5招详解linux之openEuler /centos7防火墙基本使用指南
防火墙是一种防火墙管理解决方案,可用于许多 Linux 发行版,它充当 Linux 内核提供的 iptables 数据包筛选系统的前端。在本指南中,将介绍如何为服务器设置防火墙,并向你展示使用管理工具管理防火墙的基础知识
注:你可能正在使用比本指南发布时可用的较新版本的防火墙,或者你的服务器设置与本指南中使用的示例服务器略有不同。因此,本指南中解释的一些命令的行为可能因你的特定配置而异。
防火墙中的基本概念
在我们开始介绍如何实际使用实用程序来管理防火墙配置之前,我们应该熟悉该工具介绍的一些基本概念。firewall-cmd
区域
守护进程使用称为"区域"的实体管理规则组。区域基本上是一组规则,根据计算机连接到的网络的信任级别,规定应允许哪些流量。网络接口被分配一个区域,以指示防火墙应允许的行为。
无论你所处的网络环境有多动态,熟悉每个预定义区域仍然很有用。从最不信任 到 最受信任的顺序,中的预定义区域是
- drop(丢弃):最低信任级别。所有传入连接在没有回复的情况下丢弃,并且只能进行传出连接。
- block(限制):与上述类似,但传入请求不是简单地丢弃连接,而是使用 或 消息被拒绝。icmp-host-prohibited icmp6-adm-prohibited
- public(公共):表示公共、不受信任的网络。您不信任其他计算机,但可能会根据情况允许选定的传入连接。
- external(外部):使用防火墙作为网关时的外部网络。它配置为 NAT 伪装,以便你的内部网络保持私有但可访问。
- internal(内部):外部区域的另一侧,用于网关的内部部分。计算机是相当值得信赖的,一些额外的服务是可用的。
- dmz: 用于位于 DMZ 中的计算机(无法访问网络其余部分的隔离计算机)。仅允许某些传入连接。
- work(工作):用于工作机器。信任网络中的大多数计算机。可能允许使用更多服务。
- home(家):家庭环境。它通常意味着你信任大多数其他计算机,并且将接受更多服务。
- trusted(受信任) :信任网络中的所有计算机。最开放的可用选项,应谨慎使用。
要使用防火墙,我们可以创建规则并更改区域的属性,然后将网络接口分配给最合适的区域。
永久性规则
在防火墙中,规则可以指定为永久规则或即时规则。如果添加或修改了规则,默认情况下,将修改当前运行的防火墙的行为。在下次启动时,将恢复旧规则。
大多数操作都可以采取该标志来指示非临时防火墙应作为目标。这将影响启动时重新加载的规则集。这种分离意味着您可以在活动防火墙实例中测试规则,然后在出现问题时重新加载。还可以使用标志来构建一整组规则,这些规则将在发出重载命令时同时应用。firewall-cmd --permanent --permanent
安装并启用防火墙启动
firewalld默认情况下安装在某些 Linux 发行版上,包括 openEuler/CentOS 7 的许多映像。但是,您可能有必要自行安装防火墙:
sudo yum install firewalld
sudo systemctl enable firewalld
sudo reboot
验证防火墙服务是否正在运行:
sudo firewall-cmd --state
修改防火墙规则
在开始修改之前,我们应该熟悉守护进程提供的默认环境和规则。
浏览默认值
通过键入以下类型,我们可以看到当前选择哪个区域为默认值:
firewall-cmd --get-default-zone
由于我们没有给出任何指定区域的命令,并且我们的接口都没有配置为绑定到另一个区域,因此该区域也将是唯一的"活动"区域(控制我们接口的流量的区域)。我们可以通过键入以下类型来验证这一点:
firewall-cmd --get-active-zones
输出:interfaces: eth0 eth1
我们可以看到,我们的示例服务器有两个网络接口由防火墙控制。它们目前都按照为公共区域定义的规则进行管理。
我们怎么知道哪些规则与公共区域相关?我们可以通过键入以下类型打印出默认区域的配置:
sudo firewall-cmd --list-all
输出:
public (default, active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
我们可以从输出中判断此区域是默认的和活跃的,并且和接口与此区域关联,我们也可以看到,此区域允许与 DHCP 客户端(用于 IP 地址分配)和 SSH(用于远程管理)关联的正常操作。
为你的接口选择区域
除非已配置网络接口,否则在启动防火墙时,每个接口都将置于默认区域。
更改接口区域
可以在会话期间将接口与参数结合使用,在会话期间在区域之间转换接口。与修改防火墙的所有命令一样,您需要使用 。
例如,可以通过键入以下内容将接口转换为"主"区域:eth0
sudo firewall-cmd --zone=home --change-interface=eth0
输出:success
可以通过再次请求活动区域来验证这是否成功:
firewall-cmd --get-active-zones
输出:
home
interfaces: eth0
public
interfaces: eth1
调整默认区域
如果所有接口由单个区域处理,则只需选择最佳默认区域,然后将它用于配置可能更容易。
可以使用参数更改默认区域。这将立即更改已返回默认到新区域的任何接口:--set-default-zone=
sudo firewall-cmd --set-default-zone=home
输出:success
为应用程序设置规则
向区域添加服务
最简单的方法是将所需的服务或端口添加到您使用的区域。同样,您可以使用以下选项获取可用服务的列表:--get-services
firewall-cmd --get-services
输出:
RH-Satellite- amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
例如,如果我们运行一个为常规 HTTP 流量服务的 Web 服务器,我们可以通过键入以下方式,为此会话的"公共"区域中的接口允许此流量:
sudo firewall-cmd --zone=public --add-service=http
可以通过使用 或 操作验证操作是否成功:--zone= --list-all --list-services
sudo firewall-cmd --zone=public --list-services
输出:dhcpv6-client http ssh
测试到所有内容都正常工作后,如果想要修改永久防火墙规则,以便重新启动后服务仍然可用。我们可以通过键入:
sudo firewall-cmd --zone=public --permanent --add-service=http
输出:success
可以通过向操作添加标志来验证这是否成功。需要用于任何操作:--permanent--list-servicessudo``--permanent
sudo firewall-cmd --zone=public --permanent --list-services
输出:dhcpv6-client http ssh
现在你的"公共"区域现在将允许端口 80 上的 HTTP Web 流量。如果你的 Web 服务器配置为使用 SSL/TLS,还需要添加该服务。我们可以通过键入以下类型将其添加到当前会话和永久规则集中:https
sudo firewall-cmd --zone=public --add-service=https
sudo firewall-cmd --zone=public --permanent --add-service=https
创建属于自己的区域
虽然预定义区域对于大多数用户来说可能已经足够了,但定义自己的区域可以更描述其功能会很有帮助。
例如,你可能希望为 Web 服务器创建一个区域,称为"公共网站"。但是,你可能希望为专用网络上提供 DNS 服务配置其他区域。为此,需要建一个名为"私有 DNS"的区域。
添加区域时,必须将其添加到永久防火墙配置中。然后可以重新加载以将配置引入正在运行的会话中。例如,我们可以通过键入以下两个区域来创建上面讨论的两个区域:
sudo firewall-cmd --permanent --new-zone=publicweb
sudo firewall-cmd --permanent --new-zone=privateDNS
可以通过键入以下类型来验证这些配置是否存在于永久配置中:
sudo firewall-cmd --permanent --get-zones
输出:block dmz drop external home internal privateDNS public publicweb trusted work
如之前所述,这些在防火墙的当前实例中尚不可用:
firewall-cmd --get-zones
输出:block dmz drop external home internal public trusted work
需要重新加载防火墙以将这些新区域引入活动配置:
sudo firewall-cmd --reload
firewall-cmd --get-zones
输出:block dmz drop external home internal privateDNS public publicweb trusted work
现在,你可以开始为区域分配适当的服务和端口。通过调整活动实例,然后在测试后将这些更改传输到永久配置。例如,对于"公共 web"区域,如果你需要添加 SSH、HTTP 和 HTTPS 服务:
sudo firewall-cmd --zone=publicweb --add-service=ssh
sudo firewall-cmd --zone=publicweb --add-service=http
sudo firewall-cmd --zone=publicweb --add-service=https
sudo firewall-cmd --zone=publicweb --list-all
输出:
publicweb
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh http https
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
同样,我们可以将 DNS 服务添加到我们的"私有 DNS"区域:
sudo firewall-cmd --zone=privateDNS --add-service=dns
sudo firewall-cmd --zone=privateDNS --list-all
输出:
privateDNS
interfaces:
sources:
services: dns
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
然后,我们可以将接口更改为这些新区域以测试它们:
sudo firewall-cmd --zone=publicweb --change-interface=eth0
sudo firewall-cmd --zone=privateDNS --change-interface=eth1
来测试运行配置。调试完成后(即符合自己的要求)需要向永久配置添加相同的规则。可以通过使用标志重新应用规则来做到这一点:--permanent
sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
sudo firewall-cmd --zone=publicweb --permanent --add-service=http
sudo firewall-cmd --zone=publicweb --permanent --add-service=https
sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
永久应用这些规则后,重启防火墙服务:
sudo systemctl restart network
sudo systemctl reload firewalld
验证是否分配了正确的区域:
firewall-cmd --get-active-zones
输出:
privateDNS
interfaces: eth1
publicweb
interfaces: eth0
并验证两个区域都提供相应的服务:
sudo firewall-cmd --zone=publicweb --list-services
输出:http https ssh
sudo firewall-cmd --zone=privateDNS --list-services
输出:dns
这是就成功地设置了自己的区域,如果要使这些区域之一成为其他接口的默认区域之一,请记住使用这个参数配置该行为:--set-default-zone=
sudo firewall-cmd --set-default-zone=publicweb
总结
防火墙服务允许你配置可维护的规则和规则集,这些规则和规则集可以考虑你的网络环境。你可以通过使用区域在不同防火墙策略之间无缝切换,并允许管理员将端口管理抽象为更友好的服务。
5招详解linux之openEuler /centos7防火墙基本使用指南的更多相关文章
- Linux下ps命令详解 Linux下ps命令的详细使用方法
http://www.jb51.net/LINUXjishu/56578.html Linux下的ps命令比较常用 Linux下ps命令详解Linux上进程有5种状态:1. 运行(正在运行或在运行队列 ...
- 详解Linux交互式shell脚本中创建对话框实例教程_linux服务器
本教程我们通过实现来讲讲Linux交互式shell脚本中创建各种各样对话框,对话框在Linux中可以友好的提示操作者,感兴趣的朋友可以参考学习一下. 当你在终端环境下安装新的软件时,你可以经常看到信息 ...
- linux useradd(adduser)命令参数及用法详解(linux创建新用户命令)
linux useradd(adduser)命令参数及用法详解(linux创建新用户命令) useradd可用来建立用户帐号.帐号建好之后,再用passwd设定帐号的密码.而可用userdel删除帐号 ...
- 详解linux运维工程师入门级必备技能
详解linux运维工程师入门级必备技能 | 浏览:659 | 更新:2013-12-24 23:23 | 标签:linux it自动化运维就是要很方便的运用各种工具进行管理维护,有效的实施服务器保护 ...
- linux dmesg命令参数及用法详解(linux显示开机信息命令)
linux dmesg命令参数及用法详解(linux显示开机信息命令) http://blog.csdn.net/zhongyhc/article/details/8909905 功能说明:显示开机信 ...
- watch命令详解(linux)
watch命令详解(linux) 在维护系统时经常需要实时查看系统的运行情况,比如实时的系统连接数之类的.在linux可以通过watch命令,实时监控每一条命令执行的结果动态变化. ...
- 详解Linux下swig 3.0.12的手动安装过程
详解Linux下swig 3.0.12的手动安装过程 首先 从http://www.linuxfromscratch.org/blfs/view/cvs/general/swig.html上下载swi ...
- Linux进程上下文切换过程context_switch详解--Linux进程的管理与调度(二十一)
1 前景回顾 1.1 Linux的调度器组成 2个调度器 可以用两种方法来激活调度 一种是直接的, 比如进程打算睡眠或出于其他原因放弃CPU 另一种是通过周期性的机制, 以固定的频率运行, 不时的检测 ...
- linux下sort命令使用详解---linux将文本文件内容加以排序命令
转载自:http://www.cnblogs.com/hitwtx/archive/2011/12/03/2274592.html linux下sort命令使用详解---linux将文本文件内容加以排 ...
随机推荐
- CSS上划线、下划线、删除线等方法
text-decoration:underline; 下划线 text-decoration:overline; 顶划线 text-decoration:line-through; 删 ...
- CISSP 考试经验分享
复习资料: <Eleventh Hour CISSP> <汇哲培训讲义> <CISSP Official Security Professional>Eighth ...
- Web Scraping using Python Scrapy_BS4 - Software
Install the following software before web scraping. Visual Studio Code Python and Pip pip install vi ...
- 使用SQL语句进行特定值排序
使用SQL语句进行查询时,对数据进行排序,排序要求为排序的一个字段中特定值为顶部呈现: select * from TableName order by case TableFieldName whe ...
- Webpack前世今生
在正式介绍Webpack之前,先给大家说明一下前端为什么需要模块化 1.为什么需要模块化 1.1JS原始功能 在网页开发的早期,js制作作为一种脚本语言,做一些简单的表单验证或动画实现等,那个时候代码 ...
- .net core https 双向验证
文章来自:https://www.cnblogs.com/axzxs2001/p/10070562.html 关于https双向认证的知识可先行google,这时矸接代码. 为了双向认证,我们首先得准 ...
- DJANGO-天天生鲜项目从0到1-004-用户模块-个人中心页
本项目基于B站UP主‘神奇的老黄’的教学视频‘天天生鲜Django项目’,视频讲的非常好,推荐新手观看学习 https://www.bilibili.com/video/BV1vt41147K8?p= ...
- vue学习(十八)使用自定义指令 为字体渲染颜色
<div id="app"> //v-color 是自定义的 <input type="text" class="form-cont ...
- element上传功能携带参数
在写element的上传功能时,需要对上传的文件携带参数,但是参数比较多,就需要一个对象合并的方法,Object.assign() Object.assign(target, source1, sou ...
- ELK5.6.4+Redis+Filebeat+Nginx(CentOS7.4)
下载地址: Elasticsearhc: https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-5.6.4.tar.gz ...