Linux之防火墙详解

华子目录

  • 什么时防火墙
  • 分类
  • Netfilter(数据包过滤)
    • 定义
    • Netfilter分析内容
  • 防火墙无法完成的任务
  • iptables与firewalld区别
  • iptables
  • iptables执行原则
    • 原则
    • 防火墙规则
    • 规则链
      • 概念
      • 分析
      • 规则链分类
        • 注意
        • 例:物业管理公司有两条规定:
      • 规则链之间的匹配顺序
      • iptables流量处理动作
      • iptables表
        • 四种规则表
  • 安装iptables
    • 预处理
    • 管理命令
    • 规则链存储文件
  • iptables命令
    • 原则
    • 格式
    • 参数
    • 示例
  • 实验1
  • 实验2
  • 实验3
  • firewalld概念
  • firewalld特点
    • 区域zone
      • 作用
      • 分析
      • zone文件中的过滤规则
  • firewall-cmd可视化界面工具
    • 安装
    • 使用
  • firewall-cmd命令行工具
    • firewalld命令生效模式
    • 管理命令
    • 设置命令firewall-cmd参数
    • 示例1
    • 示例2
    • 示例3
      • 示例3总结
    • 示例4
    • 示例5
      • firewalld 富规则
      • 格式

什么时防火墙

  • 防火墙时位于内部网外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。

在这里插入图片描述

分类

  • 硬件防火墙:由厂商设计好的主机硬件,其操作系统主要以提供数据包数据的过滤机制为主,并去掉不必要的功能。
  • 软件防火墙:保护系统网络安全的一套软件(或称为机制)

Netfilter(数据包过滤)

定义

  • netfilter是一个工作在Linux内核网络数据包处理框架,用于分析进入主机的网络数据包,将数据包的头部数据(硬件地址,软件地址,TCP,UDP,ICMP等)提取出来进行分析,来决定该连接为放行还是抵挡的机制,主要用于分析OSI七层协议的2,3,4层

Netfilter分析内容

  • 拒绝让Internet的数据包进入主机的某些端口
  • 拒绝某些来源IP的数据包进入
  • 拒绝让带有某些特殊标志(flag)的数据包进入,如:带有SYN的主动连接标志
  • 分析MAC地址决定是否连接

防火墙无法完成的任务

  • 防火墙并不能杀毒清除木马程序(假设主机开放了www服务,那么防火墙的设置一定是要将www服务的port开放给client端的。假设www服务器软件有漏洞,或者请求www服务的数据包本身就是病毒的一部分时,防火墙时阻止不了的
  • 防火墙无法阻止来自内部LAN的攻击(防火墙对于内部的规则设置通常比较少,所以就很容易造成内部员工对于网络滥用的情况

iptables与firewalld区别

  • netfilter数据包过滤机制是由Linux内核建立的,不同的内核版本使用的设置防火墙策略软件不一样,从红帽7系统开始firewalld服务取代了iptables服务
  • iptablesfirewalld不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,即只是一种服务,而真正使用规则干活的是内核的netfilter
  • 总之,当前Linux系统中的防火墙管理工具,旨在方便运维人员管理Linux系统中的防火墙策略,我们只需要配置妥当其中的一个就足够了。当然这些工具各有优劣,但它们在防火墙策略的配置思路上是保持一致的

iptables

  • 早期的Linux系统中,默认使用iptables防火墙来管理服务和配置防火墙,虽然新型的firewalld防火墙管理服务已经被投入使用多年,但是iptables在当前生产环境中还继续使用,具有顽强的生命力

iptables执行原则

原则

  • 防火墙从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束配置工作并去执行匹配项中定义的行为(即放行或阻止)
  • 如果在读取完所有的策略规则后没有匹配项,就去执行默认的策略

防火墙规则

  • 通(放行,允许)
  • 堵(阻止,拒绝)(一类:返回信息后拒绝,另一类:直接丢包)
  • 默认策略为拒绝时,就要设置允许规则,否则数据包都进不来;若默认策略为允许时,就要设置拒绝规则=,否则数据包都能进来,防火墙也就失去了作用

规则链

概念

  • iptables服务把用于过滤流量策略条目称之为规则多条规则组成一个规则链

分析

  • 数据包经过iptables处理必须闯过5个控制关卡每个关卡放置5个规则链用于检查规则和处理,每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫作规则链
  • 在这里插入图片描述

规则链分类

在这里插入图片描述

  • input链数据包流入时,即数据包从内核流入用户空间
  • output链向外发送数据包(流出)时,即数据包从用户空间流出到内核空间,一般不配置
  • forward链:处理数据包转发时,即在内核空间中,从一个网络接口进入到另一个网络接口去(转发过滤)
  • prerouting链:在对数据包作路由选择之前,即互联网进入局域网
  • postrouting链:在对数据包作路由选择之后,即局域网出互联网
注意

从内网向外网发送的流量一般都是可控且良性的,因此使用最多的是input规则链,该规则链可以增大黑客人员从外网入侵内网的难度

例:物业管理公司有两条规定:
  • 1.禁止小商小贩进入社区
  • 2.各种车辆在进入社区时都要登记
  • 这两条规定是用于社区正门的(流量必须经过的地方),而不是每家的防盗门。根据防火墙策略的匹配顺序,可能会存在多种情况
  • 如:来访人员是小商小贩,则会被保安拒之门外,也就是无需再对车辆进行登记。若来访人员乘坐一辆汽车进入社区正门,则=="禁止小商小贩进入社区"的第一条规则就没有被匹配到==,因此按照顺序匹配第二条策略,既需要对车辆进行登记。如果是社区居民要进入正门,则这两条规定都不会匹配到,因此会执行默认的放行策略

规则链之间的匹配顺序

  • 主机型防火墙:

    • 入站数据(来自外界的数据包,且目标地址是防火墙本机):prerouting------>input---->本机的应用程序
    • 出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序----->output------>postrouting
  • 网络型防火墙:转发数据(需要经过防火墙转发的数据包):prerouting------>forward-------->postrouting

  • 规则链内的匹配顺序

    • 自上向下按顺序依次进行检查,找到相匹配的规则就立即停止(log策略例外,表示记录相关日志)
    • 若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

iptables流量处理动作

  • 当规则链匹配后应采用以下几种动作来处理匹配的流量
    • accept:允许流量通过
    • reject:拒绝流量通过,拒绝后回复拒绝信息
    • log:记录日志信息
    • drop:拒绝流量通过,流量丢弃不回复
  • 例:若某天你正在家里看电视,突然听到有人敲门,透过防盗门的猫眼一看是推销商品的,便会在不需要的情况下开门并拒绝他们(reject)。但如果你看到的是债主带了十几个小弟来讨债,此时不仅要拒绝开门,还要默不作声,伪装成自己不在家的样子(drop)

iptables表

  • 规则链容纳了各种流量匹配规则规则表则存储了不同功能对应的规则链,总之:表里有链,链里有规则
四种规则表
  • filter表:用于对数据包过滤外网进入内网时),根据具体的规则决定是否放行该数据包(如drop,accept,reject,log),包含三个规则链:input,forward,output所谓的防火墙其实基本上是指这张表上的过滤规则,常用
  • nat表:network,address,translation,网络地址转换功能,主要用于修改数据包的源,目标IP地址,端口,包含三个规则链,output,prerouting,postrouting
  • mangle表:拆解报文,做出修改,并重新封装,主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)值以及为数据包设置Mark标记,由于需要相应的路由设备支持,因此应用并不广泛,包含全部五个规则链
  • raw表:是自1.2.9以后版本的iptables新增的表用于是否对该数据包进行状态跟踪,在匹配数据包时,raw表的规则要优先于其他表包含两个规则链,OUTPUT、PREROUTING
  • 注意:最终定义的防火墙规则链,都会添加到这四张表中的其中一张表中,如图:
  • 在这里插入图片描述

安装iptables

预处理

  • RHEL(Centos)9中默认使用的是firewalld,且与iptables之间有冲突,如果需要使用 iptables 需要先停止firewalld再进行安装:
[root@server ~]# systemctl stop  firewalld

[root@server ~]# systemctl disable  firewalld
# RHEL9安装iptables:
[root@server ~]# yum  list  |  grep  iptables  # 查询安装包名
iptables-libs.x86_64                                 1.8.8-4.el9                        @anaconda
iptables-nft.x86_64                                  1.8.8-4.el9                        @anaconda
iptables-devel.i686                                  1.8.10-2.el9                       app
iptables-devel.x86_64                                1.8.10-2.el9                       app
iptables-libs.i686                                   1.8.10-2.el9                       base
iptables-libs.x86_64                                 1.8.10-2.el9                       base
iptables-nft.x86_64                                  1.8.10-2.el9
       base
iptables-nft-services.noarch                         1.8.10-2.el9
       app
iptables-utils.x86_64                                1.8.10-2.el9
       base


[root@server ~]# yum  install  iptables-nft-services  -y

# RHEL8安装iptables:
[root@server ~]# yum  install iptables-services -y

管理命令

[root@server ~]# systemctl start iptables

[root@server ~]# systemctl enable iptables

[root@server ~]# systemctl status iptables

[root@server ~]# systemctl stop iptables

[root@server ~]# systemctl restart iptables

[root@server ~]# service  iptables save   #保存设置的规则
# 注意:保存设置的规则,否则重启后会恢复默认设置,不能用systemctl save  iptables

规则链存储文件

规则链存储文件在 /etc/sysconfig/iptables

[root@server ~]# vim   /etc/sysconfig/iptables

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
  • 前三行为注释
  • 这是filter表的规则链

iptables命令

原则

  • iptables 命令根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,若匹配成,则iptables 会根据策略规则所预设的动作来处理这些流量,由于策略规则的匹配顺序是从上至下,则要把较为严格、优先级较高的策略规则放到前面,以免发生错误

格式

  • 简化
[root@server ~]# iptables [-t 表名] 选项 [链名] [条件] [-j 控制动作]

  • 详细
[root@server ~]# iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 控制动作

参数

参数作用
-t指定的表进行操作table必须是raw,nat,filter,mangle中的一个默认是filter
-p指定要匹配的数据包协议类型
-s匹配源地址ip/mask,若有,表示取反
-d匹配目的地址ip/mask
-i 网卡名匹配从这块网卡流入的数据
-o 网卡名匹配从这块网卡流出的数据
-L列出规则链上的所有规则如果没有指定链,列出表上所有链的所有规则
-A在规则链的末尾加入新规则
-l num在规则链的头部加入新规则
-D num删除指定规则
-R num替换/修改第几条规则
-P设置默认策略
-F清空所有规则(F:flush是“冲洗、冲掉”的意思)
-N创建新规则链
-X删除指定规则链,这个链必须没有被其它任何规则引用,而且这条链上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链
-E指定的新名字去重命名指定的链
-Z把指定链,或者表中的所有链上的所有计数器清零
-j满足某条件时该执行什么样的动作
-h显示帮助信息

示例

  • 查看已有的防火墙规则链
[root@server ~]# iptables -nvxL --line
# 参数释义
	# -n:显示源
	# -v:详细信息
	# -x:单位自动转换为KB\MB
	# -L:写在最后,列出所有规则
	# --line:增加行号


[root@server ~]# iptables -nvxL --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination
1         159    24271 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2           0        0 ACCEPT     1    --  *      *       0.0.0.0/0            0.0.0.0/0
3           0        0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
4           0        0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5          19     1843 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination
1           0        0 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 143 packets, 12422 bytes)
num      pkts      bytes target     prot opt in     out     source
destination


# 显示释义
	# num:规则的行号
	# pkts:数据包数量
	# bytes:数据包字节数
	# target:动作(放行、拒绝)
	# port:端口
	# in:入站网卡
	# out:出站网卡
  • 清空规则
[root@server ~]# iptables  -F             # 清空规则(清空所有表的所有链)


[root@server ~]# iptables  -nvxL  --line  # 查看规则链信息
Chain INPUT (policy ACCEPT 44 packets, 2552 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

Chain OUTPUT (policy ACCEPT 24 packets, 1880 bytes)
num      pkts      bytes target     prot opt in     out     source
destination



[root@server ~]# systemctl restart iptables.service  # 重启服务


[root@server ~]# iptables  -nvxL  --line   # 再次查看,恢复原状,说明未保存设置
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination
1         159    24271 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2           0        0 ACCEPT     1    --  *      *       0.0.0.0/0            0.0.0.0/0
3           0        0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
4           0        0 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
5          19     1843 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination
1           0        0 REJECT     0    --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 143 packets, 12422 bytes)
num      pkts      bytes target     prot opt in     out     source
destination


[root@server ~]# iptables  -F    # 再次清空规则

[root@server ~]# iptables  -nvxL  --line   # 再次查看
Chain INPUT (policy ACCEPT 44 packets, 2552 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

Chain OUTPUT (policy ACCEPT 24 packets, 1880 bytes)
num      pkts      bytes target     prot opt in     out     source
destination


[root@server ~]# service iptables save   # 保持设置
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]


[root@server ~]# systemctl restart iptables.service   # 重启服务


[root@server ~]# iptables  -nvxL  --line  # 再次查看,发现规则已清空
Chain INPUT (policy ACCEPT 44 packets, 2552 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

Chain OUTPUT (policy ACCEPT 24 packets, 1880 bytes)
num      pkts      bytes target     prot opt in     out     source
destination

实验1

  • 搭建web服务器,设置任何人都能通过80端口访问http服务
[root@server ~]# iptables  -F    # 再次清空规则
[root@server ~]# service iptables save   # 保持设置
[root@server ~]# systemctl restart iptables.service   # 重启服务

[root@server ~]# mkdir  -p  /www/web
[root@server ~]# echo  "hello world"  >  /www/web/index.html
[root@server ~]# yum  install  httpd -y
[root@server ~]# vim  /etc/httpd/conf/httpd.conf 
DocumentRoot "/www/web"
<Directory "/www/web">
    AllowOverride None
    # Allow open access:
    Require all granted
</Directory>


[root@server ~]# systemctl restart httpd

[root@server ~]# iptables  -A  INPUT  -p tcp  --dport 80  -j ACCEPT
[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@server ~]# iptables  -nvxL  --line
Chain INPUT (policy ACCEPT 236 packets, 14221 bytes)
num      pkts      bytes target     prot opt in     out     source               destination

1           3      122 ACCEPT     6    --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num      pkts      bytes target     prot opt in     out     source               destination


Chain OUTPUT (policy ACCEPT 127 packets, 10036 bytes)
num      pkts      bytes target     prot opt in     out     source               destination



[root@server ~]# systemctl restart iptables.service 
[root@server ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     6    --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

实验2

  • 搭建web服务器,设置任何人都不能通过80端口访问http服务

实验3

  • 禁止所有人使用ssh进行远程登录
[root@server ~]# iptables -F  # 清空所有规则
[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@server ~]# iptables -nL   #发现没有策略了


# 插入新规则
[root@server ~]# iptables  -A  INPUT  -p  tcp  --dport  22  -j  REJECT   #当回车之后,xshell就不能用了,需要在虚拟机中进行配置

[root@server ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]

[root@server ~]# iptables  -nL

# 恢复连接(在虚拟机中配置)
[root@server ~]# iptables  -nL  --line
[root@server ~]# iptables  -D  INPUT  1    # 删除INPUT链中的1号规则
[root@server ~]# service iptables save
#保存之后,继续使用xshell进行ssh连接

firewalld概念

  • firewalld(Dynamic Firewall Manager of Linux systems,Linux 系统的动态防火墙管理器)服务是默认的防火墙配置管理工具,从RHEL 7开始,用firewalld服务替代了iptables服务
  • RHEL 9采用firewalld管理netfilter子系统,默认情况,firewalld则是交由内核层面的nftables包过滤框架来处理

firewalld特点

  • firewalld可以动态修改单条规则,不需要像iptables那样,修改规则后必须全部刷新才可生效
  • firewalld默认动作是拒绝,则每个服务都需要去设置才能放行,而iptables里默认是每个服务是允许,需要拒绝的才去限制
  • iptables防火墙类型为静态防火墙firewalld 防火墙类型为动态防火墙
  • firewalld和iptables一样自身并不具备防火墙功能,它们的作用都是用于维护规则,而真正使用规则干活的是内核防火墙模块
  • firewalld 加入了区域(zone,一系列规则的集合)概念

区域zone

作用

  • firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone),然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域,每个区域都定义了自己打开或者关闭的端口和服务列表
  • 区域:zone本质为firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同选择合适的策略集合,从而实现防火墙策略之间的快速切换

  • 有一台笔记本电脑,每天都要在公司、咖啡厅和家里使用。这三者的安全性按照由高到低的顺序是:家庭、公司办公室、咖啡厅。若希望指定如下防火墙策略规则:在家中允许访问所有服务;在公司办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。以往,我们需要频繁地手动设置防火墙策略规则,而现在只需要预设好区域集合,然后只需轻点鼠标就可以自动切换了,从而极大地提升了防火墙策略的应用效率。

分析

  • firewalld的一个zone就是一个可信等级,一个等级对应一套过滤规则(规则集合
  • 数据包必须要经过某个zone才能入站或出站
  • 每个zone都有一个处理行为(default、ACCEPT、REJECT、DROP)
  • firewalld的zone根据信任级别分成9个默认zone
区域默认策略规则
trusted(信任区域允许所有的传入流量
home (家庭区域)允许与SSH、MDNS(多播DNS)、IPP客户端、samba-客户端、DHCPv6客户端、cockpit(服务器管理工具)服务匹配的流量传入,其余拒绝
internal (内部区域)默认值时与homel区域相同
work(工作区域)允许 与SSH、DHCPv6客户端、cockpit服务匹配的流量传入,其余拒绝、
public (公共区域允许与SSH或DHCPv6客户端、cockpit服务匹配的流量传入,其余拒绝 (是默认区域)
external(外部区域)允许与SSH服务匹配的流量传入,其余拒绝
dmz (隔离区域)也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用,允许与SSH服务匹配的流量传入,其余拒绝
block (阻塞区域)拒绝所有传入流量,返回icmp-host-prohibited消息
drop (丢弃区域)丢弃所有传入流量,且没有任何回复,类似DROP
  • firewalld的配置文件两个主要的目录 /usr/lib/firewalld/zones(系统配置文件,尽量不要修改)和 /etc/firewalld/zones(用户配置文件,可以自行修改),每个zone单独对应一个xml配置文件,文件名为 <zone名称>.xml
[root@server ~]# cd /usr/lib/firewalld/zones
[root@server zones]# ls
block.xml  drop.xml      home.xml      nm-shared.xml  trusted.xml
dmz.xml    external.xml  internal.xml  public.xml     work.xml

[root@server zones]# cd /etc/firewalld/zones
[root@server zones]# ls
public.xml  public.xml.old
  • 用法是:把可信任的IP地址添加到trusted区域,把不可信任的IP地址添加到block区域,把要公开的网络服务添加到public区域,所以常用区域为:trusted、block、public

zone文件中的过滤规则

  • 过滤规则优先级:

    • source(最高)(IP地址)
    • interface(次之)(接口)
    • 默认zone(最低)
  • 规则

规则作用
scource源IP地址过滤(常用)
interface网卡过滤
service服务名(实际是关联端口)过滤
port端口过滤
icmp-blockICMP报文过滤
masqueradeIP地址伪装
forward-port端口转发过滤
rule自定义规则

firewall-cmd可视化界面工具

安装

#先卸载iptables
[root@server zones]# yum remove iptables-nft-services.noarch

[root@server ~]# systemctl  start firewalld     # 启用

[root@server ~]# systemctl  enable  firewalld   # 开机启动

[root@server ~]# yum  install  firewall-config  -y  # 安装图形化界面

使用

# 虚拟机中执行,不要在xshell执行
[root@server ~]# firewall-config

在这里插入图片描述

firewall-cmd命令行工具

firewalld命令生效模式

  • runtime模式:运行时模式,立即生效,重启失效
  • permanent模式:永久模式,重启生效

管理命令

[root@server ~]# systemctl start firewalld 

[root@server ~]# systemctl disable firewalld

[root@server ~]# systemctl restart firewalld

[root@server ~]# systemctl enable firewalld

[root@server ~]# systemctl status firewalld

[root@server ~]# systemctl stop firewalld

设置命令firewall-cmd参数

参数作用
–get-default-zone查询默认的区域名称
–set-default-zone=<区域名称>设置默认的区域,使其永久生效
–get-zones显示可用的区域
–get-services显示预先定义的服务
–get-active-zones显示当前正在使用的区域与网卡名称
–add-source=将源自此 IP 或子网的流量导向指定的区域
–remove-source=不再将源自此 IP 或子网的流量导向某个指定区域
–add-interface=<网卡名称>将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>将某个网卡与区域进行关联
–list-all显示当前区域的网卡配置参数、资源、端口以及服务等信息
–list-all-zones显示所有区域的网卡配置参数、资源、端口以及服务等信息
–add-service=<服务名>设置默认区域允许该服务的流量
–add-port=<端口号/协议>设置默认区域允许该端口的流量
–remove-service=<服务名>设置默认区域不再允许该服务的流量
–remove-port=<端口号/协议>设置默认区域不再允许该端口的流量

示例1

  • 基本命令
[root@server ~]# firewall-cmd   --version  # 查看版本
1.3.4

[root@server ~]# firewall-cmd   --help  # 查看帮助信息

[root@server ~]# firewall-cmd   --state  # 显示状态
running

[root@server ~]# firewall-cmd   --get-services   # 查看防火墙支持的服务 (不支持nginx服务,需要手动添加)


[root@server ~]# firewall-cmd   --list-all  # 查看当前区域的规则信息
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: cockpit dhcpv6-client ssh
  ports:
  protocols:
  forward: yes
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

示例2

  • 设置区域zone
[root@server zones]# firewall-cmd --get-default-zone
public  # 查看当前生效的域

[root@server zones]# firewall-cmd --get-zones   # 查看当前支持的域
block dmz drop external home internal nm-shared public trusted work

[root@server zones]# firewall-cmd --set-default-zone=trusted   # 设置当前区域为信任区域
success

[root@server zones]# firewall-cmd --get-default-zone
trusted

[root@server zones]# firewall-cmd --set-default-zone=public
success

[root@server zones]# firewall-cmd --get-default-zone
public

示例3

  • 搭建web网站,配置firewall防火墙
[root@server ~]# yum  install  httpd  -y
# 使用xftp将sxhkt网页目录上传到/
[root@server ~]# ls  /sxhkt/
css  dingban.mp4  img  index.html  js  temp
[root@server ~]# vim  /etc/httpd/conf/httpd.conf 
DocumentRoot "/sxhkt"
<Directory "/sxhkt">
[root@server ~]# systemctl start httpd  # 发现网页无法访问,需要配置防火墙策略
[root@server ~]# firewall-cmd   --list-all  # 查看当前区域的放行的服务,发现无httpd
# 向域中添加http放行策略
[root@server ~]# firewall-cmd --permanent --zone=public  --add-service=http
[root@server ~]# firewall-cmd  --reload  # 配合永久生效会立即生效
[root@server ~]# firewall-cmd   --list-all  # 再次查看放行服务
# 测试:浏览器中输入IP地址可以查看到网页
[root@server ~]# firewall-cmd --permanent --zone=public  --remove-service=http   # 移除放行的服务
[root@server ~]# firewall-cmd --reload   # 配合永久生效会立即生效
[root@server ~]# firewall-cmd   --list-all

# 第二种方法:
# 以端口号/协议的方式添加到策略也可以实现放行http服务
[root@server ~]# firewall-cmd --permanent --zone=public  --add-port=80/tcp
[root@server ~]# firewall-cmd  --reload  # 配合永久生效会立即生效
# 测试:浏览器中输入IP地址可以查看到网页

示例3总结

# 总结:
# 放行服务:
firewall-cmd --permanent --zone=public  --add-service=服务名
# 放行服务端口
firewall-cmd --permanent --zone=public  --add-port=端口号/传输协议

示例4

  • 某些服务需要编辑zone文件才能进行添加,如:添加nginx
[root@server ~]# firewall-cmd   --get-services   # 查看支持的服务列表
[root@server ~]# yum  install  nginx  -y
# 此时添加nginx服务会报错
[root@server ~]# firewall-cmd  --add-service=nginx  --permanent 
Error: INVALID_SERVICE: Zone 'public': 'nginx' not among existing services
[root@server ~]# vim  /etc/firewalld/services/nginx.xml  # 编辑服务配置文件
# 添加如下内容:
<service>
        <short>Nginx</short>
        <description>nginx</description>
        <port protocol="tcp"  port="80"/>
        <port protocol="tcp"  port="443"/>
</service>
[root@server ~]# firewall-cmd  --add-service=nginx  --permanent 
success
[root@server ~]# firewall-cmd  --reload 
success
[root@server ~]# firewall-cmd   --get-services   

示例5

  • 禁止192.168.80.130 网段的地址对192.168.80.129进行ping

firewalld 富规则

  • firewalld 富规则:用于更细致、更详细的防火墙策略配置,它可以针对系统服务、端口号、源地址和目标地址等诸多信息进行更有正对性的策略配置
  • firewalld富规则优先级最高

格式

在这里插入图片描述
在这里插入图片描述

# 如:
[root@server ~]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="源IP" service name="http"   reject'
[root@server ~]# firewall-cmd  --permanent --add-rich-rule='rule family="ipv4" source address="192.168.80.130" protocol  value="icmp"  reject'

[root@server ~]# firewall-cmd  --reload 

[root@server ~]# firewall-cmd --list-all

# 测试:定位node1中进行ping  192.168.80.129  发现目标不可达

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/449816.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

作用域链的理解(超级详细)

文章目录 一、作用域全局作用域函数作用域块级作用域 二、词法作用域三、作用域链 一、作用域 作用域&#xff0c;即变量&#xff08;变量作用域又称上下文&#xff09;和函数生效&#xff08;能被访问&#xff09;的区域或集合 换句话说&#xff0c;作用域决定了代码区块中变…

C++初学

1>思维导图 2>试编程 提示并输入一个字符串&#xff0c;统计该字符中大写、小写字母个数、数字个数、空格个数以及其他字符个数要求使用C风格字符串完成 #include <iostream> #include<string.h> using namespace std;int main() {string str;cout <<…

C++14之std::index_sequence和std::make_index_sequence

相关文章系列 std::apply源码分析 C之std::tuple(一) : 使用精讲(全) 目录 1.std::integer_sequence 2.std::index_sequence 3.std::make_index_sequence 4.运用 4.1.打印序列的值 4.2.编译时求值 4.3.std::tuple访问值 5.总结 1.std::integer_sequence 运行时定义一个…

Linux:进程

进程 知识铺垫冯诺依曼体系结构操作系统&#xff08;OS&#xff09; 进程概念进程的查看ps 命令获取进程 pid文件内查看进程终止进程的方式kill命令快捷键 进程的创建 forkfork 返回值问题 进程状态运行状态 &#xff1a;R休眠状态&#xff1a;S &#xff08;可中断&#xff09…

【3GPP】【核心网】【5G】5G核心网组网方案(超详细)

5G NR RRC协议总体介绍 UE入网过程包括几个子过程&#xff1a; UE分为三种状态&#xff1a;空闲态&#xff0c;连接态和非活动态。 开机入网流程 小区搜索与选择 UE开机选网&#xff0c;小区搜索并完成下行同步。 系统消息广播 UE读取广播信息&#x…

VMD + CEEMDAN 二次分解,CNN-LSTM预测模型

目录 往期精彩内容&#xff1a; 前言 1 二次分解与数据集制作 1.1 导入数据 1.2 VMD分解 1.3 样本熵 1.4 CEEMDAN分解 1.5 数据集制作 2 基于Pytorch的 CNN-LSTM 预测模型 2.1 定义CNN-LSTM预测模型 2.2 设置参数&#xff0c;训练模型 3 模型评估与可视化 3.1 结果…

学习JavaEE的日子 Day26 手撕所有集合类底层源码

Day26 1.手撕ArrayList底层源码 思路&#xff1a; 1.研究继承关系 2.研究属性 3.理解创建集合的过程 – 构造方法的底层原理 4.研究添加元素的过程 public class Test01 { public static void main(String[] args) {//ArrayList<String> list new ArrayList<>();…

【Java从发入门到精通】Java StringBuffer 和 StringBuilder 类

Java StringBuffer 和 StringBuilder 类 当对字符串进行修改的时候&#xff0c;需要使用 StringBuffer 和 StringBuilder 类。 和 String 类不同的是&#xff0c;StringBuffer 和 StringBuilder 类的对象能够被多次的修改&#xff0c;并且不产生新的未使用对象。 在使用 Stri…

在线安装MySQL5.7

在线安装MySQL 安装MySQL5.7 yum -y install mysql57-community-release-el7-10.noarch.rpm 若无可用安装包&#xff0c;执行下面这句 wget http://dev.mysql.com/get/mysql57-community-release-el7-7.noarch.rpm 本地安装 yum localinstall -y mysql57-community-releas…

Head First Design Patterns - 命令模式

什么是命令模式 命令模式&#xff0c;把请求封装成对象&#xff0c;以便使用不同的请求、队列或者日志请求来参数化其他对象&#xff0c;并支持可撤回的操作。 为什么会有命令模式 假设要设置一个遥控器&#xff0c;遥控器需要控制多个设备&#xff0c;每个设备除了开关&#…

MS30517SA单通道、高速、低侧栅极驱动器

产品简述 MS30517SA 是单通道、高速、低侧栅极驱 动器器件&#xff0c;能够有效地驱动 MOSFET 和 IGBT 开 关 。 芯片的 设 计 能 够 大 大 减 少 击 穿 电 流 &#xff0c; MS30517SA 能够提供高峰值拉、灌电流脉冲&#xff0c; 同时提供了轨到轨驱动能力以及低传播…

C break 语句

C 语言中 break 语句有以下两种用法&#xff1a; 当 break 语句出现在一个循环内时&#xff0c;循环会立即终止&#xff0c;且程序流将继续执行紧接着循环的下一条语句。它可用于终止 switch 语句中的一个 case。 如果您使用的是嵌套循环&#xff08;即一个循环内嵌套另一个循…

自动驾驶---Motion Planning之构建SLT Driving Corridor

1 背景 在上篇博客《自动驾驶---Motion Planning之Speed Boundary》中,主要介绍了Apollo中Speed Boundary的一些内容,可以构造ST图得到边界信息,最后结合粗糙的速度曲线和路径曲线,即可使用优化的方法求解得到最终的轨迹信息(s,s,s,l,l,l)。 本篇博客笔者主要介绍近…

Matlab 字符串相关命令

参考 字符串命令汇总1

代码随想录算法训练营第四十一天|卡码网46. 携带研究材料(第六期模拟笔试)、416. 分割等和子集

卡码网46. 携带研究材料&#xff08;第六期模拟笔试&#xff09; 刷题https://kamacoder.com/problempage.php?pid1046 题解&#xff1a; 一维背包 文章讲解https://programmercarl.com/%E8%83%8C%E5%8C%85%E7%90%86%E8%AE%BA%E5%9F%BA%E7%A1%8001%E8%83%8C%E5%8C%85-2.html…

js导出的excel文件无法打开/打开乱码,excel无法打开xxx.xlsx因为文件格式或文件扩展无效

excel无法打开xxx.xlsx因为文件格式或文件扩展无效 使用 a 标签导出这里就不细说了&#xff0c;直接说上述问题解决方案 在调用导出接口的时候加上两个参数 responseType: “blob” responseEncoding: “utf8” export function test(data) {return util({url: /test,method: …

制冷系统管道焊接气焊安全操作

气焊操作安全教育&#xff1a; 1、检查气焊用具完好牢固无损&#xff0c;不得贴粘有&#xff08;机油&#xff09;&#xff1b; 2、气瓶余压&#xff08;2KG&#xff09;停止使用&#xff1b;清除动火 10 米范围内易燃易爆物料&#xff1b; 3、库房内动火要 做好通风排气&…

数据结构——二叉树的遍历【前序、中序、后序】

&#x1f49e;&#x1f49e; 前言 hello hello~ &#xff0c;这里是大耳朵土土垚~&#x1f496;&#x1f496; &#xff0c;欢迎大家点赞&#x1f973;&#x1f973;关注&#x1f4a5;&#x1f4a5;收藏&#x1f339;&#x1f339;&#x1f339; &#x1f4a5;个人主页&#x…

【精选】30+Redis面试题整理(2024)附答案

目录 前言Redis基础项目有用到redis吗&#xff1f;你们项目为什么用redis?redis为什么这么快&#xff1f;了解Redis的线程模型吗&#xff1f;Redis优缺点?redis如何实现持久化&#xff1f;RDB持久化过程&#xff1f;AOF持久化过程&#xff1f;AOF持久化会出现阻塞吗&#xff…

svn安装与汉化(svn1.14.5版本)带汉化包

安装 下载 TortoiseSVN 去官网下载 TortoiseSVN&#xff0c;找到页面底部 TortoiseSVN 下载&#xff0c;选择适用自己电脑位数的 TortoiseSVN 客户端下载&#xff1a; 或者 链接&#xff1a;https://pan.baidu.com/s/1YSw9LalULsQecOQgFrXGSQ?pwd4ds7 提取码&#xff1a;4ds…