相关
#查看指定网卡所对应的区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public#修改指定网卡对应的区域
[root@localhost ~]# firewall-cmd --zone=drop --change-interface=ens33
success#将来自某个网卡的流量全部作用于drop区域
[root@localhost ~]# firewall-cmd --zone=drop --add-interface=ens33
success
[root@localhost ~]# firewall-cmd --reload
success
8、应急状况
此方法是防火墙的应急状况模式,启动后远程连接也会断掉
#检查应急状况是否开启
[root@localhost ~]# firewall-cmd --query-panic
no#开启应急状况
[root@localhost ~]# firewall-cmd --panic-on #拒绝所有流量,远程连接会立即断掉,只能本地登录
success
#关闭应急状况
[root@localhost ~]# firewall-cmd --panic-off #取消应急模式,但需要重新启动firewalld后才可以远程ssh
success
防火墙——firewalld的更多相关文章
- Centos 7防火墙firewalld开放80端口(转)
开启80端口 firewall-cmd --zone=public --add-port=80/tcp --permanent 出现success表明添加成功 命令含义: --zone #作用域 -- ...
- fedora/centos7防火墙FirewallD详解
1 使用 FirewallD 构建动态防火墙 1.1 “守护进程” 1.2 静态防火墙(system-config-firewall/lokkit) 1.3 使用 iptables 和 ip6tabl ...
- 第一篇:动态防火墙firewalld和静态防火墙iptables
动态防火墙firewalld firewalld提供了一个动态管理的防火墙,它支持网络(network)/防火墙区域(firewall zones )来定义网络连接( network connecti ...
- 防火墙firewalld的基础操作
防火墙Firewalld.iptables 1.systemctl模式 systemctl status firewalld #查看状态 2 systemctl start firewalld #启动 ...
- centos 7.0 修改ssh默认连接22端口 和 添加防火墙firewalld 通过端口
首先 先做的就是 修改ssh的默认端口22 需要修改文件 /etc/ssh/sshd_config 使用命令 vi /etc/ssh/sshd_config [root@localhost ~]# v ...
- Centos 7防火墙firewalld开放80端口
开启80端口 1.firewall-cmd --zone=public --add-port=80/tcp --permanent 出现success表明添加成功 命令含义: --zone #作用域 ...
- linux 防火墙--firewalld学习
firewalld是centos7默认的防火墙,相比于iptables重要的优势: 1 支持动态更新: 2 不用重启服务: 同时增加了防火墙的“zone”概念,具体差异没做过多了解,这篇文章只记录fi ...
- 【Centos7】5分钟理解防火墙firewalld
Centos7中默认将原来的防火墙iptables升级为了firewalld,firewalld跟iptables比起来至少有两大好处: 1.firewalld可以动态修改单条规则,而不需要像ipta ...
- Centos 7 防火墙firewalld命令
今天自己在Hyper-v下搭建三台Linux服务器集群,用于学习ELKstack(即大数据日志解决技术栈Elasticsearch,Logstash,Kibana的简称),下载的Linux版本为cen ...
- CentOS7 防火墙firewalld详细操作
1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disab ...
随机推荐
- Robust De-noising by Kernel PCA
目录 引 主要内容 Takahashi T, Kurita T. Robust De-noising by Kernel PCA[C]. international conference on art ...
- 前后端java+vue 实现rsa 加解密与摘要签名算法
RSA 加密.解密.签名.验签.摘要,前后端java+vue联调测试通过 直接上代码 // 注意:加密密文与签名都是唯一的,不会变化.// 注意:vue 端密钥都要带pem格式.java 不要带pem ...
- 使用 jQuery 选择器获取页面元素,然后利用 jQuery 对象的 css() 方法设置其 display 样式属性,从而实现显示和隐藏效果。
查看本章节 查看作业目录 需求说明: 使用 jQuery 选择器获取页面元素,然后利用 jQuery 对象的 css() 方法设置其 display 样式属性,从而实现显示和隐藏效果. 具体要求如下: ...
- Python原生数据结构增强模块collections
collections简介 python提供了4种基本的数据结构:list.tuple.dict.set.基本数据结构完全可以hold住所有的场景,但是在处理数据结构复杂的场景时,这4种数据结构有时会 ...
- Python_time&datetime
获取常用日常时间 # encoding: utf-8 import time import datetime # 当前时间 datetime_now_time = datetime.datetime. ...
- [ vue ] 解耦vuex(按照组件来组织vuex的结构)
问题描述 随着应用复杂度的增加,vuex用一个 store/index.js 文件来描述已经很难维护了,我们想把这些状态分割到单独文件里面. 参考1:https://vuex.vuejs.org/zh ...
- 简单谈谈 TCP/IP
1.前言 IP 或 ICMP.TCP 或 UDP.TELNET 或 FTP.以及 HTTP 等都属于 TCP/IP 协议. 他们与 TCP 或 IP 的关系紧密,是互联网必不可少的组成部分.TCP/I ...
- websocket 使用 spring 的service层 ,进而调用里面的 dao层 来操作数据库 ,包括redis、mysql等通用
1.前言 描述一下今天用websocket踩得坑 --->空指针异常! 我想在websocket里面使用service 层的接口,从中获取数据库的一些信息 , 使用 @Autowired 注 ...
- dart系列之:手写Library,Library编写最佳实践
目录 简介 使用part和part of src中的文件 package中的lib文件 总结 简介 Library是dart用来组织代码的一种非常有用的方式,通过定义不同的Library,可以将非常有 ...
- 自动化集成:Pipeline整合Docker+K8S
前言:该系列文章,围绕持续集成:Jenkins+Docker+K8S相关组件,实现自动化管理源码编译.打包.镜像构建.部署等操作:本篇文章主要描述流水线集成K8S用法. 一.背景描述 分布式服务的部署 ...