Linux系统防火墙Firewalld

这篇具有很好参考价值的文章主要介绍了Linux系统防火墙Firewalld。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

Firewalld概述

Firewalld和iptables的区别

Firewalld网络区域

区域介绍与概念

9个预定义区域

Firewalld数据处理流程

firewalld检查数据包的源地址的规则

Firewalld防火墙的配置方式

常用的firewall-cmd命令选项

服务管理

端口管理


Firewalld概述

  •  Firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙
  •  Firewalld也是工作在网络层,属于包过滤防火墙
  •  firewalld 和 iptables 都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向 netfilter 网络过滤子系统(属于内核态)来实现包过滤防火墙功能。
  •  firewalld 提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算),并且拥有两种配置模式:运行时配置与永久配置。

Firewalld和iptables的区别

Firewalld iptables
是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。 主要是基于接口,来设置规则,从而判断网络的安全性。
firewalld 将配置储存在/etc/ firewalld/ ( 优先加载)和/usr/lib/ firewalld/ ( 默认的配置文件)中的各种XML文件里。 iptables 在 /etc/sysconfig/iptables 中储存配置。
使用firewalld 却不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。 使用iptables每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。
firewalld 防火墙类型为动态防火墙

iptables 防火墙类型为静态防火墙

Firewalld网络区域

区域介绍与概念

  •  区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
  •  可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
  •  默认情况下,public区域是默认区域,包含所有接口(网卡)
  •  firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone) 。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。
  •  最终一个区域的安全程度是取决于管理员在此区域中设置的规则。

9个预定义区域

  •  rusted (信任区域)
    • 允许所有的传入流量。
  •  public(公共区域)
    • 允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。
  •  external (外部区域)
    • 允许与ssh预定义服务匹配的传入流量,其余均拒绝。
    • 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络。
  •  home (家庭区域)
    • 允许与ssh、ipp-client、 mdns、 samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
  •  internal (内部区域)
    • 默认值时与home区域相同。
  •  work (工作区域)
    • 允许与ssh、ipp-client、 dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝。
  •  dmz(隔离区域也称为非军事区域)
    • 允许与ssh预定义服务匹配的传入流量,其余均拒绝。
  •  block (限制区域)
    • 拒绝所有传入流量。
  •  drop (丢弃区域)
    • 丢弃所有传入流量,并且不产生包含ICMP的错误响应。

Firewalld数据处理流程

  •  firewalld对于进入系统的数据包,会根据数据包的源IP地址或传入的网络接口等条件,将数据流量转入相应区域的防火墙规则。对应进入系统的数据包,首先检查的就是其源地址。

firewalld检查数据包的源地址的规则

  •  若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
  •  若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突),则使用传入网络接口的区域并执行该区域所制定的规则。
  •  若网络接口也未关联到特定特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

Firewalld防火墙的配置方式

  •  使用firewall-cmd 命令行工具
  •  使用firewall-config 图形工具
  •  编写/etc/firewalld/中的配置文件

常用的firewall-cmd命令选项

[root@localhost /]# systemctl start firewalld.service
【启动firewalld防火墙】


[root@localhost /]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
【显示所有的可用区域】
[root@localhost /]# firewall-cmd --get-default-zone 
public
【显示当前默认区域】
[root@localhost /]# firewall-cmd --set-default-zone=home
success
【设置默认区域】
[root@localhost /]# firewall-cmd --get-active-zones 
home
  interfaces: ens33
【显示当前正在使用的区域及其对应的网卡接口】


[root@localhost /]# firewall-cmd --zone=trusted --add-interface=ens33 
【为指定接口绑定区域】
The interface is under control of NetworkManager, setting zone to 'trusted'.
success
[root@localhost /]# firewall-cmd --get-zone-of-interface=ens33 
trusted
【显示指定接口绑定的区域】
[root@localhost /]# firewall-cmd --remove-interface=ens33 --zone=trusted 
The interface is under control of NetworkManager, setting zone to default.
success
【为指定区域删除绑定的网络接口】
[root@localhost /]# firewall-cmd --zone=trusted --change--interface=ens36 
【为指定的区域更改绑定的网络接口】


[root@localhost /]# firewall-cmd --add-source=111.111.111.111 --zone=home 
success
【为指定源地址绑定区域】
[root@localhost /]# firewall-cmd --list-all
【显示默认区域的其规则】
home (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 111.111.111.111
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[root@localhost /]# firewall-cmd --get-zone-of-source=111.111.111.111
home
【显示指定源地址绑定的区域】
[root@localhost /]# firewall-cmd --zone=home --remove-source=111.111.111.111
success
【删除指定区域绑定的源地址】
[root@localhost /]# firewall-cmd --zone=home --change-source=2.2.2.2
success
【更改指定区域绑定的源地址,更改前需先删除】
[root@localhost /]# firewall-cmd --list-all
home (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 2.2.2.2
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 


[root@localhost /]# firewall-cmd --list-all-zones 
【显示所有区域及其规则】
[root@localhost /]# firewall-cmd --zone=dmz --list-all 
【显示指定区域的所有规则】

[root@localhost /]# firewall-cmd --get-icmptypes
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
【显示所有 ICMP 类型】
[root@localhost /]# firewall-cmd --zone=home --add-icmp-block=packet-too-big 
success
【为指定区域设置拒绝访问的某项 ICMP 类型】
[root@localhost /]# firewall-cmd --zone=home --list-icmp-blocks
packet-too-big
【显示指定区域内拒绝访问的所有 ICMP 类型】
[root@localhost /]# firewall-cmd --zone=home --remove-icmp-block=packet-too-big 
success
【删除指定区域已设置的拒绝访问的某项ICMP类型】

服务管理

[root@localhost /]# firewall-cmd --zone=home --list-services 
ssh mdns samba-client dhcpv6-client
【显示指定区域内允许访问的所有服务】
[root@localhost /]# firewall-cmd --zone=home --add-service=http
success
【为指定区域设置允许访问的某项服务】
[root@localhost /]# firewall-cmd --zone=home --remove-service=mdns 
success
【删除指定区域已设置的允许访问的某项服务】
[root@localhost /]# firewall-cmd --zone=home --list-services 
ssh samba-client dhcpv6-client http
[root@localhost /]# firewall-cmd --add-service=ftp --add-service=http --permanent 
success
[root@localhost /]# firewall-cmd --add-service={ftp,dhcp,http} --zone=internal
success
【添加ftp,dhcp,http服务到默认区域,并设置成永久生效】
[root@localhost /]# firewall-cmd --reload 
success
【重新加载firewalld服务】
[root@localhost /]# firewall-cmd --list-all
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcp ftp http
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
【--permanent选项表示设置成永久生效,在使用时需要重启启动firewalld服务或者执行firewall-cmd --reload命令重新加载防火墙规则,才会生效】
【若不带--permanent选项,则用于设置运行时规则,但是这些规则会在系统或firewalld服务重启、停止时失效】
[root@localhost /]# firewall-cmd --runtime-to-permanent

端口管理

【允许tcp的9000端口到home区域】
[root@localhost /]# firewall-cmd --zone=home --add-port=9000/tcp
success
【允许udp的9000-9888端口到默认区域】
[root@localhost /]# firewall-cmd --add-port=9000-9888/udp
success
【为指定区域设置允许访问的某个/某段端口号(包括协议名)】
[root@localhost /]# firewall-cmd --list-all
trusted (active)
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: dhcp tftp ftp http
  ports: 9000-9888/udp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@localhost /]# firewall-cmd --zone=home --remove-port=9000/tcp
success
【把home区TCP的9000端口移除】文章来源地址https://www.toymoban.com/news/detail-622783.html

到了这里,关于Linux系统防火墙Firewalld的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • linux-firewalld防火墙端口转发

    目的:通过统一地址实现对外同一地址暴露 1.系统配置文件开启 ipv4 端口转发 2.查看防火墙配置端口转发之前的状态 3.开启 IP 伪装 4.添加端口转发 5.重新加载防火墙并进行测试 附:删除端口转发 删除 IP 伪装

    2024年02月20日
    浏览(46)
  • Linux网络——shell编程之firewalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现

    2024年02月07日
    浏览(44)
  • Linux 服务器 Firewalld 防火墙配置端口转发

    业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。 流量转发命令语法为: firewalld-cmd --permanent --zone=区域

    2024年02月06日
    浏览(52)
  • Linux系统firewalld防火墙的应用实操(对外端口开放使用,对内端口限制ip地址使用,不使用端口默认关闭)

    本文直接进行Linux系统firewalld防火墙的应用实操 对外端口开放使用 对内端口限制ip地址使用 不使用端口默认关闭 基础知识请查阅:Linux系统firewalld防火墙的基本操作 进阶知识请查阅:Linux系统firewalld防火墙的进阶操作(日志保存 IP网段 ssh服务) 应用实操请查阅:Linux系统f

    2024年02月05日
    浏览(65)
  • Linux:Ubuntu安装firewalld防火墙管理工具【WSL用UFW防火墙管理工具】

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过

    2024年02月06日
    浏览(44)
  • Linux防火墙firewalld不生效,无法拦截Docker映射端口

    今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问 服务器开放的端口如下: 可以看出并没有开放8103端口 开放的服务如下: 也没有开放某三维系统,但可以正常访问 重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼

    2024年02月04日
    浏览(98)
  • SELinux、SELinux运行模式、破解Linux系统密码、firewalld防火墙介绍、构建基本FTP服务、systemd管理服务、设置运行模式

    作用:负责域名解析的服务器,将域名解析为IP地址 /etc/resolv.conf:指定DNS服务器地址配置文件 ip命令(Linux最基础的命令) 1.查看IP地址 2.临时添加IP地址 3.删除临时IP地址 ping 命令,测网络连接 -c 指定ping包的个数 •常见的日志文件 /var/log/messages 记录内核消息、各种服务的公

    2024年01月18日
    浏览(45)
  • Linux:firewalld防火墙-(实验2)-IP伪装与端口转发(4)

    本章实验环境要建立在上一章之上,ip等都是继承上一章,完全在上一章之下的操作 Linux:firewalld防火墙-小环境实验(3)-CSDN博客 https://blog.csdn.net/w14768855/article/details/133996151?spm=1001.2014.3001.5501 👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆

    2024年02月08日
    浏览(61)
  • linux系统---防火墙

    目录 一、防火墙的认识 1.防火墙定义  2.防火墙分类 二、Linux系统防火墙 1.Netfilter 2.防火墙工具介绍 2.1iptables 2.2firewalld 2.3nftables 2.4netfilter的五个勾子函数和报文流向  2.4.1五个勾子 2.4.2三种报文流向  3.iptables 3.1iptables概述 3.2iptables和netfilter 3.3包过滤的工作层次 4.iptables的表

    2024年02月21日
    浏览(36)
  • 银河麒麟服务器操作系统 V10 SP1 防火墙(firewalld)指令

    systemctl status firewalld (或者: systemctl status firewalld.service ,或者: systemctl is-active firewalld )active(running):表示防火墙已经开启。 1、开启: systemctl start firewalld 查看状态: systemctl status firewalld 2、关闭: systemctl stop firewalld 查看状态: systemctl status firewalld 3、重启: systemc

    2024年02月13日
    浏览(74)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包