【Linux】—管理、设置防火墙规则(firewalld详解)
- 一、firewalld
- 1.1 服务的启动、停止
- 1.2 查看和设置默认区域
- 1.3 使用firewalld进行规则配置
- 1.4 重新加载防火墙配置
- 1.5 查询已开放的端口、已允许的服务
💖The Begin💖点点关注,收藏不迷路💖
|
在Linux系统中,你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具,而iptables是一个更底层的工具,可以直接配置Linux内核的防火墙规则。
在RHEL 6.9及更早版本中,使用的是iptables作为防火墙管理工具,而在RHEL 7及更新版本中则使用Firewalld。
一、firewalld
1、firewalld是Red Hat系列Linux发行版(如Fedora、CentOS等)引入的一种动态防火墙管理工具,它使用iptables作为底层实现。
2、firewalld提供了一个基于区域(zone)和服务(service)的简化配置界面,使得管理防火墙规则更加容易。
3、它支持动态更新防火墙规则,可以在运行时添加、删除、修改规则,而不需要重新加载整个防火墙配置。
4、firewalld的配置文件位于 /etc/firewalld/ 目录下,主要是一些XML格式的文件,如 zones、services、richrules 等。
1.1 服务的启动、停止
1、启用/禁用防火墙:
systemctl start firewalld
systemctl stop firewalld
2、设置防火墙开机启动:
systemctl enable firewalld
3、禁用firewall防火墙(开机不启动)
systemctl disabled firewalld
4、防火墙状态查看
systemctl status firewalld
或者
firewall-cmd --state
5、版本查看
firewall-cmd --version
1.2 查看和设置默认区域
1、查看默认区域
firewall-cmd --get-default-zone
2、查看所有可用的区域
firewall-cmd --get-zones
3、查看当前活动区域
firewall-cmd --get-active-zones
4、查看特定区域支持的所有特性
firewall-cmd --zone=zone_name --list-all ##其中,zone_name是你要查询的区域的名称。
例如,如果你想查看"public"区域支持的所有特性,可以运行以下命令:
firewall-cmd --zone=public --list-all
这将列出"public"区域支持的所有特性,包括开放的端口、允许的服务等信息。
5、查看特定区域支持的所有服务
firewall-cmd --zone=zone_name --list-services
其中,zone_name是你要查询的区域的名称。
例如,如果你想查看"public"区域支持的所有服务,可以运行以下命令:
firewall-cmd --zone=public --list-services
这将列出"public"区域支持的所有服务。
6、设置默认区域
firewall-cmd --set-default-zone=your_zone
其中,your_zone 是你想要设置的默认区域的名称,比如 public、internal、dmz 等。
1.3 使用firewalld进行规则配置
- 1、添加规则:
1、开放端口:
firewall-cmd --zone=public --add-port=80/tcp --permanent
–zone=public:指定了要修改的防火墙区域,这里是"public"区域,你可以根据需要修改为其他区域名称。
–add-port=80/tcp:表示要开放的端口为80,使用的协议为TCP。你可以根据实际情况修改端口号和协议类型。如果你想同时开放UDP端口,可以在端口号后面加上"/udp"。
–permanent:表示将修改永久保存到防火墙配置中,使得重启后仍然生效。
这个命令的作用是将TCP端口80开放在指定的防火墙区域中,允许外部主机访问该端口。
2、允许服务:
firewall-cmd --zone=public --add-service=http --permanent
–zone=public:同样是指定要修改的防火墙区域,这里也是"public"区域。
–add-service=http:表示要允许的服务为HTTP,Firewalld提供了一系列预定义的服务名称,这里使用了"http"服务名称,代表HTTP服务。你也可以使用其他预定义服务名称,如"https"、"ssh"等。
–permanent:同样表示将修改永久保存到防火墙配置中。
这个命令的作用是允许HTTP服务在指定的防火墙区域中,允许外部主机访问HTTP服务。
- 2、删除规则:
要删除Firewalld中的规则,可以使用以下命令:
1、删除端口规则:
firewall-cmd --zone=zone_name --remove-port=port/tcp --permanent
其中:
zone_name 是要操作的防火墙区域的名称。
port 是要删除的端口号。
tcp 是要删除的协议类型,如果端口是UDP的,就使用 udp。
例如,要删除在"public"区域中永久开放的TCP端口80的规则,可以运行:
firewall-cmd --zone=public --remove-port=80/tcp --permanent
2、删除服务规则:
firewall-cmd --zone=zone_name --remove-service=service_name --permanent
其中:
zone_name 是要操作的防火墙区域的名称。
service_name 是要删除的服务名称。
例如,要删除在"public"区域中永久允许的HTTP服务规则,可以运行:
firewall-cmd --zone=public --remove-service=http --permanent
1.4 重新加载防火墙配置
无论是添加还是删除规则后,都需要重新加载防火墙配置才能使更改生效:
firewall-cmd --reload
1.5 查询已开放的端口、已允许的服务
1、查询已开放的端口:
firewall-cmd --zone=zone_name --list-ports
##其中: zone_name 是要查询的防火墙区域的名称。
例如,要查询"public"区域中已经开放的端口,可以运行:
firewall-cmd --zone=public --list-ports
这将列出该区域中已经开放的所有端口。
2、查询防火墙是否已打开特定端口:
firewall-cmd --query-port=端口/tcp
例如,要查询端口号 80 是否已打开,可以执行以下命令:
firewall-cmd --query-port=80/tcp
这将返回 yes 或 no,指示端口 80 是否已在防火墙中打开。
3、查询已允许的服务:
firewall-cmd --zone=zone_name --list-services
##其中:zone_name 是要查询的防火墙区域的名称。
例如,要查询"public"区域中已经允许的服务,可以运行:
firewall-cmd --zone=public --list-services
这将列出该区域中已经允许的所有服务。
💖The End💖点点关注,收藏不迷路💖
|