firewalld 是一种动态防火墙管理解决方案。Centos 7 默认使用 firewalld。firewalld 是对 iptables 的一个封装,可以让你更容易地管理 iptables 规则。它并不是 iptables 的替代品,虽然 iptables 命令仍可用于 firewalld,但建议 firewalld 时仅使用 firewalld 命令。 与 iptables 相比,我觉得 firewalld 更好用

用一个例子说明下。比如要开放 8080 端口。

  • firewalld
  1. firewalld-cmd  --zone=public --add-port=5000/tcp --permanent
  2. firewalld-cmd --reload
  • iptables
  1. iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
  2. service iptables save
  3. systemctl iptables restart

相比之下 firewalld 更容易看懂,且步骤更少,又不用重启服务。 另外 firewalld 还有分区的概念容易整理一系列的端口。Centos 7 默认防火墙使用 Firewalld 还觉得挺好的。

安装 firewalld

Centos 7 会默认安装 firewalld,若卸载了要重新安装

  1. yum -y install firewalld

基本管理

  • 启动 systemctl start firewalld
  • 设置开机启动 systemctl enable firewalld
  • 重启 systemctl restart firewalld
  • 关闭开机启动 systemctl disable firewalld
  • 查看状态 systemctl status firewalld 或者 firewall-cmd --state

区域(zones)

Firewalld 有区域(zones)的概念。这有什么用呢?比如说,公共 WIFI 是不可信任的网络类型,而家庭网络几乎是完全可信任。如果这两者都采取相同的安全策略,就会有很多策略是冗余的。根据网络的类型,将防火墙分成不同的区域有它存在的价值。而在firewalld中会,会预先为你设定了很多个区域。 用下面的语句可以看到所有的区域

  1. firewall-cmd --get-zones
  1. block dmz drop external home internal public trusted work

其中从不信任到信任的排序是:

  • drop(丢弃):最低级别的信任。任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
  • block(限制):和上面相似,任何接收的网络连接都被 IPv4 的 icmp-host-prohibited (ping 不到) 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝
  • public(公共):在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
  • external(外部):特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
  • dmz(非军事区用):于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
  • work(工作):用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
  • home(家庭):用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
  • internal(内部):用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
  • trusted(信任):可接受所有的网络连接

区域命令

获取默认区域

  1. sudo firewall-cmd --get-default-zone
  1. public

查看所有区域的信息

  1. sudo firewall-cmd --list-all-zones
  1. block
  2.       target: %%REJECT%%
  3.       icmp-block-inversion: no
  4.       interfaces:
  5.       sources:
  6.       services:
  7.       ports:
  8.       protocols:
  9.       masquerade: no
  10.       forward-ports:
  11.       source-ports:
  12.       icmp-blocks:
  13.       rich rules:
  15.     dmz
  16.       target: default
  17.     ...

获取与 public 区域相关的信息

  1. sudo firewall-cmd --list-all

  1. sudo firewall-cmd --zone=public --list-all
  1.   public
  2.       target: default
  3.       icmp-block-inversion: no
  4.       interfaces:
  5.       sources:
  6.       services: ssh dhcpv6-client
  7.       ports:
  8.       protocols:
  9.       masquerade: no
  10.       forward-ports:
  11.       source-ports:
  12.       icmp-blocks:
  13.       rich rules:

当前活动区域

  1. sudo firewall-cmd --get-active-zones

默认是没有活动区域的,主要原因是没有为该区域设置网络接口,设置了网络接口后就可以了

为区域设置网络接口

  1. sudo firewall-cmd  --change-interface=eth0 --zone=public --permanent
  2. sudo firewall-cmd --reload

其中 firewall-cmd --reload 可以在不用重启的情况重新加载配置 而 --permanent 的意思是持久化的配置, 机器重启后规则依然能生效 至于如果看网络接口,可以用 ip addr 命令去看,其中lo是本地回环接口,其余的不是。 提示:要注意切换接口的区域,如果网络接口切入到一个drop区域什么的,会马上连 ssh 都连不上,谨慎切换 然后再

  1. sudo firewall-cmd --get-active-zones
  1.     public
  2.       interfaces: eth0

设置默认区域

如果你所有接口都用单区域去处理,那么只需选择默认区域就可以,而设置默认区域的命令是

  1. sudo firewall-cmd --set-default-zone=public

通过网络接口找区域

  1. firewall-cmd --get-zone-of-interface=eth0
  1. public

通过区域找接口

  1. firewall-cmd --zone=public --list-interfaces
  1.     eth0

区域的服务

获取能添加的所有服务

服务挺多的

  1. sudo firewall-cmd --get-services
  1. RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine ...

对应的文件在 /usr/lib/firewalld/services/ 的文件夹中,每个服务都有一个 xml 文件来定义。比如 :https.xml 的文件

  1.     <?xml version="1.0" encoding="utf-8"?>
  2.     <service>
  3.       <short>Secure WWW (HTTPS)</short>
  4.       <description>HTTPS is a modified HTTP used to serve Web pages when security is important. Examples are sites that require logins like stores or web mail. This option is not required for viewing pages locally or developing Web pages. You need the httpd package installed for this option to be useful.</description>
  5.       <port protocol="tcp" port="443"/>
  6.     </service>

添加服务

  1. sudo firewall-cmd  --permanent --zone=public --add-service=http
  2. sudo firewall-cmd  --reload

查看区域服务

  1. sudo firewall-cmd --zone=public --list-services
  1. ssh dhcpv6-client http

移除服务

  1. sudo firewall-cmd  --permanent --zone=public --remove-service=http
  2. sudo firewall-cmd  --reload

区域的端口

添加端口

  1. sudo firewall-cmd --zone=public  --permanent --add-port=80/tcp
  2. sudo firewall-cmd --reload

端口后的协议可以是tcp或者udp

添一段端口

  1. sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp

查看端口

  1. sudo firewall-cmd --zone=public --list-port
  1. 80/tcp

移除端口

  1. sudo firewall-cmd --permanent  --zone=public --remove-port=80/tcp
  2. sudo firewall-cmd  --reload

最后

我常用的命令就是以上几种、另外 firewall 也有端口转发、白名单、黑名单的功能,只是这些功能都有更好的替代品了,nginx 之类的。如果你想了解更多你可以看 firewall的官方文档_firewalld)

Linux 中使用 firewalld的更多相关文章

  1. linux中的虚拟化网络模型及各种模型实现

    第一种隔离模型: Guest1和Guest2都为虚拟机. 首先要了解在linux中的虚拟机的网卡都包含前半段和后半段,前半段在虚拟机上,后半段在宿主机上,这里以centos6为例,上图 eth0为Gu ...

  2. Linux中redis安装配置及使用详解

    Linux中redis安装配置及使用详解 一. Redis基本知识 1.Redis 的数据类型 字符串 , 列表 (lists) , 集合 (sets) , 有序集合 (sorts sets) , 哈 ...

  3. Linux中安装python3

    [centos7中安装python3]http://blog.csdn.net/wjqwinn/article/details/75633714 (一)安装python3前的准备工作1.修改文件中第一 ...

  4. centos7 firewall-cmd 理解多区域配置中的 firewalld 防火墙

    原文:https://www.linuxidc.com/Linux/2017-11/148795.htm 现在的新闻里充斥着服务器被攻击和数据失窃事件.对于一个阅读过安全公告博客的人来说,通过访问错误 ...

  5. 转:Linux中tomcat服务成功发布但局域网浏览器无法访问

    转自:http://blog.csdn.net/mooncom/article/details/53168143 昨天,我在搭建Linux中服务器环境时,碰见一个问题,这里和大家分享一下. 问题描述: ...

  6. Linux中iptables学习

    防火墙:是一种位于内部网络与外部网络之间安全的防护系统,依照特定的规则,允许或是限制传输的数据通过.iptables通常被用作类UNIX系统中的防火墙,更准确的说,可以称为iptables/netfi ...

  7. 全新linux中通过编译方式安装nginx

    先去官网下载linux.tar.gz包 http://nginx.org/en/download.html   传到linxu中 解压tar包 在软件包nginx-1.15.9目录下对NGINX进行配 ...

  8. linux中安装gitlab和cicd(断网版)

    1:先介绍一下怎么查找所需要的依赖包 #yum install rpmname--downloadonly --downloaddir=/rpmpath 例如:yum install gitlab-r ...

  9. Linux中Tomcat和Jboss的安装和部署

    目录 JDK环境 yum源安装JDK 源码包安装JDK Tomcat的安装 yum源安装 目录结构: 源码包安装 目录结构: 目录中主要的文件: JBoss的安装 目录结构: Tomcat是Apach ...

随机推荐

  1. [Swift]LeetCode962. 最大宽度坡 | Maximum Width Ramp

    Given an array A of integers, a ramp is a tuple (i, j) for which i < j and A[i] <= A[j].  The ...

  2. [Swift]LeetCode998. 最大二叉树 II | Maximum Binary Tree II

    We are given the root node of a maximum tree: a tree where every node has a value greater than any o ...

  3. 为什么大一先要学C语言(面向过程)再学C++或JAVA(面向对象)?

    面向对象和面向过程各有千秋 一.面向过程与面向对象对比  面向过程:强调的是每一个功能的步骤,有很多很多方法组成,这些方法相互调用,完成需求. 面向对象:强调的是对象,然后由对象去调用功能. 面向过程 ...

  4. 死磕 java集合之CopyOnWriteArrayList源码分析

    欢迎关注我的公众号"彤哥读源码",查看更多源码系列文章, 与彤哥一起畅游源码的海洋. 简介 CopyOnWriteArrayList是ArrayList的线程安全版本,内部也是通过 ...

  5. java多线程(3)---synchronized、Lock

    synchronized.Lock 一.概述 1.出现线程不安全的原因是什么? 如果我们创建的多个线程,存在着共享数据,那么就有可能出现线程的安全问题:当其中一个线程操作共享数据时,还未操作完成,另外 ...

  6. qt delete

        在写博文之前,先推荐一篇文章,我觉着挺不错,也是qt中delete相关:QT父子与QT对象delete     学习C++的童鞋都知道new和delete必须是同时出现的,否则就会导致内存泄露 ...

  7. 并发编程(十一)—— Java 线程池 实现原理与源码深度解析(一)

    史上最清晰的线程池源码分析 鼎鼎大名的线程池.不需要多说!!!!! 这篇博客深入分析 Java 中线程池的实现. 总览 下图是 java 线程池几个相关类的继承结构:    先简单说说这个继承结构,E ...

  8. Docker实用技巧之更改软件包源提升构建速度

    一.开篇 地球,中国,成都市,某小区的阳台上,一青年负手而立,闭目沉思,阵阵的凉风吹得他衣衫呼呼的飘.忽然,他抬起头,刹那间,睁开了双眼,好似一到精光射向星空,只见这夜空......一颗星星都没有.他 ...

  9. MongoDB exception:connection failed

    根据http://www.runoob.com/mongodb/mongodb-window-install.html的教程配置了MongoDB,Mongod.exe配置为 --port 指令表明mo ...

  10. Node.js API 初解读(三)

    目录 Node.JS API 初解读三 Node.JS API 初解读三 Version: NodeJs v6.2.0 一. DNS (Domain Name Server) [域名服务器] 1.简介 ...