firewalld 防火墙

firewalld概述

  • Linux系统防火墙
  • 从CentOS7开始的默认防火墙
  • 工作在网络层,属于包过滤防火墙

Firewalld和iptables的关系

netfilter       

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

firewalld

  •  Centos默认的管理防火墙规则的工具
  • 称为防火墙的“用户态”

[root@l1 ~]# cd /etc/firewalld/
[root@l1 firewalld]# 
[root@l1 firewalld]# pwd
/etc/firewalld
[root@l1 firewalld]# ls
firewalld.conf  helpers  icmptypes  ipsets  lockdown-whitelist.xml  services  zones
[root@l1 firewalld]# 

[root@l1 firewalld]# cd zones/
[root@l1 zones]# ls        //包含当前区域所使用的配置文件
public.xml  public.xml.old
[root@l1 zones]#
[root@l1 zones]# vim public.xml
[root@l1 zones]# 
 

 

Firewalld和iptables的区别

firewalldiptables
是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似主要是基于接口,来设置规则,从而判断网络的安全性
配置文件

/etc/firewalld/      

优先加载,保存用户自定义的配置(优先加载)

/usr/lib/firewalld/  

默认的初始配置(默认的配置文件)

/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不中断现有连接立即生效,可能中断现有连接
防火墙类型

动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略)

静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略)

firewalld 区域的概念:

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld 九大预定义区域:

public初始的默认区域
dmz非军事区域,可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口
work允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
home允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal默认值时与home区域相同
external许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
trusted接受所有传入的网络连接
block所有传入的网络连接都被拒绝,只允许传出的网络连接
drop丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接

firewalld 数据包处理原则

要激活某个区域,需要先将区域源地址网卡接口 关联绑定

(一个区域可以关联绑定多个源地址或网卡接口,一个源地址或网卡接口只能关联绑定一个区域)

firewalld检查数据包的源地址的规则:

先检查传入数据包的源地址

  1. 若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数据包
  2. 若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特定区域的规则过滤处理数据包
  3. 若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处理数据包

Firewalld防火墙的配置方法


运行时配置

实时生效,并持续至Firewalld重新启动或重新加载配置

不中断现有连接

不能修改服务配置

永久配置

不立即生效,除非Firewalld重新启动或重新加载配置

中断现有连接

可以修改服务配置

firewalld防火墙的配置方法:

  1. 使用firewall-cmd 命令行工具。
  2. 使用firewall-config 图形工具。
  3. 编写/etc/firewalld/中的配置文件。

systemctl start firewalld.service //启动防火墙

firewalld 命令行操作管理

firewall-cmd  --get-default-zone                       查看当前默认区域
                     --get-active-zones                       查看当前已激活的区域
                     --get-zones                                  查看所有可用的区域
                     --list-all-zones                              查看所有区域的规则
                     --list-all --zone=区域名                 查看指定区域的规则
                     --list-services --zone=区域名        查看指定区域允许访问的服务列表
                     --list-ports --zone=区域名              查看指定区域允许访问的端口列表
                     --get-zone-of-interface=网卡名     查看与网卡绑定的区域
                     --get-icmptypes                              查看所有icmp类型
                                          

[root@l1 zones]# firewall-cmd --get-default-zone   //查看当前默认区域
public
[root@l1 zones]# firewall-cmd --get-active-zones   // 查看当前已激活的区域
public
  interfaces: ens33
[root@l1 zones]# firewall-cmd --get-zones        //查看所有可用的区域
block dmz drop external home internal public trusted work
[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --list-all-zones  //查看所有区域的规则
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
 
[root@l1 zones]# firewall-cmd --list-all --zone=home   //查看指定区域的规则
home
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-services --zone=work  //查看指定区域允许访问的服务列表
dhcpv6-client ssh
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-ports --zone=public  /查看指定区域允许访问的端口列表

[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --get-zone-of-interface=ens33  //查看与网卡绑定的区域
public
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --get-icmptypes  //查看所有icmp类型
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@l1 zones]# 

firewall-cmd --add-interface=网卡名 --zone=区域名            给指定区域添加绑定的网卡
                     --add-source=源地址 --zone=区域名               给指定区域添加源地址
                     --add-service=服务名 --zone=区域名               给指定区域添加允许访问的服务
                     --add-service={服务名1,服务名2,...} --zone=区域名      

                                                                                     给指定区域添加允许访问的服务列表
                     --add-port=端口/协议 --zone=区域名              给指定区域添加允许访问的端口
                     --add-port=端口1-端口2/协议 --zone=区域名     

                                                                          给指定区域添加允许访问的连续的端口列表
             --add-port={端口1,端口2,...}/协议 --zone=区域名         给指定区域添加允许访问的不连续的端口
             --add-icmp-block=icmp类型 --zone=区域名                 给指定区域添加拒绝访问的icmp类型

firewall-cmd --remove-service=服务名 --zone=区域名  
                     --remove-port=端口/协议 --zone=区域名
                     --remove-icmp-block=icmp类型 --zone=区域名
                     --remove-interface=网卡名 --zone=区域名       从指定区域里删除绑定的网卡
                     --remove-source=源地址 --zone=区域名          从指定区域里删除绑定的源地址

firewall-cmd --set-default-zone                            修改当前默认区域
                     --change-interface=网卡名 --zone=区域名       修改/添加网卡 绑定给指定区域
                     --change-source=源地址 --zone=区域名         修改/添加源地址 绑定给指定区域


运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)

firewall-cmd ....
firewall-cmd --runtime-to-permanent       将之前的运行时配置都转换成永久配置

永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)

firewall-cmd ....  --permanent
firewall-cmd --reload   或   systemctl restart firewalld

区域管理

firewall-cmd --get-default-zone      //显示当前系统中的默认区域

firewall-cmd --list-all                        // 显示默认区域的所有规则

firewall-cmd --get-active-zones      //显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --set-default-zone=home   //设置默认区域
firewall-cmd --get-default-zone

服务管理

firewall-cmd --list-service                              //查看默认区域内允许访问的所有服务

firewall-cmd --add-service=http --zone=public        //添加httpd 服务到public 区域

firewall-cmd --list-all --zone=public                       // 查看public 区域已配置规则

firewall-cmd --remove-service=http --zone=public         //删除public 区域的httpd 服务

  同时添加httpd、https 服务到默认区域,设置成永久生效 

firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http,https,ftp} --zone=internal
firewall-cmd --reload    
firewall-cmd --list-all        
#添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
 
firewall-cmd --runtime-to-permanent:        #将当前的运行时配置写入规则配置文件中,使之成为永久性配置

设置地址转换

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A POSTROUTING -s 源地址 -j SNAT --to-source 源地址转换地址                       //设置 SNAT

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A PREROUTING -d 目的地址 -p tcp --dport 目的端口 -j DNAT --to-destination 目的地址转换地址              //设置 DNAT

富规则
https://blog.51cto.com/u_3823536/2552274

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/647711.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

高中数学:平面向量-题型总结及解题思路梳理

一、知识点及解题思路梳理 高中,2/3的向量题目是坐标向量题,1/3是几何向量题。但是,这1/3的几何向量题可以转换成坐标向量题。 二、练习 例题1 几何型向量题 例题2

QML的Image 路径问题(source)

四种路径格式 在 QML 中,当你使用 Image 元素的 source 属性来指定一个图片的路径时,有几种不同的方式可以指定这个路径,每种方式都有其特定的用途和上下文。 相对路径: QML 文件和一个名为 close.png 的图片在同一目录下&#x…

比较两列数据

点其中一个数据 删掉S,回车 大的标红

基于SpringBoot+Vue+Mysql的实验室低值易耗品管理系统

博主介绍: 大家好,本人精通Java、Python、C#、C、C编程语言,同时也熟练掌握微信小程序、Php和Android等技术,能够为大家提供全方位的技术支持和交流。 我有丰富的成品Java、Python、C#毕设项目经验,能够为学生提供各类…

基于springboot的毕业设计系统的开发源码

风定落花生,歌声逐流水,大家好我是风歌,混迹在java圈的辛苦码农。今天要和大家聊的是一款基于springboot的毕业设计系统的开发。项目源码以及部署相关请联系风歌,文末附上联系信息 。 项目简介: 毕业设计系统能够实现…

Git Core Lecture

1、Git 简介 官方介绍:Git is a fast distributed revision control system (Git 是一个快速的分布式版本控制系统) 2、Git Core Command 2.1 git init git 工程初始化,会在工作区 (working directory) 根目录中创建.git 目录 # 创建目录 $ mkdir git-i…

智能合约语言(eDSL)—— 并行化方案 2

这个并行算法最初其实是在aptos上实现的,aptos上使用的是move虚拟机,后来我把它移植到我们链上了,但是wasm虚拟机。还是费了不少事情。 目前evm并行也比较火,像monad,sei等。经过调研发现,其实evm的并行&am…

Python 获取当前IP地址(爬虫代理)

Python 获取当前IP地址(爬虫代理) 在Python中,获取当前的公网IP地址通常涉及到发送一个请求到外部服务,因为本地IP地址通常只在你的私有网络内部是可见的,而公网IP地址是由你的ISP(互联网服务提供商&#x…

如何查看哪些组策略应用于你的电脑和用户帐户?这里有详细步骤

如果你希望在电脑上查看所有有效的组策略设置,以下是操作方法。 什么是Windows中的组策略 在Windows世界中,组策略为网络管理员提供了一种将特定设置分配给用户组或计算机组的方法。然后,无论何时组中的用户登录到联网的PC,或无论何时启动组中的PC,都会应用这些设置。 …

牛客NC222 插入区间【中等 数组,区间合并问题 Java/Go/PHP/C++】lintcode30 插入区间

题目 题目链接: https://www.nowcoder.com/practice/1d784b5472ab4dde88ea2331d16ee909 https://www.lintcode.com/problem/30/solution/56586 思路 Java代码 import java.util.*;/** public class Interval {* int start;* int end;* public Interval(int …

python web自动化(分布式测试Grid)

Grid介绍 Selenium Grid 是 Selenium 提供的⼀个⼯具,⽤于⽀持在多台计算机上并⾏运⾏测试。 它允许将测试分发到不同的机器和浏览器组合上,同时收集结果。 1.并⾏执⾏测试⽤例:在不同的机器上并⾏执⾏测试⽤例,从⽽加速整个测试过…

详细分析Element Plus中的ElMessageBox弹窗用法(附Demo及模版)

目录 前言1. 基本知识2. Demo3. 实战4. 模版 前言 由于需要在登录时,附上一些用户说明书的弹窗 对于ElMessageBox的基本知识详细了解 可通过官网了解基本的语法知识ElMessageBox官网基本知识 1. 基本知识 Element Plus 是一个基于 Vue 3 的组件库,其中…

初识C语言——第二十四天

函数的基本使用和递归 1.函数是什么 2.库函数 3.自定义函数 4.函数参数 5.函数调用 6.函数的嵌套调用和链式访问 7.函数的声明和定义 函数是什么 C语言中函数的分类 1.库函数 2.自定义函数 库函数: 简单的总结,C语言常用的库函数都有: #includ…

QT之常用控件

一个图形化界面当然需要有各种各样的控件,QT也不例外,在QT designer中就有提供各种各样的控件,用以开发图形化界面。 而想使用好一个QT控件,就需要了解这些控件。 QWidget 在QT中,所有控件都继承自 QWidget 类&…

Docker学习(4):部署web项目

一、部署vue项目 在home目录下创建项目目录 将打包好的vue项目放入该目录下,dist是打包好的vue项目 在项目目录下,编辑default.conf 内容如下: server {listen 80;server_name localhost; # 修改为docker服务宿主机的iplocation / {r…

24法考证件照要求|不合格原因汇总!

6月法考报名,大家一定要提前熟悉下电子证件照片要求‼️ ⚠️证件照注意事项 ▪️不得上传全身照、风景照、生活照、背带(吊带)衫照、艺术照、侧面照、不规则手机照等。 ▪️本人近三个月内彩色(红、蓝、白底色均可)正面免冠电子证件照片,照片必须清晰完…

人工智能为犯罪地下世界带来了巨大的生产力提升

每周跟踪AI热点新闻动向和震撼发展 想要探索生成式人工智能的前沿进展吗?订阅我们的简报,深入解析最新的技术突破、实际应用案例和未来的趋势。与全球数同行一同,从行业内部的深度分析和实用指南中受益。不要错过这个机会,成为AI领…

MySQL--执行计划

一、执行计划 1.介绍 执行计划是sql在执行时,优化器优化后,选择的cost最低的方案 通过desc、explain可以查看sql的执行计划 2.如何查看执行计划 table语句操作的表,在多表时才有意义type查找类型possible_keys可能会用到的索引key最终选择的…

python ofd转pdf及图片

本文部分内容参考,如有侵权请联系删除:使用 easyofd 解析ofd 文件_python模块easyofd如何使用-CSDN博客 背景需求:需要将邮箱中得ofd格式发票提取出来转换成pdf或者图片。 在网上搜了发现使用pyofd包,安装之后使用各种问题&…

VXLAN小结

1.VXLAN:(组件虚拟网络的架构核心)虚拟扩展本地局域网,通过隧道的形式,将物理上有隔离的资源,在逻辑上连通起来,使其二层互通。 a.物理网络:指的是构成 VXLAN 连接的基础 IP 网络 b.逻辑网络:指的是通过 VXLAN 构建的虚拟网络 C.N…