1. Toy模板网首页
  2. > Toy博客

Linux中的防火墙————Firewalld

5月前 作者:程丶的摆烂日常 分类:Toy博客 阅读(32) 违法举报

这篇具有很好参考价值的文章主要介绍了Linux中的防火墙————Firewalld。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

firewalld介绍和原理

firewalld是一个服务,这个服务提供了防火墙配置的工具

只要开启了firewalld服务,那么就可以通过firewall服务提供的工具来配置防火墙

Linux本身不具备防火墙功能,而是通过内核的net_filter模块来实现软防火墙功能,而且你必须通过iptables才能和net_filter进行交互

默认在rhel7和fedora20,centos7以上的版本默认安装了firewalld服务,默认是开启的

##  开启防火墙
[root@client ~]# systemctl start firewalld

## 查看firewalld状态
[root@client ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
     Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; preset: enabled)
     Active: active (running) since Wed 2024-03-20 15:47:15 CST; 1min 23s ago
       Docs: man:firewalld(1)
   Main PID: 4076 (firewalld)
      Tasks: 2 (limit: 10803)
     Memory: 25.7M
        CPU: 375ms
     CGroup: /system.slice/firewalld.service
             └─4076 /usr/bin/python3 -s /usr/sbin/firewalld --nofork --nopid

Mar 20 15:47:14 client systemd[1]: Starting firewalld - dynamic firewall daemon...
Mar 20 15:47:15 client systemd[1]: Started firewalld - dynamic firewall daemon.

## 查看iptables规则

firewalld的服务提供了一个更加简单的方式来配置防火墙,原理就是firewalld服务将你的防火墙配置命令转换成iptables规则

firewalld提供了两中管理工具,一种图形化管理工具firewall-offline-cmd,另一种命令行管理工具firewall-cmd

firewall-cmd原理

firewalld提供了zone的概念,zone是区域的意思,firewalld将我们的系统划分成了一个个zone。

znoe的边界取决于网卡

firewalld提供了zone,一个网卡只能属于一个zone,那zone的边界就是属于该zone的网卡。

firewalld的zone里面有网卡,有规则(rule)。如果一个网卡属于firewalld的某个zone,那么这个zone里面的所有规则都会应用到该zone内的网卡

  • 网卡,zone和规则

zone包含网卡和规则,网卡在zone里面就应用这个zone里面的规则

我们把firewalld学明白,就搞定这三个感念

zone的概念比较简单,将网卡划分入zone也很简单,复杂的就只有规则(rule)。

firewalld的操作

zone

列出所有的zone

[root@server ~]# firewall-cmd --list-all-zones 
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

dmz
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
...

 只要不是特别复杂的网络场景,一个zone可以解决我们所有的问题

列出"缺省的zone"的规则

[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

firewall-cmd添加规则正常来说必须指定zone,因为规则实在zone里面,那你肯定添加规则的时候要指定这个规则在哪个zone里面。

有些时候如果每一次添加规则都指定zone会显得比较复杂,因为大多数情况下一个zone就能满足我的需求,所以firewalld给我们提供一个缺省的zone,没有指定zone的操作,都相当于操作缺省的zone。

列出指定zone的规则

## 列出home zone的规则
[root@server ~]# firewall-cmd --list-all --zone=home 
home
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: cockpit dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

查看缺省的zone

[root@server ~]# firewall-cmd --get-default-zone 
public

可以看到缺省的zone的名字为public

  • 将缺省的zone更改为其他zone

## 将缺省的zone更改为home zone
[root@server ~]# firewall-cmd --set-default-zone=home 
success
[root@server ~]# firewall-cmd --get-default-zone 
home

可以看到现在缺省的zone变成了home zone

## 将默认的zone改回来
[root@server ~]# firewall-cmd --set-default-zone=public 
success
[root@server ~]# firewall-cmd --get-default-zone 
public

网卡(interface)

默认Linux的所有网卡都在默认的zone里面

注意:像我们讲的这种防火墙,无论iptables还是firewalld,都只能应用于内核管理的网卡,有些网卡如果不受内核管理,那防火墙的规则也无法应用,应用管理防火墙的工具(DBDK)

列出当前zone中的网卡

[root@server ~]# firewall-cmd --list-interfaces --zone=public 
ens224 ens160

不加--zone=public,列出的是缺省的zone的网卡

移除一个zone中的网卡

[root@server ~]# firewall-cmd --remove-interface=ens160 
success
[root@server ~]# firewall-cmd --list-interfaces 
ens224

给一个zone添加网卡

[root@server ~]# firewall-cmd --add-interface=ens160 --zone=public 
success
[root@server ~]# firewall-cmd --list-interfaces 
ens160 ens224

规则(rule)

查看指定zone的规则

[root@server ~]# firewall-cmd --list-all --zone=home 
home
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: cockpit dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
[root@server ~]# firewall-cmd --list-all 
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

如果一个zone里面没有网卡,那么这个zone就是非active状态 一个zone里面必须要有网卡,这个zone才有实际意义

三种规则

第一种:service规则

第二种:port规则

第三种:rich rule(富规则)

service规则
查看指定zone的service规则
## 查看home和缺省的zone的service规则
[root@server ~]# firewall-cmd --list-services --zone=home 
cockpit dhcpv6-client mdns samba-client ssh    
[root@server ~]# firewall-cmd --list-services
cockpit dhcpv6-client ssh
添加service规则
## 给home和缺省的zone添加ftp规则
[root@server ~]# firewall-cmd --add-service=ftp
success
[root@server ~]# firewall-cmd --add-service=ftp --zone=home 
success
[root@server ~]# firewall-cmd --list-services --zone=public 
cockpit dhcpv6-client ftp ssh
[root@server ~]# firewall-cmd --list-services --zone=home 
cockpit dhcpv6-client ftp mdns samba-client ssh

可以看到,在两个中有了ftp的规则

现在ftp的流量就可以过来,但不是所有的流量都能进来

删除service规则
## 删除刚才定义的ftp的规则
[root@server ~]# firewall-cmd --remove-service=ftp
success
[root@server ~]# firewall-cmd --remove-service=ftp --zone=home 
success
[root@server ~]# firewall-cmd --list-services --zone=home 
cockpit dhcpv6-client mdns samba-client ssh
[root@server ~]# firewall-cmd --list-services 
cockpit dhcpv6-client ssh
测试

可以搭建一个web服务器进行测试

1、在server搭建http服务

[root@server ~]# yum install -y httpd
[root@server ~]# echo firewalld-test >> /var/www/html/index.html
[root@server ~]# systemctl restart httpd

2、访问

[root@server ~]# curl 192.168.200.128
firewalld-test
[root@client ~]# curl  192.168.200.128
curl: (7) Failed to connect to 192.168.200.128 port 80: No route to host

3、写入规则

[root@server ~]# firewall-cmd --add-service=http
success

4、再次访问

[root@client ~]# curl  192.168.200.128
firewalld-test

把规则写入之后就可以对http进行访问了

service的原理

/usr/lib/firewalld/services/目录下有许多xml文件,这些文件就定义一些常用service的的端口号

## 查看https.xml
[root@client ~]# cat /usr/lib/firewalld/services/https.xml 
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Secure WWW (HTTPS)</short>
  <description>HTTPS is a modified HTTP used to serve Web pages when security is important. Examples are sites that require logins like stores or web mail. This option is not required for viewing pages locally or developing Web pages. You need the httpd package installed for this option to be useful.</description>
  <port protocol="tcp" port="443"/>
</service>

在添加service的规则的时候,实际上就是firewalld将443端口开放,让外面的服务可以通过这个端口号进行访问

这个service规则只是一个名字,至于service到底放行的是什么,就要看这个service代表的端口号是多少,这个service也可以自己来编写

如果你要放行的端口并没有在service规则的xml文件里面定义,那么你就不能用service规则满足你的条件

如果是复杂的流量的话,你需要通过port规则放行流量,也可以自己编写service规则

port规则
添加port规则
[root@server ~]# firewall-cmd --add-port=3333/tcp
success
[root@server ~]# firewall-cmd --add-port=5555/udp
success
查看port规则
[root@server ~]# firewall-cmd --list-ports --zone=public 
3333/tcp 5555/udp
[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 3333/tcp 5555/udp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
删除port规则
[root@server ~]# firewall-cmd --remove-port=3333/tcp
success
[root@server ~]# firewall-cmd --remove-port=5555/udp
success
[root@server ~]# firewall-cmd --list-ports --zone=public 

[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:
rich rule

有点像iptables

添加rich rule
[root@server ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.200.0/24 port port=8080 protocol=tcp reject"
success
使添加的规则永久生效

上面做的规则都是临时的

方式一

如果让上面做的临时规则变成永久的,可以使用一下命令

[root@server ~]# firewall-cmd --runtime-to-permanent 
success

如果使用firewall-cmd --reload命令之后规则还会存在,就是永久的规则

firewall-cmd --reload:表示重新加载防火墙规则

[root@server ~]# firewall-cmd --reload 
success
[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.200.0/24" port port="8080" protocol="tcp" reject

方式二

使用--permanent,在规则后面添加这一条命令,就可以直接创建永久规则

但是不会立即生效,在list中不会显示,如果要立即生效,就需要使用--reload

[root@server ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.200.0/24 port port=443 protocol=tcp accept" --permanent 
success
## 进行查看
[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.200.0/24" port port="8080" protocol="tcp" reject
## 可以看到定义的规则并没有立即生效

## 使用--reload
[root@server ~]# firewall-cmd --reload 
success
[root@server ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160 ens224
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule family="ipv4" source address="192.168.200.0/24" port port="8080" protocol="tcp" reject
        rule family="ipv4" source address="192.168.200.0/24" port port="443" protocol="tcp" accept

可以看到在使用--permanent之后并没有立即生效,在执行--reload之后,配置就会重新加载

建议

建议先写一遍有--permanent,在写一遍没有--permanent

[root@server ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.200.0/24 port port=443 protocol=tcp accept" --permanent 
[root@server ~]# firewall-cmd --add-rich-rule="rule family=ipv4 source address=192.168.200.0/24 port port=443 protocol=tcp accept"

一条命令执行两边

删除rich rule
[root@server ~]# firewall-cmd --remove-rich-rule="rule family=ipv4 source address=192.168.200.0/24 port port=443 protocol=tcp accept" --permanent 
success
[root@server ~]# firewall-cmd --remove-rich-rule="rule family=ipv4 source address=192.168.200.0/24 port port=443 protocol=tcp accept"

删除和添加一样,永久添加不会立即执行,临时添加重启之后就会消失,所以还是建议使用这种方式进行删除文章来源地址https://www.toymoban.com/news/detail-846761.html

到了这里,关于Linux中的防火墙————Firewalld的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • linux-firewalld防火墙端口转发

    linux-firewalld防火墙端口转发

    目的:通过统一地址实现对外同一地址暴露 1.系统配置文件开启 ipv4 端口转发 2.查看防火墙配置端口转发之前的状态 3.开启 IP 伪装 4.添加端口转发 5.重新加载防火墙并进行测试 附:删除端口转发 删除 IP 伪装

    2024年02月20日
    浏览(34)

  • Linux网络——shell编程之firewalld防火墙

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现

    2024年02月07日
    浏览(27)
  • Linux 服务器 Firewalld 防火墙配置端口转发

    Linux 服务器 Firewalld 防火墙配置端口转发

    业务应用系统的web容器无法更改IP地址,例如临时SSH端口,但是不想修改SSH配置;例如某些服务web服务需要通过公共IP进行统一访问;例如外网访问内网资源等;例如快速调整web容器的端口而不需要更改服务的任何配置等。 流量转发命令语法为: firewalld-cmd --permanent --zone=区域

    2024年02月06日
    浏览(40)

  • Linux:Ubuntu安装firewalld防火墙管理工具【WSL用UFW防火墙管理工具】

    firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过

    2024年02月06日
    浏览(34)
  • Linux防火墙firewalld不生效,无法拦截Docker映射端口

    Linux防火墙firewalld不生效,无法拦截Docker映射端口

    今天出现了一个奇怪的现象,centos服务器上的防火墙(firewall)没有开放8103端口,但是依然可以访问 服务器开放的端口如下: 可以看出并没有开放8103端口 开放的服务如下: 也没有开放某三维系统,但可以正常访问 重启过防火墙,重启过服务器,仍未解决此现象。真是脑阔疼

    2024年02月04日
    浏览(80)
  • Linux:firewalld防火墙-(实验2)-IP伪装与端口转发(4)

    Linux:firewalld防火墙-(实验2)-IP伪装与端口转发(4)

    本章实验环境要建立在上一章之上,ip等都是继承上一章,完全在上一章之下的操作 Linux:firewalld防火墙-小环境实验(3)-CSDN博客 https://blog.csdn.net/w14768855/article/details/133996151?spm=1001.2014.3001.5501 👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆👆

    2024年02月08日
    浏览(41)
  • Linux系统firewalld防火墙的应用实操(对外端口开放使用,对内端口限制ip地址使用,不使用端口默认关闭)

    Linux系统firewalld防火墙的应用实操(对外端口开放使用,对内端口限制ip地址使用,不使用端口默认关闭)

    本文直接进行Linux系统firewalld防火墙的应用实操 对外端口开放使用 对内端口限制ip地址使用 不使用端口默认关闭 基础知识请查阅:Linux系统firewalld防火墙的基本操作 进阶知识请查阅:Linux系统firewalld防火墙的进阶操作(日志保存 IP网段 ssh服务) 应用实操请查阅:Linux系统f

    2024年02月05日
    浏览(47)
  • SELinux、SELinux运行模式、破解Linux系统密码、firewalld防火墙介绍、构建基本FTP服务、systemd管理服务、设置运行模式

    SELinux、SELinux运行模式、破解Linux系统密码、firewalld防火墙介绍、构建基本FTP服务、systemd管理服务、设置运行模式

    作用:负责域名解析的服务器,将域名解析为IP地址 /etc/resolv.conf:指定DNS服务器地址配置文件 ip命令(Linux最基础的命令) 1.查看IP地址 2.临时添加IP地址 3.删除临时IP地址 ping 命令,测网络连接 -c 指定ping包的个数 •常见的日志文件 /var/log/messages 记录内核消息、各种服务的公

    2024年01月18日
    浏览(34)
  • Firewalld防火墙基础

    Firewalld防火墙基础

    目录 一、Firewalld 概述 1.1 Firewalld的简述 1.2 Firewalld 和 iptables的区别 1.3 firewalld的区域 1.3.1 firewalld的9个区域 1.3.2 firewalld的数据处理流向 1.3.3 数据包的规则 二、firewalld的配置 2.1 配置方法 2.1.1Firewall-config图形工具 2.1.2Firewall-cmd命令行工具   2.1.3/etc/firewalld/中的配置文件  2.2 区

    2024年02月04日
    浏览(26)
  • Firewalld防火墙

    Firewalld防火墙

    • firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包

    2023年04月09日
    浏览(26)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包