你真的懂firewalld吗?不妨看看我的这篇文章

news2024/11/18 22:57:13

一、firewalld简介

firewalld防火墙是Linux系统上的一种动态防火墙管理工具,它是Red Hat公司开发的,并在许多Linux发行版中被采用。相对于传统的静态防火墙规则,firewalld使用动态的方式来管理防火墙规则,可以更加灵活地适应不同的网络环境和应用场景。

firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。它可以对入站和出站流量进行管理,可以控制端口、服务和网络协议的访问权限,也支持NAT和端口转发等高级功能,属于包过滤防火墙。

firewalld防火墙采用了D-Bus接口来与网络管理器和其他应用程序进行通信,这使得它可以更加灵活地适应不同的网络环境和应用场景。例如,当一个新的网络接口被添加到系统中时,firewalld可以接收到相关的通知,并自动更新防火墙规则以适应新的网络环境。

firewalld防火墙还提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算〉,并且拥有两种配置模式:运行时配置与永久配置。

二、firewalld与iptables之间的关系

firewalld和liptables都是用来管理防火墙的工具(属于用户态),它们都可以用来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统(属于内核态),从而实现包过滤防火墙功能。

图片

(一)两者基于方式不同

1、iptables主要是基于接口来设置规则,从而实现网络的安全性。

2、firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

(二)配置文件不同

1、iptables 将配置存储在/etc/sysconfig/iptables ;

2、firewalld将配置储存在/etc/firewalld,优先加载该配置文件,同时/usr/lib/firewalld中的各种xml文件是默认的配置文件。

(三)对防火墙规则修改不同

1、iptables对于规则的修改需要全部刷新策略,每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。

2、firewalld对于规则的修改无需全部刷新策略,因为它不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。

(四)防火墙类型不同

1、iptables防火墙类型为静态防火墙。可以理解为iptables的规则就是一张表,对表进行增删改查操作。

2、firewalld防火墙类型为动态防火墙。可以理解为firewalld的规则是一块区域,可以更换不同的区域进行增删改查操作。

(五)firewalld相对于iptables优势

1、firewalld可以动态修改单条规则,而iptables在修改了规则后必须得全部刷新才可以生效。

2、firewalld在使用上要比iptables更加人性化了,即使对于不明白防火墙的“四表五链”,对于TCP/IP协议也不熟悉的情况下,也可以实现大部分管理功能。

三、firewalld常见概念

(一)firewalld区域概念

firewalld防火墙为了简化方便管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

(二)firewalld预定义区域概念

1、区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。

2、可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。

3、默认情况下,public区域是默认区域,包含所有接口(网卡)。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。

值得注意:如果数据包的源地址与区域绑定,则此数据包不管从那个网卡传入都使用改区域的规则过滤数据包。如果数据包的源地址未与区域绑定,则此数据从哪个网卡传入则使用该网卡绑定的区域规则过滤数据包。

(三)常见区域及含义

1、信任区域trusted:允许所有的流量传人;

2、公共区域public:默认允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝,是新添加网络接口的默认区域。

3、外部区域external:默认允许与ssh预定义服务匹配的传入流量,其余均拒绝。默认将通过此区域转发的IPv4传出流量将进行地址伪装(MASQUERADE),可用于为路由器启用了伪装功能的外部网络。

4、家庭区域home:默认允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。

5、内部区域internal:默认值时与home区域功能相同。

6、工作区域work:允许与 ssh、dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。

7、隔离区域dmz也称为非军事区域:默认允许与ssh预定义服务匹配的传入流量,其余均拒绝。

8、限制区域block:拒绝所有传入流量。

9、丢弃区域drop:丢弃所有传入流量,并且不产生包含ICMP的错误响应。

值得注意:默认情况下的默认区域为public(默认与所有网卡绑定),要激活某个区域,就需要将区域与源地址网卡绑定。

四、firewalld数据包处理过程

(一)firewalld数据处理流程

firewalld对于进入系统的数据包,会根据数据包的源I地址或传入的网络接口等条件,将数据流量转入相应区域的防火靖规则。对于进入系统的数据包,首先捡查的就是其源地址。

(二)firewalld检查数据包的源地址的规则

1、若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。

2、若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突〉,则使用传入网络接口的区域并执行该区域所制定的规则。

3、若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

针对以上数据包处理流程总结为:先检查传入数据包的源地址,若源地址与特定区域绑定,则使用该区域的规则过滤数据包。若源地址与特定区域没有绑定,且数据包传入网卡与特定区域绑定,则使用绑定网卡的区域的规则过滤数据包。若也没有区域绑定网卡,则使用默认区域的规则过滤数据包。

五、firewalld防火墙安装及其语法

firewalld在centos7中已经自带安装了,所以不需要我们再另外安装。至于其它发行版本的Linux系统,大家可以自行去了解相关Linux版本自带firewalld的情况,这里不展开,以下相关操作均在centos7下进行。

1、centos7下可以通过yum方式安装firewalld

yum install firewalld firewall-config

2、启动firewalld服务

systemctl start  firewalld

3、关闭firewalld服务

systemctl stop firewalld

4、将firewalld设置为开机自启动

systemctl enable firewalld

5、将firewalld禁用开机自启动

systemctl disable firewalld

6、查看firewalld工作状

systemctl status firewalld

firewall-cmd --state

(一)firewalld命令格式

1、命令格式

firewall-cmd [选项参数 ... ]

(1)选项参数

1)常见通用选项参数

-h, --help    # 显示帮助信息;-V, --version # 显示版本信息. (这个选项不能与其他选项组合);-q, --quiet   # 不打印状态消息;

2)常见状态选项参数​​​​​​​

--state                # 显示firewalld的状态;--reload               # 不中断服务的重新加载;--complete-reload      # 中断所有连接的重新加载;--runtime-to-permanent # 将当前防火墙的规则永久保存;--check-config         # 检查配置正确性;

3)日志选项参数

--get-log-denied         # 获取记录被拒绝的日志;--set-log-denied=<value> # 设置记录被拒绝的日志,只能为 'all','unicast','broadcast','multicast','off' 其中的一个;

(二)firewalld命令常见选项参数

可以通过firewall-cmd --help查看firewalld具体参数用法,以下罗列常见参数:

1、-h,--help:显示帮助信息;

2、-V,--version:显示版本信息;

3、-q,--quiet:不打印状态信息;

4、--state:显示firewalld的状态;

5、--reload:不中断服务的重新加载;

6、--complete-reload:中断所有连接的重新加载;

7、--runtime-to-permanent:将当前防火墙的规则永久保存;

8、--check-config: 检查配置正确性;

9、--get-default-zone:显示当前默认区域;

10、--set-default-zone=<zone>设置默认区域;

11、--get-active-zones:显示当前正在使用的区域及其对应的网卡接口

12、--get-zones :显示所有可用的区域;

13、--get-zone-of-interface=<interface>:显示指定接口绑定的区域;

14、--zone=<zone> --add-interface=<interface>:为指定接口绑定区域;

15、--zone=<zone> --change-interface=<interface>:为指定的区域更改绑定的网络接口;

16、--zone=<zone> --remove-interface=<interface>:为指定的区域删除绑定的网络接口;

17、--list-all-zones :显示所有区域及其规则;

18、[--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作;

19、[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务;

20、[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务;

21、[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务;

22、[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号;

23、为指定区域设置允许访问的某个/某段端口号(包括协议名);

[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>

24、删除指定区域已设置的允许访问的端口号(包括协议名);

[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>

25、[--zone=<zone>] --list-icmp-blocks:显示指定区域内拒绝访问的所有 ICMP 类型;

26、[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型;

27、[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型;

28、 --get-icmptypes :显示所有 ICMP 类型;

六、firewalld配置常用命令列举

以下罗列出平时运维工作常用的一些规则添加命令,方便大家参考学习。这里需要注意点;

firewalld可以通过两种方式控制端口的开放,一种是通过指定端口号,另一种是指定服务名。例如开放mysql服务就是开放了对应3306端口,但是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。

1、查看firewalld版本号信息

firewall-cmd --version

2、查看firewalld命令使用帮助信息

firewall-cmd --help

3、查看firewalld工作状态

firewall-cmd --state

4、查看firewalld区域信息

firewall-cmd --get-active-zones

5、查看指定接口所属区域

firewall-cmd --get-zone-of-interface=ens33

6、拒绝所有包

firewall-cmd --panic-on

7、查看是否拒绝

firewall-cmd --query-panic

8、取消拒绝状态

firewall-cmd --panic-off

9、将接口添加到区域,默认接口都在public

firewall-cmd --zone=public --add-interface=ens33

10、加入一个端口到指定区域

firewall-cmd --zone=dmz --add-port=8080/tcp

11、更新防火墙规则

firewall-cmd --complete-reload

12、设置默认接口区域,立即生效无需重启

firewall-cmd --set-default-zone=public

13、设置为家庭区域

firewall-cmd --set-default-zone=home

14、查看所有打开的端口

firewall-cmd --zone=dmz --list-ports

15、显示支持的区域列表

firewall-cmd --get-zones

16、查看显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --get-active-zones

17、设置当前区域的接口

firewall-cmd --get-zone-of-interface=ens33

18、显示所有公共区域(public)

firewall-cmd --zone=public --list-all

19、临时修改网络接口ens33为内部区域(internal);

firewall-cmd --zone=internal --change-interface=ens33

20、永久修改网络接口ens33为内部区域(internal)

firewall-cmd --permanent --zone=internal --change-interface=ens33

21、显示服务列表 

firewall-cmd --get-services

22、禁止ssh服务通过

firewall-cmd --delete-service=ssh

23、开放ssh服务通过

firewall-cmd --new-service=ssh

24、查看显示当前服务

firewall-cmd --list-services

25、添加http服务到内部区域(internal)

firewall-cmd --permanent --zone=internal --add-service=http

26、打开tcp的8090端口

firewall-cmd --enable ports=8090/tcp

27、临时允许Samba服务通过300秒

firewall-cmd --enable service=samba --timeout=300

28、打开8090/TCP端口

firewall-cmd --add-port=8090/tcp

29、永久打开8090/TCP端口

firewall-cmd --permanent --add-port=8090/tcp

30、开放mysql服务对应的端口

firewall-cmd --add-service=mysql

31、阻止mysql服务对应的端口

firewall-cmd --remove-service=mysql

32、开放通过tcp访问3306端口

firewall-cmd --add-port=3306/tcp

33、开放通过udp访问234端口

firewall-cmd --add-port=234/udp  

34、查看开放的端口

firewall-cmd --list-ports

35、阻止通过tcp访问3306端口

firewall-cmd --remove-port=3306/tcp

36、显示所有的icmp类型

 firewall-cmd --get-icmptypes

37、为指定区域设置拒绝访问的某项icmp 类型

firewall-cmd --add-icmp-block=echo-request

38、显示指定区域内拒绝访问的所有 icmp 类型

firewall-cmd --list-icmp-blocks

39、为指定区域设置拒绝访问的某项 icmp 类型

firewall-cmd --add-icmp-block=destination-unreachable

40、删除指定区域已设置的拒绝访问的某项icmp类型

 firewall-cmd --remove-icmp-block=destination-unreachable

41、检查是否允许伪装IP

firewall-cmd --query-masquerade

42、允许防火墙伪装IP

firewall-cmd --add-masquerade

43、禁止防火墙伪装IP

firewall-cmd --remove-masquerade

44、将8888端口的流量转发至80端口

firewall-cmd --add-forward-port=port=8888:proto=tcp:toport=80

45、将8888端口的流量转发至192.168.20.232的80端口

firewal-cmd --add-forward-port=port=8888: proto=tcp:toaddr=192.168.20.232:toport=80

46、将8888端口的流量转发至192.168.20.232

firewall-cmd --add-forward-port=port=8888:proto=tcp:toaddr=192.168.20.232

七、总结

大家都知道,防火墙规则众多并且繁杂,我们不可能罗列完它的每一条添加命令,更不可能死记硬背它的每一条规则。但是我们可以通过掌握其添加规则语法,用到时方便查阅添加即可。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1707865.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

AI图片生成软件怎么用?让你轻松完成创作

随着人工智能技术的不断发展&#xff0c;越来越多的AI应用进入我们的生活。使用AI图片生成软件来创作图片可以极大地简化创作过程&#xff0c;让设计师轻松实现各种艺术效果。那么AI图片生成软件怎么用? 1. 选择合适的AI图片生成软件 市场上有许多AI图片生成软件供选择&#x…

香橙派OrangePi AIpro,助力国产AIoT迈向新的台阶!

前言&#xff1a;很高兴受邀CSDN与OrangePi官方组织的测评活动&#xff0c;本次测评是一块基于AI边缘计算的香橙派开发板OrangePi AIpro。这是 香橙派 联合 华为昇腾 合作精心打造的新一代边缘AI计算产品&#xff0c;于2023年12月初发布&#xff0c;提供 8/20TOPS澎湃算力[1]&a…

盲人无障碍设施建设:科技之光照亮前行之路

在这个快速发展的时代&#xff0c;科技的每一次进步都在悄然改变着我们的生活&#xff0c;尤其在提升特殊群体生活质量方面&#xff0c;展现出前所未有的力量。今天&#xff0c;让我们聚焦于盲人无障碍设施建设这一重要话题&#xff0c;通过一款名为“蝙蝠避障”的辅助软件&…

Debug-012-el-popover 使用 doClose() 关闭窗口不生效的处理方案

前言&#xff1a; 今天上午碰见一个非常奇怪的情况&#xff1a;一样的方法实现的功能&#xff0c;效果却不一样。 两个页面都是使用的doClose()去关闭的el-popover&#xff0c;其中有一个就是不生效&#xff0c;找不同找了半天&#xff0c;始终不得其解。请看效果吧&#xff1…

2024-05-28 服务器开发-不同vs版本的std::string的访问出错问题-记录

摘要: 有一个dll库是使用vs2010编译的, 使用这个dll动态库的工程是vs2019. 这个dll动态库返回一个结构体&#xff0c;其中有个成员使用了std::string。但是遇到了std::string的成员显示被赋值为NULL的情况。 本文对进行分析, 重点在于追踪问题的思路。 问题描述: dll使用vs20…

java项目之飘香水果购物网站(springboot+vue+mysql)

风定落花生&#xff0c;歌声逐流水&#xff0c;大家好我是风歌&#xff0c;混迹在java圈的辛苦码农。今天要和大家聊的是一款基于springboot的飘香水果购物网站。项目源码以及部署相关请联系风歌&#xff0c;文末附上联系信息 。 项目简介&#xff1a; 飘香水果购物网站的主要…

margin-left: auto;使元素靠右

摘要&#xff1a; 今天写样式遇到一个东西&#xff0c;就是需要表单居右显示的&#xff0c;但是作用了弹性布局&#xff0c;其他的都不行的&#xff0c;一开始使用了浮动&#xff0c;但是使用了浮动后盒子就不继承父盒子的宽度了&#xff0c;移动端还行&#xff0c;自动回到100…

解析边缘计算网关的优势-天拓四方

随着信息化、智能化浪潮的持续推进&#xff0c;计算技术正以前所未有的速度发展&#xff0c;而边缘计算网关作为其中的重要一环&#xff0c;以其独特的优势正在逐步改变我们的生活方式和工作模式。本文将详细解析边缘计算网关的优势。 首先&#xff0c;边缘计算网关具有显著的…

【C++初阶】--- C++入门(中)

目录 一、缺省参数1.1 缺省参数概念1.2 缺省参数分类 二、函数重载2.1 函数重载概念2.2 C支持函数重载的原理 --- 名字修饰 三、引用3.1 引用概念3.2 引用特性3.3 常引用3.4 使用场景3.5 引用和指针的区别 一、缺省参数 1.1 缺省参数概念 缺省参数是声明或定义函数时为函数的…

解锁数据的力量:Navicat 17 新特性和亮点

解锁数据的力量&#xff1a;Navicat 17 新特性和亮点 大家好&#xff0c;我是猫头虎。今天我要为大家介绍 Navicat 17 的新特性和亮点。Navicat 是一款专业的数据库管理工具&#xff0c;支持多种数据库类型&#xff0c;包括 MySQL、Oracle、SQL Server、PostgreSQL、MariaDB、…

Jmeter元件及基本作用域

&#x1f680;从今天开始学习性能测试工具——Jmeter&#xff0c;小梦也是先学习了下Jmeter的元件概念以及其基本的作用域&#xff0c;整理了下笔记&#xff0c;希望不管是从事开发领域还是测试领域的朋友们&#xff0c;我们一起学习下Jmeter工具&#xff0c;提升工作中的技能&…

Compose Button移除水波纹效果

一、背景 在使用Compose实现Button按钮时&#xff0c;设计要求移除按钮的水波纹效果&#xff0c;只保留按压效果&#xff0c;经查Compose1.4.3版本中&#xff0c;并没有直接移除水波纹的能力 二、遇到问题 经过多次尝试&#xff0c;使用Compose的Button组件始终无法实现目标效…

NSSCTF-Web题目3

目录 [BJDCTF 2020]easy_md5 1、知识点 2、题目 3、思路 [ZJCTF 2019]NiZhuanSiWei 1、知识点 2、题目 3、思路 第一层 第二层 第三层 [BJDCTF 2020]easy_md5 1、知识点 弱比较&#xff0c;强比较、数组绕过、MD5加密 2、题目 3、思路 1、首先我们跟着题目输入&a…

蒙特卡洛法求解机械臂工作空间(以IRB4600型工业机械臂为例)

1. 概念 工作空间是衡量机器人工作能力的一个重要的运动学指标&#xff0c;蒙特卡洛法是一种随机模拟方法&#xff0c;用于在计算机上估计某些统计量&#xff0c;对于要估计的统计量&#xff0c;通过模拟大量的随机抽样&#xff0c;并计算这些样本的随机值来估算这个统计量的值…

第 8 章 机器人实体导航(自学二刷笔记)

重要参考&#xff1a; 课程链接:https://www.bilibili.com/video/BV1Ci4y1L7ZZ 讲义链接:Introduction Autolabor-ROS机器人入门课程《ROS理论与实践》零基础教程 9.1 概述 实体机器人导航与仿真环境下的导航核心实现基本一致&#xff0c;主要区别在于导航实现之前&#xf…

37. 解数独 - 力扣(LeetCode)

基础知识要求&#xff1a; Java&#xff1a; 方法、for循环、if else语句、数组 Python&#xff1a; 方法、for循环、if else语句、列表 题目&#xff1a; 编写一个程序&#xff0c;通过填充空格来解决数独问题。 数独的解法需 遵循如下规则&#xff1a; 数字 1-9 在每一行…

上交提出TrustGAIN,提出6G网络中可信AIGC新模式!

月16日至18日&#xff0c;2024全球6G技术大会在南京召开。会上&#xff0c;全球移动通信标准制定组织3GPP&#xff08;第三代合作伙伴计划&#xff09;的3位联席主席分享了3GPP6G标准时间表&#xff1a; 2024年9月&#xff0c;启动6G业务需求研究&#xff1b; 2025年6月&…

代码随想录算法训练营第36期DAY35

DAY35 122买卖股票的最佳时机ii 很巧妙&#xff0c;也很难想到&#xff1a;计算每天的利润&#xff08;今天卖出&#xff0c;昨天买入的利润&#xff09;&#xff0c;只取正数相加。 class Solution {public: int maxProfit(vector<int>& prices) { int…

Broker的主从架构

为了保证MQ的数据不丢失而且具备一定的高可用性&#xff0c;所以一般都是得将Broker部署成Master-Slave模式的&#xff0c;也就是—个Master Broker对应一个Slave Broker Master需要在接收到消息之后&#xff0c;将数据同步给Slave&#xff0c;这样一旦Master Broker挂了&#…

YOLOV10阅读总结

GitHub - THU-MIG/yolov10: YOLOv10: Real-Time End-to-End Object Detection YOLOv10 - Ultralytics YOLO Docs https://arxiv.org/pdf/2405.14458 论文地址 最近yolo又出了个yolov10了&#xff0c;不得不感慨CV是真卷&#xff0c;毕竟yolov9也才没多久。记录一下阅读笔记。…