Linux 之 firewalld 防火墙

这篇具有很好参考价值的文章主要介绍了Linux 之 firewalld 防火墙。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

firewalld概述

firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。

firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。

firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算), 并且拥有两种配置模式:运行时配置与永久配置。

firewalld 与 iptables 的区别:

Linux 之 firewalld 防火墙

  1. iptables主要是基于接口,来设置规则,从而判断网络的安全性。
    firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

  2. iptables 在 /etc/sysconfig/iptables 中储存配置,
    firewalld 将配置储存在 /etc/firewalld/(优先加载)和 /usr/lib/firewalld/(默认的配置文件)中的各种 XML 文件里。

  3. 使用 iptables 每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables 里读取所有新的规则(规则修改完立即生效)
    使用 firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld 可以在运行时间内,改变设置而不丢失现行连接。

  4. iptables 防火墙类型为静态防火墙
    firewalld 防火墙类型为动态防火墙

Linux 之 firewalld 防火墙

firewalld 区域的概念

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

Linux 之 firewalld 防火墙

firewalld防火墙预定义了9个区域:

选项 作用
trusted(信任区域) 允许所有的传入流量。
public(公共区域) 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
external(外部区域) 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。
home(家庭区域) 允许与ssh、ipp-client、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
internal(内部区域) 默认值时与home区域相同
work(工作区域) 允许与 ssh、ipp-client、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
dmz(隔离区域也称为非军事区域) 允许与 ssh 预定义服务匹配的传入流量,其余均拒绝。
block(限制区域) 拒绝所有传入流量。
drop(丢弃区域) 丢弃所有传入流量,并且不产生包含 ICMP的错误响应。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
可以根据网络规模,使用一个或多个区域,但是任何一个 活跃区域 至少需要关联 源地址或接口。
默认情况下,public区域是默认区域,包含所有接口(网卡)

firewalld 数据处理的流程

Linux 之 firewalld 防火墙firewalld数据处理流程:

firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。

firewalld检查数据包的源地址的规则:

1.若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
2.若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
3.若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

firewalld防火墙的配置方法:

1、使用firewall-cmd 命令行工具。
2、使用firewall-config 图形工具。
3、编写/etc/firewalld/中的配置文件。

方法一: 使用firewall-config图形工具进行管理
Linux 之 firewalld 防火墙
方法二:编写/etc/firewalld中的配置文件
Linux 之 firewalld 防火墙
方法三:firewall-cmd命令行操作
常用的firewall-cmd 命令选项

--get-default-zone :显示当前默认区域
--set-default-zone=<zone> :设置默认区域
--get-active-zones :显示当前正在使用的区域及其对应的网卡接口
--get-zones :显示所有可用的区域
--get-zone-of-interface=<interface> :显示指定接口绑定的区域
--zone=<zone> --add-interface=<interface> :为指定接口绑定区域
--zone=<zone> --change-interface=<interface> :为指定的区域更改绑定的网络接口
--zone=<zone> --remove-interface=<interface> :为指定的区域删除绑定的网络接口

Linux 之 firewalld 防火墙
Linux 之 firewalld 防火墙
Linux 之 firewalld 防火墙
Linux 之 firewalld 防火墙
Linux 之 firewalld 防火墙

一个区域可以关联多个网卡或源地址
一个网卡只能关联一个区域或源地址

–list-all-zones :显示所有区域及其规则

[--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作

[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务
[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务
[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务

[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> :为指定区域设置允许访问的某个/某段端口号(包括协议名)
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> :删除指定区域已设置的允许访问的端口号(包括协议名)

Linux 之 firewalld 防火墙
Linux 之 firewalld 防火墙
Linux 之 firewalld 防火墙

[--zone=<zone>] --list-icmp-blocks :显示指定区域内拒绝访问的所有 ICMP 类型
[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型
[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型
firewall-cmd --get-icmptypes :显示所有 ICMP 类型

Linux 之 firewalld 防火墙

永久保存配置

上述操作都属于运行时配置是临时生效的,重启服务将会消失所以要让他永久生效就要在后面增加 --permanent来达到永久生效的作用

方法一:
Linux 之 firewalld 防火墙
方法二
如果忘记了在后面增加–permanent,我们也可以在最后添加一条命令让他运行时配置转换成永久配置
Linux 之 firewalld 防火墙
设置地址转换
(1)设置 SNAT

firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.80.0/24 -j SNAT --to-source 12.0.0.1

(2)设置 DNAT

firewall-cmd --zone=public --direct --passthrough ipv4 -t nat -A PREROUTING -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11文章来源地址https://www.toymoban.com/news/detail-455360.html

到了这里,关于Linux 之 firewalld 防火墙的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • linux-firewalld防火墙端口转发

    目的:通过统一地址实现对外同一地址暴露 1.系统配置文件开启 ipv4 端口转发 2.查看防火墙配置端口转发之前的状态 3.开启 IP 伪装 4.添加端口转发 5.重新加载防火墙并进行测试 附:删除端口转发 删除 IP 伪装

    2024年02月20日
    浏览(47)
  • Linux网络——shell编程之firewalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现

    2024年02月07日
    浏览(44)
  • Linux 服务器 Firewalld 防火墙配置端口转发

    业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。 流量转发命令语法为: firewalld-cmd --permanent --zone=区域

    2024年02月06日
    浏览(52)
  • Linux:Ubuntu安装firewalld防火墙管理工具【WSL用UFW防火墙管理工具】

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过

    2024年02月06日
    浏览(44)
  • Linux防火墙firewalld不生效,无法拦截Docker映射端口

    今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问 服务器开放的端口如下: 可以看出并没有开放8103端口 开放的服务如下: 也没有开放某三维系统,但可以正常访问 重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼

    2024年02月04日
    浏览(99)
  • Linux:firewalld防火墙-(实验2)-IP伪装与端口转发(4)

    本章实验环境要建立在上一章之上,ip等都是继承上一章,完全在上一章之下的操作 Linux:firewalld防火墙-小环境实验(3)-CSDN博客 https://blog.csdn.net/w14768855/article/details/133996151?spm=1001.2014.3001.5501 👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆

    2024年02月08日
    浏览(61)
  • Firewalld防火墙

    • firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包

    2023年04月09日
    浏览(42)
  • 8.FireWalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也 是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功 能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤

    2024年02月05日
    浏览(51)
  • Firewalld防火墙基础

    目录 一、Firewalld 概述 1.1 Firewalld的简述 1.2 Firewalld 和 iptables的区别 1.3 firewalld的区域 1.3.1 firewalld的9个区域 1.3.2 firewalld的数据处理流向 1.3.3 数据包的规则 二、firewalld的配置 2.1 配置方法 2.1.1Firewall-config图形工具 2.1.2Firewall-cmd命令行工具   2.1.3/etc/firewalld/中的配置文件  2.2 区

    2024年02月04日
    浏览(37)
  • iptables防火墙和Firewalld

    引言 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等,那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢,接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及

    2024年02月01日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包