firewalld 防火墙

news2024/11/18 15:36:57

firewalld概述

  • Linux系统防火墙
  • 从CentOS7开始的默认防火墙
  • 工作在网络层,属于包过滤防火墙

Firewalld和iptables的关系

netfilter       

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

firewalld

  •  Centos默认的管理防火墙规则的工具
  • 称为防火墙的“用户态”

[root@l1 ~]# cd /etc/firewalld/
[root@l1 firewalld]# 
[root@l1 firewalld]# pwd
/etc/firewalld
[root@l1 firewalld]# ls
firewalld.conf  helpers  icmptypes  ipsets  lockdown-whitelist.xml  services  zones
[root@l1 firewalld]# 

[root@l1 firewalld]# cd zones/
[root@l1 zones]# ls        //包含当前区域所使用的配置文件
public.xml  public.xml.old
[root@l1 zones]#
[root@l1 zones]# vim public.xml
[root@l1 zones]# 
 

 

Firewalld和iptables的区别

firewalldiptables
是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似主要是基于接口,来设置规则,从而判断网络的安全性
配置文件

/etc/firewalld/      

优先加载,保存用户自定义的配置(优先加载)

/usr/lib/firewalld/  

默认的初始配置(默认的配置文件)

/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不中断现有连接立即生效,可能中断现有连接
防火墙类型

动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略)

静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略)

firewalld 区域的概念:

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld 九大预定义区域:

public初始的默认区域
dmz非军事区域,可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口
work允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
home允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal默认值时与home区域相同
external许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
trusted接受所有传入的网络连接
block所有传入的网络连接都被拒绝,只允许传出的网络连接
drop丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接

firewalld 数据包处理原则

要激活某个区域,需要先将区域源地址网卡接口 关联绑定

(一个区域可以关联绑定多个源地址或网卡接口,一个源地址或网卡接口只能关联绑定一个区域)

firewalld检查数据包的源地址的规则:

先检查传入数据包的源地址

  1. 若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数据包
  2. 若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特定区域的规则过滤处理数据包
  3. 若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处理数据包

Firewalld防火墙的配置方法


运行时配置

实时生效,并持续至Firewalld重新启动或重新加载配置

不中断现有连接

不能修改服务配置

永久配置

不立即生效,除非Firewalld重新启动或重新加载配置

中断现有连接

可以修改服务配置

firewalld防火墙的配置方法:

  1. 使用firewall-cmd 命令行工具。
  2. 使用firewall-config 图形工具。
  3. 编写/etc/firewalld/中的配置文件。

systemctl start firewalld.service //启动防火墙

firewalld 命令行操作管理

firewall-cmd  --get-default-zone                       查看当前默认区域
                     --get-active-zones                       查看当前已激活的区域
                     --get-zones                                  查看所有可用的区域
                     --list-all-zones                              查看所有区域的规则
                     --list-all --zone=区域名                 查看指定区域的规则
                     --list-services --zone=区域名        查看指定区域允许访问的服务列表
                     --list-ports --zone=区域名              查看指定区域允许访问的端口列表
                     --get-zone-of-interface=网卡名     查看与网卡绑定的区域
                     --get-icmptypes                              查看所有icmp类型
                                          

[root@l1 zones]# firewall-cmd --get-default-zone   //查看当前默认区域
public
[root@l1 zones]# firewall-cmd --get-active-zones   // 查看当前已激活的区域
public
  interfaces: ens33
[root@l1 zones]# firewall-cmd --get-zones        //查看所有可用的区域
block dmz drop external home internal public trusted work
[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --list-all-zones  //查看所有区域的规则
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
 
[root@l1 zones]# firewall-cmd --list-all --zone=home   //查看指定区域的规则
home
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-services --zone=work  //查看指定区域允许访问的服务列表
dhcpv6-client ssh
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-ports --zone=public  /查看指定区域允许访问的端口列表

[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --get-zone-of-interface=ens33  //查看与网卡绑定的区域
public
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --get-icmptypes  //查看所有icmp类型
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@l1 zones]# 

firewall-cmd --add-interface=网卡名 --zone=区域名            给指定区域添加绑定的网卡
                     --add-source=源地址 --zone=区域名               给指定区域添加源地址
                     --add-service=服务名 --zone=区域名               给指定区域添加允许访问的服务
                     --add-service={服务名1,服务名2,...} --zone=区域名      

                                                                                     给指定区域添加允许访问的服务列表
                     --add-port=端口/协议 --zone=区域名              给指定区域添加允许访问的端口
                     --add-port=端口1-端口2/协议 --zone=区域名     

                                                                          给指定区域添加允许访问的连续的端口列表
             --add-port={端口1,端口2,...}/协议 --zone=区域名         给指定区域添加允许访问的不连续的端口
             --add-icmp-block=icmp类型 --zone=区域名                 给指定区域添加拒绝访问的icmp类型

firewall-cmd --remove-service=服务名 --zone=区域名  
                     --remove-port=端口/协议 --zone=区域名
                     --remove-icmp-block=icmp类型 --zone=区域名
                     --remove-interface=网卡名 --zone=区域名       从指定区域里删除绑定的网卡
                     --remove-source=源地址 --zone=区域名          从指定区域里删除绑定的源地址

firewall-cmd --set-default-zone                            修改当前默认区域
                     --change-interface=网卡名 --zone=区域名       修改/添加网卡 绑定给指定区域
                     --change-source=源地址 --zone=区域名         修改/添加源地址 绑定给指定区域


运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)

firewall-cmd ....
firewall-cmd --runtime-to-permanent       将之前的运行时配置都转换成永久配置

永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)

firewall-cmd ....  --permanent
firewall-cmd --reload   或   systemctl restart firewalld

区域管理

firewall-cmd --get-default-zone      //显示当前系统中的默认区域

firewall-cmd --list-all                        // 显示默认区域的所有规则

firewall-cmd --get-active-zones      //显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --set-default-zone=home   //设置默认区域
firewall-cmd --get-default-zone

服务管理

firewall-cmd --list-service                              //查看默认区域内允许访问的所有服务

firewall-cmd --add-service=http --zone=public        //添加httpd 服务到public 区域

firewall-cmd --list-all --zone=public                       // 查看public 区域已配置规则

firewall-cmd --remove-service=http --zone=public         //删除public 区域的httpd 服务

  同时添加httpd、https 服务到默认区域,设置成永久生效 

firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http,https,ftp} --zone=internal
firewall-cmd --reload    
firewall-cmd --list-all        
#添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
 
firewall-cmd --runtime-to-permanent:        #将当前的运行时配置写入规则配置文件中,使之成为永久性配置

设置地址转换

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A POSTROUTING -s 源地址 -j SNAT --to-source 源地址转换地址                       //设置 SNAT

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A PREROUTING -d 目的地址 -p tcp --dport 目的端口 -j DNAT --to-destination 目的地址转换地址              //设置 DNAT

富规则
https://blog.51cto.com/u_3823536/2552274

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1699850.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【C++】右值引用 移动语义

目录 前言一、右值引用与移动语义1.1 左值引用和右值引用1.2 右值引用使用场景和意义1.3 右值引用引用左值及其一些更深入的使用场景分析1.3.1 完美转发 二、新的类功能三、可变参数模板 前言 本篇文章我们继续来聊聊C11新增的一些语法——右值引用,我们在之前就已…

sqli-lib4-6关教程

SERIES-4 输入?id1 输入?id2-1,说明该数据类型为字符型 输入?id1’ 输入?id1",说明闭合符号为" 输入?id1")– 输入?id1") order by 3– 输入?id1") order by 4– 数据共三列,输入?id-1") union selec…

InfLLM的笔记

文件中提供的代码是一个Python函数chat_loop,它是聊天系统的核心循环。以下是对这段代码逻辑的梳理: 函数定义与参数 chat_loop函数接收多个参数,用于配置聊天模型和聊天环境。参数包括模型路径、设备类型、GPU数量、最大GPU内存、数据类型…

K8s的kubectl的基本操作

K8s的kubectl的基本操作 K8s基本信息的查看 查看版本信息 kubectl versio查看资源对象简写 kubectl api-resources查看集群信息 kubectl cluster-info配置kubectl自动补全 source <(kubectl completion bash)查看master节点状态 kubectl get cs查看命名空间 kubectl…

Elastic Cloud 将 Elasticsearch 向量数据库优化配置文件添加到 Microsoft Azure

作者&#xff1a;来自 Elastic Serena Chou, Jeff Vestal, Yuvraj Gupta 今天&#xff0c;我们很高兴地宣布&#xff0c;我们的 Elastic Cloud Vector Search 优化硬件配置文件现已可供 Elastic Cloud on Microsoft Azure 用户使用。 此硬件配置文件针对使用 Elasticsearch 作…

<el-table>根据后端返回数据决定合并单元格的数量(521特别版)

文章目录 一、需求说明二、用到的方法三、代码&#xff08;只展示了本文章重点代码&#xff09; 一、需求说明 &#x1f49d;仅合并第一列&#xff0c;其余为固定列 二、用到的方法 &#x1f48c;合并单元格可以采用三种方法 &#x1f495;1. 手写表格 简单 但没有饿了么写…

力扣HOT100 - 136. 只出现一次的数字

解题思路&#xff1a; class Solution {public int singleNumber(int[] nums) {int single 0;for (int num : nums) {single ^ num;}return single;} }

生命在于学习——Python人工智能原理(1.1)

说明&#xff1a;今年学一部分人工智能方向的知识&#xff0c;网安也会穿插&#xff0c;看后续如何将二者结合起来。 一、人工智能的基本知识 1、人工智能的起源 1956年美国达特茅斯学院召开了一个夏季论班&#xff0c;首次提出人工智能的概念。 1950年图灵提出了图灵测试&a…

Jenkins + github 自动化部署配置

1 Jenkins安装 AWS EC2安装Jenkins&#xff1a;AWS EC2 JDK11 Jenkins-CSDN博客 AWS EC2上Docker安装Jenkins&#xff1a;https://blog.csdn.net/hhujjj2005/article/details/139078402 2 登录jenkins http://192.168.1.128:8080/ $ docker exec -it d1851d9e3386 /bin/ba…

ChatGPT-4o 实战 如何快速分析混淆加密和webpack打包的源码

ChatGPT-4o 几个特点 一个对话拥有长时间的记忆&#xff0c;可以连续上传文件&#xff0c;让其分析&#xff0c;最大一个代码文件只能3M&#xff0c;超出3M的文件&#xff0c;可以通过split-file可以进行拆分 其次ChatGPT-4o可以生成文件的下载链接&#xff0c;这有利于大文件的…

Nginx 的原理解析 worker 配置及相关问题 -细节狂魔

文章目录 前言Nginx 的最基本的执行过程&#xff08;master & worker&#xff09;worker 是如何进行工作的 一个 master 和 多个 woker 有哪些好处1、可以使用 nginx 热部署2、节省资源 && worker 进程之间互不影响 && nginx 服务不会中断 woker 设置多少才…

如何查看哪些组策略应用于你的电脑和用户帐户?这里有详细步骤

如果你希望在电脑上查看所有有效的组策略设置,以下是操作方法。 什么是Windows中的组策略 在Windows世界中,组策略为网络管理员提供了一种将特定设置分配给用户组或计算机组的方法。然后,无论何时组中的用户登录到联网的PC,或无论何时启动组中的PC,都会应用这些设置。 …

Linux系统之GoAccess实时Web日志分析工具的基本使用

Linux系统之GoAccess实时Web日志分析工具的基本使用 一、GoAccess介绍1.1 GoAccess简介1.2 GoAccess功能1.3 Web日志格式 二、本地环境介绍2.1 本地环境规划2.2 本次实践介绍 三、检查本地环境3.1 检查本地操作系统版本3.2 检查系统内核版本3.3 检查系统镜像源3.4 更新软件列表…

【课程作业】嵌入式系统与设计上机作业(作业三)

个人名片&#xff1a; &#x1f393;作者简介&#xff1a;嵌入式领域优质创作者&#x1f310;个人主页&#xff1a;妄北y &#x1f4de;个人QQ&#xff1a;2061314755 &#x1f48c;个人邮箱&#xff1a;[mailto:2061314755qq.com] &#x1f4f1;个人微信&#xff1a;Vir2025WB…

基于机器学习判断面部微表情发现哪些人更容易诊有帕金森病

1. 概述 帕金森病&#xff08;Parkinson’s disease&#xff0c;PD&#xff09;是一种慢性、进展性的神经退行性疾病&#xff0c;主要影响运动系统。该病症以大脑中黑质致密部多巴胺能神经元的逐渐丧失为特征&#xff0c;导致多巴胺&#xff08;一种重要的神经递质&#xff09…

XX数字中台技术栈及能力

XX数字中台技术栈及能力 1 概述 XX数字中台面向数据开发者、数据管理者和数据应用者&#xff0c;提供数据汇聚、融合、治理、开发、挖掘、共享、可视化、智能化等能力&#xff0c;实现数据端到端的全生命周期管理&#xff0c;以共筑数字基础底座&#xff0c;共享数据服务能力…

插入排序(概述)

描述 插入排序为将一个数插入到以排序好的数组中 目录 描述 原理 特性 代码 原理 我们以升序为例 先将新数插入到数组的最后一位&#xff0c;记录下新数的值 从新数的位置开始往前遍历&#xff0c;如果前一位大于新数的值 则将当前位置修改为前一位的值 如果前一位小…

前端:音频可视化(H5+js版本)

一、效果展示 HTML5JS实现一个简单的音频可视化 二、代码 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><title>音频可视化</title><style></style></head><body><divs…

python mp3转mp4工具

成品UI 安装moviepy库 pip install moviepy 转换demo from moviepy.editor import *# 创建一个颜色剪辑&#xff0c;时长与音频相同 audioclip AudioFileClip(r"C:\Users\Administrator\PycharmProjects\pythonProject44\test4\赵照 - 灯塔守望人.mp3") videoclip…

P6160 [Cnoi2020] 向量

[Cnoi2020] 向量 题目背景 向量(vector)&#xff0c;指具有大小(Magnitude)和方向(Direction) 的量。 与向量对应的量叫做数量(Scalar)&#xff0c;数量只有大小&#xff0c;没有方向。 对于 Cirno 来说&#xff0c;整天环绕氷屋的旋转 Sangetsusei 们是向量而不是数量。 Sun…