Linux系统——防火墙Firewalld

目录

一、firewalld介绍

1.归入zone顺序

2.firewalld zone分类

3.预定义服务

二、图形化操作

1.打开firewalld图形化界面

2.以http服务为例,打开httpd服务

3.修改端口号

三、命令行配置

1.基础配置

2.查看现有firewalld设置

3.设置查看默认区

4.添加源地址(网段)及端口及服务

四、其他规则

1.管理rich规则

1.1rich语法

1.2man 5 firewalld.richlanguage

2.示例


一、firewalld介绍

firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具,也被ubuntu18.04版以上所支持(apt install firewalld安装即可)

firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能firewalld服务由firewalld包提供

1.归入zone顺序

  • 先根据数据包中源地址,将其纳为某个zone

  • 纳为网络接口所属zone

  • 纳入默认zone,默认为public zone,管理员可以改为其它zone

  • 网卡默认属于public zone,lo网络接口属于trusted zone

firewalld支持划分区域zone,每个zone可以设置独立的防火墙规则

1.已经存在了zone区域

2.使用firewall,就是将特定的流量关联到某个zone中

  • 通过源网段关联zone

  • 通过网卡关联zone区域

  • 如果两者都没有关联的数据报文,那就会去default zone

3.进入到zone以后,开始匹配zone内的规则

2.firewalld zone分类

zone名称默认配置
trusted允许所有流量
home拒绝除和传出流量相关的,以及ssh,mdsn,ipp-client,samba-client,dhcpv6-client预 定义服务之外其它所有传入流量
internal和home相同
work拒绝除和传出流量相关的,以及ssh,ipp-client,dhcpv6-client预定义服务之外的其它所有传入流量
public拒绝除和传出流量相关的,以及ssh,dhcpv6-client预定义服务之外的其它所有传入流 量,新加的网卡默认属于public zone
external拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量,属于external zone的传出ipv4流量的源地址将被伪装为传出网卡的地址
dmz拒绝除和传出流量相关的,以及ssh预定义服务之外的其它所有传入流量
block拒绝除和传出流量相关的所有传入流量
drop拒绝除和传出流量相关的所有传入流量(甚至不以ICMP错误进行回应)

3.预定义服务

服务名称配置
sshLocal SSH server. Traffic to 22/tcp
dhcpv6- clientLocal DHCPv6 client. Traffic to 546/udp on the fe80::/64 IPv6 network
ipp- clientLocal IPP printing. Traffic to 631/udp
samba- clientLocal Windows file and print sharing client. Traffic to 137/udp and 138/udp
mdnsMulticast DNS (mDNS) local-link name resolution. Traffic to 5353/udp to the 224.0.0.251 (IPv4) or ff02::fb (IPv6) multicast addresses

firewalld预定义服务配置

  • firewall-cmd --get-services 查看预定义服务列表
  • /usr/lib/firewalld/services/*.xml预定义服务的配置

firewalld 三种配置方法

  • firewall-config 图形工具: 需安装 firewall-config包
  • firewall-cmd 命令行工具: firewalld包,默认安装
  • /etc/firewalld/ 配置文件,一般不建议,如:/etc/firewalld/zones/public.xml

二、图形化操作

1.打开firewalld图形化界面

2.以http服务为例,打开httpd服务

运行时:修改后立即生效

永久:重新加载或者重启之后永久生效

3.修改端口号

三、命令行配置

1.基础配置

firewall-cmd [OPTIONS...]
firewall-cmd

选项含义
--permanent设置永久生效
--add-port=端口号/协议(tcp/udp) 设置端口号和协议
--reload重新加载防火墙设置
--remove移除规则
--get-zones列出所有可用区域
--get-default-zone查询默认区域
--set-default-zone=<ZONE>设置默认区域
--get-active-zones列出当前正使用的区域
--add-source=<CIDR>[--zone=<ZONE>]添加源地址的流量到指定区域,如果无--zone= 选项,使用
默认区域
--remove-source=<CIDR> [--zone=ZONE>]从指定区域删除源地址的流量,如无--zone= 选项,使用默认区域
--add-interface=<INTERFACE>[--zone=<ZONE>]添加来自于指定接口的流量到特定区域,如果无--zone= 选项,使用默认区域
--change-interface=<INTERFACE>[--zone=<ZONE>]改变指定接口至新的区域,如果无--zone=选项,使用默认区域
--add-service=<SERVICE> [--zone=<ZONE>]允许服务的流量通过,如果无--zone= 选项,使用默认区域
--add-port=<PORT/PROTOCOL>[--zone=<ZONE>]允许指定端口和协议的流量,如果无--zone= 选项,使用默认区域
--remove-service=<SERVICE> [--zone=<ZONE>]从区域中删除指定服务,禁止该服务流量,如果无--zone= 选项,使用默认区域
--remove-port=<PORT/PROTOCOL>[--zone=<ZONE>] 从区域中删除指定端口和协议,禁止该端口的流量,如果无--zone= 选项,使用默认区域
--reload删除当前运行时配置,应用加载永久配置
--list-services查看开放的服务
--list-ports查看开放的端口
--list-all [--zone=<ZONE>]列出指定区域的所有配置信息,包括接口,源地址,端口,服务等,如果无--zone= 选项,使用默认区域

2.查看现有firewalld设置

[root@localhost ~]#systemctl start firewalld
#开启
[root@localhost ~]#systemctl stop firewalld.service
#关闭
[root@localhost ~]#systemctl status firewalld
#查看状态
[root@localhost ~]#firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

3.设置查看默认区

[root@localhost ~]#firewall-cmd --zone=
#查看区域
block     dmz       drop      external  home      internal  public    trusted   work
[root@localhost ~]#firewall-cmd --get-default-zone 
#查看默认区域



[root@localhost ~]#firewall-cmd --set-default-zone 
block     dmz       drop      external  home      internal  public    trusted   work      
[root@localhost ~]#firewall-cmd --set-default-zone 
block     dmz       drop      external  home      internal  public    trusted   work      
[root@localhost ~]#firewall-cmd --set-default-zone home
success
[root@localhost ~]#firewall-cmd --get-default-zone 
home

4.添加源地址(网段)及端口及服务

[root@localhost ~]#firewall-cmd --permanent --add-port=80/tcp
#添加80端口

[root@localhost ~]#firewall-cmd --permanent --remove-port=80/tcp
#移除80端口
[root@localhost ~]#firewall-cmd --permanent --add-port=80/tcp --zone=home 
#可以指定区域
success


[root@localhost ~]#firewall-cmd --add-service=http
#允许http服务
[root@localhost ~]#firewall-cmd --permanent --add-icmp-block=echo-request
#禁止ping
success
[root@localhost ~]#firewall-cmd --reload 
success



[root@localhost ~]#firewall-cmd --permanent --add-source=192.168.100.0/24
#					基础命令       永久生效      添加 源      网段     子网掩码
[root@localhost ~]#firewall-cmd --reload
success
[root@localhost ~]#firewall-cmd --list-all
#查看生效策略


删除source
[root@localhost ~]#firewall-cmd --zone=home --remove-source=192.168.91.0/24 --remove-source=192.168.50.0/24 --remove-source=192.168.100.0/24 --permanent 

四、其他规则

当基本firewalld语法规则不能满足要求时,可以使用以下更复杂的规则

rich-rules 富规则,功能强,表达性语言

Direct configuration rules 直接规则,灵活性差, 帮助:man 5 firewalld.direct

1.管理rich规则

rich规则比基本的firewalld语法实现更强的功能,不仅实现允许/拒绝,还可以实现日志syslog和

auditd,也可以实现端口转发,伪装和限制速率

规则实施顺序:

  • 该区域的端口转发,伪装规则
  • 该区域的日志规则
  • 该区域的允许规则
  • 该区域的拒绝规则

每个匹配的规则生效,所有规则都不匹配,该区域默认规则生效

1.1rich语法

rule
 [source]
 [destination]
 service|port|protocol|icmp-block|masquerade|forward-port
 [log]
 [audit]
 [accept|reject|drop]

1.2man 5 firewalld.richlanguage

选项描述
--add-rich-rule=Add to the specified zone, or the default zone if no zone is specified.
--remove-rich-rule=Remove to the specified zone, or the default zone if no zone is specified.
--query-rich-rule=Query if has been added to the specified zone, or the default zone if no zoneis specified. Returns 0 if the rule is present, otherwise 1.
--list-rich-rule=Outputs all rich rules for the specified zone, or the default zone if no zone is

2.示例

拒绝从192.168.0.100的所有流量,当address 选项使用source 或 destination时,必须用family= ipv4 
|ipv6

[root@localhost ~]# firewall-cmd --permanent --zone=public --add-rich-rule='rule   family=ipv4 source address=192.168.0.100/32 reject'

[root@localhost ~]#firewall-cmd --remove-rich-rule='rule family="ipv4" source address="192.168.91.101" reject'


限制每分钟只有两个连接到ftp服务
[root@localhost ~]#firewall-cmd --add-rich-rule=‘rule service name=ftp limit value=2/m accept’


接受所有192.168.1.0/24子网端口5900-5905范围的TCP流量
[root@localhost ~]#firewall-cmd --permanent --zone=vnc --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=5900-5905 protocol=tcp accept'

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/392900.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

软考-系统集成项目管理中级-信息系统集成与服务管理

本章重要知识点 信息系统集成是指将计算机软件、硬件、网络通信、信息安全等技术和产品集成为能够满足用户特定需求的信息系统。 信息系统的生命周期可以分为立项、开发、运维及消亡四个阶段。 系统的运行维护可分为: 1、更正性维护:更正交付后发现的错误; 2、适应性维护:使…

【第三十六节】工程与模块管理

IDEA 项目结构 层级关系&#xff1a; project&#xff08;工程&#xff09;-module&#xff08;模块&#xff09;-package(包)-class&#xff08;类&#xff09; 具体的&#xff1a; 一个project中可以创建多个module 一个module可以创建多个package 一个package中可以创…

Linux下HTTP隧道技术的应用场景与优势分析

亲爱的Linux侠们&#xff0c;今天我们来聊一聊Linux下HTTP隧道技术的应用场景与优势。在这个网络时代&#xff0c;HTTP隧道技术就如同一位神秘的“魔法师”&#xff0c;为我们解决了许多棘手的网络问题。 首先&#xff0c;让我们来看看HTTP隧道技术在哪些场景下能大展身手。 …

OpenGL学习——14.投光物_点光源

前情提要&#xff1a;本文代码源自Github上的学习文档“LearnOpenGL”&#xff0c;我仅在源码的基础上加上中文注释。本文章不以该学习文档做任何商业盈利活动&#xff0c;一切著作权归原作者所有&#xff0c;本文仅供学习交流&#xff0c;如有侵权&#xff0c;请联系我删除。L…

C++ 多起点的bfs(五十九)【第六篇】

今天我们来学习多起点的bfs 1.多起点的bfs 在普通的广度优先搜索问题中&#xff0c;为了得到从初始状态到达目标状态的最小操作数&#xff0c;则将初始状态放入队列中。离初始状态由近及远地不断扩展出新的状态&#xff0c;直到搜索到目的状态&#xff0c;或队列为空&#xff…

using--派生类引用基类成员

派生类中using前置声明使用基类成员 using可以用于在派生类中声明需要使用的基类的成员。 这种语法只能在有继承关系的类的派生类中使用&#xff0c;不能在无关的类之间使用。 因为C语法默认在一个类A中使用using引用另一个类B的成员,则A一定继承B&#xff1b;如果没有继承关…

向表中插入数据(单行/多行/插入否则更新/插入否则替换)

目录 插入单行数据 指定属性 省略属性列 多行插入 插入否则更新 格式 on duplicate key含义 不同行数的更改 示例 查看影响行数 语法 插入否则替换 格式 不同行数的更改 示例 插入单行数据 insert into 表名 ( &#xff08;属性列名) ) values (数据) 指定属…

GAN:“左右互搏”的卷积网络,不断优化性能中

hello宝子们...我们是艾斯视觉擅长ui设计和前端开发10年经验&#xff01;希望我的分享能帮助到您&#xff01;如需帮助可以评论关注私信我们一起探讨&#xff01;致敬感谢感恩&#xff01; 在一个名为“卷王”的世界里&#xff0c;有一个传奇般的存在——生成对抗网络&#xff…

West-wild

信息收集 # nmap -sn 192.168.1.0/24 -oN live.nmap Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-04 14:45 CST Nmap scan report for 192.168.1.1 Host is up (0.00063s latency). MAC Address: 00:50:56:C0:00:08 (VMware) Nmap scan report …

【大厂AI课学习笔记】【2.1 人工智能项目开发规划与目标】(6)特征工程初步

特征工程是一个非常重要的概念&#xff0c;从特征工程可以领会到机器学习的真谛。 特征工程就是从原始数据转换为特征向量的过程。 特征工程的特点&#xff1a; 特征工程是机器学习中很重要的起始步骤&#xff0c;直接影响效果&#xff0c;需要大量的时间。 数据和特征决定了…

计算机设计大赛 深度学习YOLO抽烟行为检测 - python opencv

文章目录 1 前言1 课题背景2 实现效果3 Yolov5算法3.1 简介3.2 相关技术 4 数据集处理及实验5 部分核心代码6 最后 1 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 &#x1f6a9; 基于深度学习YOLO抽烟行为检测 该项目较为新颖&#xff0c;适合作为竞赛课…

java面试微服务篇

目录 目录 SpringCloud Spring Cloud 的5大组件 服务注册 Eureka Nacos Eureka和Nacos的对比 负载均衡 负载均衡流程 Ribbon负载均衡策略 自定义负载均衡策略 熔断、降级 服务雪崩 服务降级 服务熔断 服务监控 为什么需要监控 服务监控的组件 skywalking 业务…

Dog - Shepherd

逼真的牧羊犬模型。 该模型有57块骨头,14700个三角形和4个LOD级别。LOD已启用并配置。 纹理贴图-反照率(阿尔法蒙版)、AO/金属/粗糙度、法线贴图(均为2048x2048)。 2900 个三角形的手机独立模型。 该资产还有一个没有阿尔法通道的狗模型。 100+动画(IP/RM): 攻击(咬、…

源码网打包,目前有3000多个资源

源码网打包&#xff0c;目前有3000多个资源 需要赶快下手吧&#xff0c;到手可以使用&#xff0c;搭建好和本站一样&#xff0c;全网唯一 优化缩略图演示&#xff1a;https://www.htm.ink默认缩略图演示&#xff1a;https://blog.htm.ink网站截图

【HarmonyOS】鸿蒙开发之Image组件——第3.1章

图片的放缩类型 Cover&#xff08;默认值&#xff09;&#xff1a;保持图片宽高比进行放缩显示&#xff0c;使得图片完全显示在显示边界外。 Image("https://seopic.699pic.com/photo/50110/8335.jpg_wh1200.jpg").width(100).margin({right:10}).objectFit(ImageFi…

JDK8 升级至JDK19

优质博文IT-BLOG-CN 目前部分项目使用JDK8&#xff0c;部分项目使用JDK19因此&#xff0c;环境变量中还是保持JDK8&#xff0c;只需要下载JDK19免安装版本&#xff0c;通过配置IDEA就可以完成本地开发。 一、IDEA 环境设置 【1】通过快捷键CTRL SHIFT ALT S或者File->P…

优思学院|有关Cp、Cpk与缺陷率的说法哪一个正确?

有关Cp、Cpk和缺陷率&#xff0c;一直都是六西格玛、质量管理中一个经常使用&#xff0c;又经常令人困域的概念&#xff0c;今天&#xff0c;我们来讨论一条六西格玛的考试题目&#xff0c;看看我们对Cp、Cpk的理解是否正确。题目是这样的&#xff1a; 问题&#xff1a;对于正…

2024最全的性能测试种类介绍,这6个种类特别重要!

系统的性能是一个很大的概念&#xff0c;覆盖面非常广泛&#xff0c;包括执行效率、资源占用、系统稳定性、安全性、兼容性、可靠性、可扩展性等&#xff0c;性能测试就是描述测试对象与性能相关的特征并对其进行评价而实施的一类测试。 性能测试是一个统称&#xff0c;它其实包…

【Linux】进程的初步认识(一)

进程的初步认识 基本概念描述进程task_struct-PCB的一种task_stuct内容分类 查看进程通过系统调用获取进程标识符 基本概念 要了解进程&#xff0c;首先我们要知道两点 我们可以同时启动多个程序&#xff0c;也就意味着我们可以将多个.exe文件加载到内存操作系统如何去管理这些…