linux firewalld简介

最新推荐文章于 2024-10-21 15:39:55 发布
最新推荐文章于 2024-10-21 15:39:55 发布
阅读量1.1k 收藏 17
点赞数 14
CC 4.0 BY-SA版权
分类专栏: 网络系统管理 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq2353177176/article/details/135279953
本文详细介绍了firewalld防火墙的区域划分、预设区域配置、命令行工具的使用方法,包括如何设置默认区域、添加和移除规则,以及firewalld的运行模式和规则匹配机制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

firewalld简介

Firewalld上有一些预定义区域,可分别进行自定义,下表介绍了这些初始区域配置

firewalld将所有传入流量划分成区域,每个区域都具有自己的一套规则
任何新网络接口默认区域都将设置为public区域

区域名称默认配置
trusted可信区域,防火墙放行一切流量,等同于关闭防火墙功能
home区全域内主动发起连接的流入回程数据包允许通过,默认放行ssh,mdns,ipp-client,samba-clent或dhcpv6-client服务 //别人不能连进来,但是区域内发起的请求,回程数据能进来
internal与home区域相同
work区域内主动发起连接的流入回程数据包允许通过,放行ssh,dhcpv6-client服务
external区域内主动发起连接的流入回程数据包允许通过,放行ssh服务匹配,开启地址伪装功能
dmz区域内主动发起连接的流入回程数据包允许通过,放行ssh服务匹配
block区域内主动发起连接的流入回程数据包允许通过
drop对进入该区域的所有数据包丢弃,并且不进行任何回包,区域内主动发起连接的流入回程数据包允许通过
public默认区域,拒绝除与出站有关的通信或预定义服务(ssh,dhcpv6-client)以外的所有进站通信

配置

firewall-cmd --set-default-zone=drop    //set 设置  设置默认区域为drop区域
firewall-cmd --reload   //firewall重新生效
firewall-cmd --get-default-zone    //get  查看  查看默认区域
firewall-cmd --list-all    //查看放行了哪些服务

firewall-cmd命令行工具

参数作用
–get-default-zone查访默认的区域名称
–set-default-zone=(区域名称)设置默认的区域,使其永久生效
–list-all显示当前区域的网卡配置参数,资源,端口以及服务等信息
–list-all-zone显示所有区域的网卡配置参数,资源,端口以及服务等信息
–get-zones显示可用可用的区域
–get-active-zones显示当前正在使用的区域,来源地址和网卡名称
–add-source=将源自此IP或子网的流量导向指定的区域
–remove-source=不再将源自此IP或子网的流量导向这个区域
–change-source=将源自此IP或子网的流量导向指定到新的区域
firewall-cmd --add-source=172.25.250.11 --zone=drop   //把源IP为172.25.250.11引入到drop区域
参数作用
–add-interface=(网卡名称)将源自该网卡的所有流量都导向某个指定区域
–change-interface=(网卡名称)将某个网卡与区域进行关联
–get-services显示预定义的服务
–add-service=(服务名)设置默认区域允许该服务的流量
–add-port=(端口号/协议)设置默认区域允许该端口的流量
–remove-service=(服务名)设置默认区域不再允许该服务的流量
–remove-port=(端口号/协议)设置默认区域不再允许该端口的流量
–permanent让配置永久生效
–reload让“永久生效”的配置规则立即生效,并覆盖当前的配置规则
firewall-cmd --change-interface=ens32 --zone=trusted   //将ens32网卡该改变到trusted区域

firewall-cmd --remove-interface=ens32 --zone=trusted   //把ens32网卡从trusted区域放出来

生产配置

firewall-cmd --permanent --add-service=http   //最好要加permanent   永久放行http服务
firewall-cmd --list-all   //查看当前区域的所有规则

firewall-cmd --get-service   //查看放行的服务

firewall-cmd --permanent --add-port=90/tcp   //永久放行端口为tcp 90

放行nfs要放行三个服务
firewall-cmd --permanent --add-service=mountd  
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind

管理firewalld

可以通过三种方式来管理firewalld
    使用命令行工具firewall-cmd
    	运行时配置
    	永久时配置  --permanent
	
	使用图形工具firewall-config
    	打开方式applications->sundry->firewall
    
    使用/etc/firewalld/中的配置文件(不建议)

还有个web端的firewall
	cockpit
		systemctl start cockpik    //开启cockpik服务

firewall有两种模式
    runtime临时模式:修改规则马上生效,但如果重启服务则马上失效,测试建议
	permanent持久模式:修改规则后需要reload重载服务才会生效,生产建议

放行规则

firewall-cmd --add-service=http   //默认runtime模式,放行80端口

firewall-cmd --permanent --add-service=http  //permanent模式下放行80端口
firewall-cmd --reload   //需要重启firewall服务

防火墙规则匹配

firewalld会对于一个接收到的请求具体使用哪个zone,firewalld通过三种方式来判断的:

​ 1.source (来源地址)

​ 2.interface (接收请求的网卡)

​ 3.firewalld配置的默认区域(zone)

linux软件防火墙--firewalld
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
Centos7使用firewall防火墙
anhao的博客
05-31 1130
一、常用命令 systemctl status firewalld # 状态 systemctl start firewalld # 启动 systemctl stop firewalld # 关闭 systemctl enable firewalld # 开机启动 systemctl disable firewalld # 取消开机启动 firewall-cmd --reload #重新载入一下防火墙设置,使设置生效 firewall-cmd --list-all-zones #查看所有 fire
Centos7搭建NFS服务固定端口配置firewalld开放端口
lxypeter521的博客
03-11 4252
配置存储-NFS服务 安装nfs [root@node1 ~]#yum install nfs-utils rpcbind -y 创建挂载目录并授权 [root@node1 ~]#mkdir -p /home/ovirt/database [root@node1 ~]#chmod 777 /home/ovirt/database 将挂载目录添加至配置文件 [root@node1 ~...
RHEL 7 firewalld 放行NFS
zjc801的专栏
06-13 3248
使用 firewalld 防火牆# /usr/bin/firewall-cmd --permanent --zone public --add-service mountd# /usr/bin/firewall-cmd --permanent --zone public --add-service rpc-bind# /usr/bin/firewall-cmd --permanent --zone...
nfs配置防火墙规则
隐身博客
07-22 709
请注意,这只是一种基本的配置方式,具体的配置可能因你的操作系统版本和防火墙管理工具而有所不同。2. 打开防火墙规则配置文件,通常为`/etc/sysconfig/iptables`(对于iptables)或`/etc/firewalld/zones/public.xml`(对于firewalld)。根据不同的工具选择对应的操作。-A INPUT -p tcp --dport -j ACCEPT。-A INPUT -p udp --dport -j ACCEPT。
centos 搭建 nfs-nfs+firewall
douchunrong的博客
05-12 274
NFS搭建以及防火墙配置
Linux系统- firewall-cmd的使用详解
鬼刺
10-15 2283
1 引言
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
Linux系统firewalld防火墙实战指南
qq_24442273的博客
10-21 949
firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。例如,当一个新的网络接口被添加到系统中时,firewalld可以接收到相关的通知,并自动更新防火墙规则以适应新的网络环境。firewalld和liptables都是用来管理防火墙的工具(属于用户态),它们都可以用来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统(属于内核态),从而实现包过滤防火墙功能。
深入解析Linux Firewalld:架构、原理、应用与实战指南
CloudJourney的博客
07-11 1046
本文通过对firewalld的定义、架构、原理、应用场景和命令体系的详细介绍,以及实战模拟的演示,希望能够帮助读者更好地理解和使用firewalld,提高系统的安全性。firewalldLinux系统中的一个动态防火墙管理工具,它使用D-Bus接口与系统通信,允许管理员动态地添加、删除或修改防火墙规则,而无需重新启动防火墙服务。在服务器上,firewalld可以保护系统免受未经授权的访问。防火墙区域是firewalld的核心概念之一,它将网络连接分类到不同的区域,每个区域应用不同的防火墙规则。
Linux防火墙-firewalld
01-09
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 systemctl start firewalld....
Linux下的防火墙
大新软件老杨
05-19 1089
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 192.168.10.20 -p tcp --dport 80 -j REJECT //拒绝IP为192.168.10.20的访问tcp的80端口 --direct 规则 --add-rule 添加规则 ipv4 filter 指定为ipv4的filter表 INPUT 链 -s 数据来源 -p采用的协议 --dport 目的地端口 -j 行为动作。版权声明:本文为CSDN博主「不想上课。
两种方式实现转发代理访问内网NFS 服务—— 筑梦之路
筑梦之路
01-13 1990
NFS共享由于安全和网络等多种因素,无法直接提供对外访问,需通过代理服务器进行端口转发,以实现对外访问。nginx需要什么模块才能支持四层代理?1. nginx四层反向代理NFS。2. firewalld防火墙转发。环境网络架构是怎么样的?为什么要代理NFS
firewalld-cmd简介
Neviller_Ma的博客
12-09 7096
firewalld-cmd简介
Linux操作系统:Firewalld防火墙
qq_56414082的博客
11-23 7715
当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。--service= --remove-source-port=[-]/--service= --query-source-port=[-]/--service= --add-source-port=[-]/
Linux NFS配置固定端口并设置防火墙规则
dbhang的博客
09-16 4281
需求介绍: 生产上想要利用NFS实现共享, 由于生产规则防火墙仅开放了22端口,此时我们需要开启NFS服务端口 但是NFS启动时会随机启动多个端口并向RPC注册. 为了设置安全组以及防火墙规则,此时就需要设置NFS固定端口。 NFS服务需要开启 mountd,nfs,nlockmgr,portmapper,rquotad这5个服务. 其中nfs、portmapper的端口是固定的. 另外三个服务的端口是随机分配的. 所以需要给mountd,nlockmgr,rquotad设置固定的端口。 1.给moun
Linux-Firewall
weixin_44783160的博客
08-19 261
############################### firewalld firewalld网络名称 默认配置 trusted(信任) ## 可接受所有的网络连接 home(家庭) ##用于家庭网络,仅接受ssh,mdns,ipp-client,samba-client或dhcpv6-client服务连接 internal (内部) ##用于内部网络,仅接受ss...
RHEL/CentOS的firewalld防火墙服务配置
Stestack的博客
12-08 621
此外我们还可以自定义服务及其关联的端口集合,自定义服务xml文件的写法可以去抄预定义服务xml文件的作业;此时就可以像使用预定义服务一样,去使用自定义服务了(自定义服务的服务名即为xml文件的文件名,例如demo1.xml文件对应的服务名即为demo1)每个区域使用独立的防火墙规则。这样只需添加相应的服务到防火墙规则中,即可打开该服务关联的所有端口。预定义服务的xml文件位于 /usr/lib/firewalld/services/ 下,可通过查看相应服务的xml文件确认其所关联的端口。
firewalld防火墙命令行工具
m0_73258133的博客
01-09 3346
firewall-cmd预定义信息主要包括三种:可用的区域、可用的服务以及可用的ICMP阻塞类型. 具体的查看命令如下所示。
linux firewalld
最新发布
12-28
### 如何在Linux中使用和配置Firewalld防火墙 #### Firewalld基础概念 Firewalld 是 CentOS 7 默认的管理防火墙规则的工具,属于 Linux 防火墙的“用户态”。与传统的 `iptables` 不同的是,Firewalld 提供了更灵活的方式来进行防火墙管理。它引入了 zones 和 services 的概念来简化复杂的网络环境下的安全策略设定[^1]。 #### 安装与启动Firewalld 如果尚未安装 Firewalld,则可以通过包管理器进行安装: ```bash sudo yum install firewalld ``` 启动并启用该服务以确保其随系统一起启动: ```bash sudo systemctl start firewalld sudo systemctl enable firewalld ``` 确认服务正在运行: ```bash sudo systemctl status firewalld ``` #### 基本命令操作 为了查看当前活动的状态以及默认使用的 zone 可执行如下指令: ```bash firewall-cmd --state firewall-cmd --get-default-zone ``` 要获取所有已知区域列表及其详情信息可分别输入以下两条语句之一: ```bash firewall-cmd --get-zones firewall-cmd --list-all-zones ``` 对于特定 Zone 下的服务、端口等资源查询同样简单明了: ```bash firewall-cmd --zone=public --list-services firewall-cmd --zone=public --list-ports ``` #### 添加或移除规则 向指定区域内添加新 IP 地址作为信任源地址的方法如下所示: ```bash firewall-cmd --add-source=192.168.0.0/24 --zone=home ``` 当不再需要这条记录时可通过下面这行代码将其删除掉: ```bash firewall-cmd --remove-source=192.168.0.0/24 --zone=home ``` 同样的逻辑也适用于开放某个端口号或者关闭之: ```bash firewall-cmd --add-port=80/tcp --zone=external firewall-cmd --remove-port=80/tcp --zone=external ``` #### 修改默认Zone及接口关联 更改整个系统的默认工作区只需一条简单的命令即可完成: ```bash firewall-cmd --set-default-zone=work ``` 将某张网卡绑定至不同的分区上则需要用到类似这样的表达方式: ```bash firewall-cmd --change-interface=enp0s3 --zone=internal ``` #### 图形化界面介绍 除了命令行外还有图形化的工具可供选择——即 `firewall-config` 应用程序。此应用的工作界面被划分为多个部分,其中包括但不限于主菜单、配置选项、区域和服务等多个标签页。通过这些组件能够更加直观便捷地管理和调整各项参数设置[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

datacom_chen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值