Linux运维--Firewall防火墙命令以及规则等详解(全)

news2024/12/24 13:25:18

Linux运维–Firewall防火墙命令以及规则等详解(全)

在Linux系统中,你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具,而iptables是一个更底层的工具,可以直接配置Linux内核的防火墙规则。

在RHEL 6.9及更早版本中,使用的是iptables作为防火墙管理工具,而在RHEL 7及更新版本中则使用Firewalld。

【Linux】—管理、设置防火墙规则(firewalld详解)
  • 一、firewalld
    • 1.1 服务的启动、停止
    • 1.2 查看和设置默认区域
    • 1.3 使用firewalld进行规则配置
    • 1.4 重新加载防火墙配置
    • 1.5 查询已开放的端口、已允许的服务


💖The Begin💖点点关注,收藏不迷路💖

在Linux系统中,你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具,而iptables是一个更底层的工具,可以直接配置Linux内核的防火墙规则。

在RHEL 6.9及更早版本中,使用的是iptables作为防火墙管理工具,而在RHEL 7及更新版本中则使用Firewalld。

一、firewalld

1、firewalld是Red Hat系列Linux发行版(如Fedora、CentOS等)引入的一种动态防火墙管理工具,它使用iptables作为底层实现。

2、firewalld提供了一个基于区域(zone)和服务(service)的简化配置界面,使得管理防火墙规则更加容易。

3、它支持动态更新防火墙规则,可以在运行时添加、删除、修改规则,而不需要重新加载整个防火墙配置。

4、firewalld的配置文件位于 /etc/firewalld/ 目录下,主要是一些XML格式的文件,如 zones、services、richrules 等。

1.1 服务的启动、停止

1、启用/禁用防火墙:
systemctl start firewalld

systemctl stop firewalld

2、设置防火墙开机启动:
systemctl enable firewalld

3、禁用firewall防火墙(开机不启动)
systemctl disabled firewalld

4、防火墙状态查看
systemctl status firewalld
或者
firewall-cmd –state

5、版本查看
firewall-cmd –version

1.2 查看和设置默认区域

在这里插入图片描述

1、查看默认区域
firewall-cmd --get-default-zone

2、查看所有可用的区域
firewall-cmd –get-zones

3、查看当前活动区域
firewall-cmd –get-active-zones

4、查看特定区域支持的所有特性
firewall-cmd –zone=zone_name --list-all ##其中,zone_name是你要查询的区域的名称。

例如,如果你想查看"public"区域支持的所有特性,可以运行以下命令:

firewall-cmd --zone=public --list-all

这将列出"public"区域支持的所有特性,包括开放的端口、允许的服务等信息。

5、查看特定区域支持的所有服务
firewall-cmd --zone=zone_name --list-services

其中,zone_name是你要查询的区域的名称。

例如,如果你想查看"public"区域支持的所有服务,可以运行以下命令:

firewall-cmd --zone=public --list-services

这将列出“public”区域支持的所有服务。

6、设置默认区域

firewall-cmd --set-default-zone=your_zone

其中,your_zone 是你想要设置的默认区域的名称,比如 public、internal、dmz 等。

在这里插入图片描述

1.3 使用firewalld进行规则配置

  • 1、添加规则:

1、开放端口:


firewall-cmd --zone=public --add-port=80/tcp --permanent

–zone=public:指定了要修改的防火墙区域,这里是"public"区域,你可以根据需要修改为其他区域名称。
–add-port=80/tcp:表示要开放的端口为80,使用的协议为TCP。你可以根据实际情况修改端口号和协议类型。如果你想同时开放UDP端口,可以在端口号后面加上"/udp"。
–permanent:表示将修改永久保存到防火墙配置中,使得重启后仍然生效。

这个命令的作用是将TCP端口80开放在指定的防火墙区域中,允许外部主机访问该端口。

2、允许服务:

firewall-cmd --zone=public --add-service=http --permanent

–zone=public:同样是指定要修改的防火墙区域,这里也是"public"区域。
–add-service=http:表示要允许的服务为HTTP,Firewalld提供了一系列预定义的服务名称,这里使用了"http"服务名称,代表HTTP服务。你也可以使用其他预定义服务名称,如"https"、"ssh"等。
–permanent:同样表示将修改永久保存到防火墙配置中。

这个命令的作用是允许HTTP服务在指定的防火墙区域中,允许外部主机访问HTTP服务。

  • 2、删除规则:

要删除Firewalld中的规则,可以使用以下命令:

1、删除端口规则:

firewall-cmd --zone=zone_name --remove-port=port/tcp --permanent

其中:

zone_name 是要操作的防火墙区域的名称。
port 是要删除的端口号。
tcp 是要删除的协议类型,如果端口是UDP的,就使用 udp。

例如,要删除在"public"区域中永久开放的TCP端口80的规则,可以运行:

firewall-cmd --zone=public --remove-port=80/tcp --permanent

2、删除服务规则:

firewall-cmd --zone=zone_name --remove-service=service_name --permanent

其中:

zone_name 是要操作的防火墙区域的名称。
service_name 是要删除的服务名称。

例如,要删除在"public"区域中永久允许的HTTP服务规则,可以运行:

firewall-cmd --zone=public --remove-service=http --permanent

在这里插入图片描述

1.4 重新加载防火墙配置

无论是添加还是删除规则后,都需要重新加载防火墙配置才能使更改生效:

firewall-cmd --reload

1.5 查询已开放的端口、已允许的服务

1、查询已开放的端口:

firewall-cmd --zone=zone_name --list-ports
##其中: zone_name 是要查询的防火墙区域的名称。

例如,要查询"public"区域中已经开放的端口,可以运行:

firewall-cmd --zone=public --list-ports

这将列出该区域中已经开放的所有端口。

2、查询防火墙是否已打开特定端口:

firewall-cmd --query-port=端口/tcp

例如,要查询端口号 80 是否已打开,可以执行以下命令:

firewall-cmd --query-port=80/tcp

这将返回 yes 或 no,指示端口 80 是否已在防火墙中打开。

3、查询已允许的服务:

firewall-cmd --zone=zone_name --list-services

##其中:zone_name 是要查询的防火墙区域的名称。

例如,要查询"public"区域中已经允许的服务,可以运行:

firewall-cmd --zone=public --list-services

Linux防火墙Firewall常用命令

本文介绍了firewall防火墙的常用简单命令,以CentOS系统为例展示了防火墙的启用、关闭及通行规则设置等命令。

  • 查看/开启/关闭/重启/加载防火墙

  • 防火墙开机自启设置

  • 按端口查询/开放/移除放行规则

  • 按服务查询/开放/移除放行规则

  • 端口转发

  • 扩展

查看/开启/关闭/重启/加载防火墙

#查看防火墙状态
systemctl status firewalld
#开启防火墙
systemctl start firewalld
#关闭防火墙
systemctl stop firewalld
#重启防火墙
systemctl restart firewalld
#重新加载防火墙
firewall-cmd --reload
firewall-cmd --complete-reload
#两者的区别就是第一个不会断开连接,就是firewalld特性之一动态添加规则,第二个会断开所有连接,类似重启服务加载

在这里插入图片描述

防火墙开机自启设置

#查看防火墙是否自启,disabled则是开机不自动启动的
systemctl is-enabled firewalld
#设置防火墙开机自启
systemctl enable firewalld
#设置防火墙禁止开机自启
systemctl disable firewalld

在这里插入图片描述

按端口查询/开放/移除放行规则

#查询所有已经开放的端口列表
firewall-cmd --zone=public --list-ports
#查看指定端口开放状态
firewall-cmd --zone=public --query-port=端口号/协议
#永久开放指定端口,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-port=端口/协议
#永久移除已开放的指定端口,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --remove-port=端口/协议
#批量开放多个连续端口
firewall-cmd --permanent --zone=public --add-port=端口-端口/协议
#移除批量开放的连续端口,端口范围需与开放时的范围一致
firewall-cmd --permanent --zone=public --add-port=端口-端口/协议

#永久开放或移除服务开放规则后需重新加载防火墙规则后生效,临时的无需重新加载
firewall-cmd --reload

在这里插入图片描述

按服务查询/开放/移除放行规则

#查询支持开放的服务列表
firewall-cmd --get-services
#查询已开放的服务列表
firewall-cmd --zone=public --list-services
#查询某个服务是否开放
firewall-cmd --zone=public --query-service=服务名
#永久开放指定服务,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-service=服务名
#永久移除指定服务,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --remove-service=服务名

#永久开放或移除服务开放规则后需重新加载防火墙规则后生效,临时的无需重新加载
firewall-cmd --reload在这里插入图片描述

端口转发

#查看所有端口转发规则
firewall-cmd --zone=public --list-forward
#本机端口转发,将80端口的流量转发至8080端口,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080
#服务器之间转发,将本机80端口的流量转发至192.168.0.12服务器上,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.12 --permanent
#服务器之间转发,将本机80端口的流量转发至192.168.0.12的8080端口上,permanent参数为永久生效去掉则重启后失效
firewall-cmd --permanent --zone=public --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.12:toport=8080 --permanent
#移除端口转发规则
firewall-cmd --permanent --zone=public --remove-forward-port=port=80:proto=tcp:toport=8080

#永久开放或移除服务开放规则后需重新加载防火墙规则后生效,临时的无需重新加载
firewall-cmd --reload

#服务器之间转发需允许防火墙伪装IP
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade # 禁止防火墙伪装IP

在这里插入图片描述

扩展

zone的概念

命令中如果不加zone信息,会将规则作用于默认域

#查看默认域
firewall-cmd --get-default-zone

public(公共) —— [默认]公网访问,不受任何限制。

work(工作) —— 用于工作区。基本信任的网络,仅仅接收经过选择的连接。

home(家庭) —— 用于家庭网络。基本信任的网络,仅仅接收经过选择的连接。

trusted(信任) —— 接收的外部网络连接是可信任、可接受的。

block(限制) —— 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。

dmz(隔离区) —— 英文"demilitarized zone"的缩写,此区域内可公开访问,它是非安全系统与安全系统之间的缓冲区。

drop(丢弃) —— 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。

external(外部) —— 允许指定的外部网络进入连接,特别是为路由器启用了伪装功能的外部网。

internal(内部) —— 内部访问。只限于本地访问,其他不能访问。

firewall-cmd常用命令格式

#列出放行规则
firewall-cmd [–permanent] [–zone=zone] --list-sources
#查询放行规则状态
firewall-cmd [–permanent] [–zone=zone] --query-source=source[/mask]
#添加放行规则
firewall-cmd [–permanent] [–zone=zone] --add-source=source[/mask]
#移除放行规则
firewall-cmd [–permanent] [–zone=zone] --remove-source=source[/mask]
#更换放行规则作用域
firewall-cmd [–zone=zone] --change-source=source[/mask]

Firewall实操

目录

  • 前言
  • 1. iptables防火墙常用命令
  • 2. firewall防火墙常用命令
    • 2.1 firewall-cmd命令
    • 2.2 打开关闭端口

前言

主要讲解:
防火墙的开启与关闭等常用命令
firewall-cmd配置端口等

Centos7这个版本的防火墙使用的是firewall,在这之前的版本Centos 6以下都是使用iptables

现在多数版本都是使用的是firewall,如果你的iptables执行不了,可测试一下firewall命令参数

1. iptables防火墙常用命令

比如我使用的是ubuntu系统下的
使用iptables命令,查询其参数
在这里插入图片描述
由于博主这个命令已经没有了
以下命令都执行不了, 但如果你是centos6以下,也可以测试以下命令
回顾该命令的参数:

  • 查看防火墙状态:service iptables status

  • 停止防火墙:service iptables stop

  • 启动防火墙:service iptables start

  • 重启防火墙:service iptables restart

  • 永久关闭防火墙:chkconfig iptables off

  • 永久关闭后重启:chkconfig iptables on

开启端口号
在配置文件中直接打开某个端口并且启动后,重新打开防火墙的一系列命令为:
通过vi 或者vim 或者gedit打开这个文件/etc/sysconfig/iptables
在文后加入以下代码

-A INPUT -m state --state NEW -m tcp -p tcp --dport 端口号 -j ACCEPT

保存退出后重启防火墙

service iptables restart

2. firewall防火墙常用命令

这些命令都可在我的电脑下执行

设置开启启动防火墙:
systemctl enable firewalld.service 在这里插入图片描述
设置开机禁止防火墙:
systemctl disable firewalld.service在这里插入图片描述
启动防火墙:systemctl start firewalld
静止防火墙:systemctl stop firewalld

在这里插入图片描述
查看防火墙的具体信息,以及检查其状态:systemctl status firewalld
在这里插入图片描述

2.1 firewall-cmd命令

查看防火墙规则:firewall-cmd --list-all
在这里插入图片描述
在这里插入图片描述

查看防火墙状态:firewall-cmd --state
在这里插入图片描述
在这里插入图片描述

重新加载配置:firewall-cmd --reload
在这里插入图片描述
在这里插入图片描述

2.2 打开关闭端口

打开防火墙端口号:

firewall-cmd --zone=public --add-port=8080/tcp --permanent

在这里插入图片描述
关闭防火墙端口号:
firewall-cmd --zone=public --remove-port=9200/tcp --permanent 在这里插入图片描述

具体参数讲解
--permanent:设置为永久
--add-port:添加的端口,格式为端口/通讯协议
--zone :作用域

添加完端口号后记得重启以下,才能看见端口号firewall-cmd --reload
查看开放的端口:firewall-cmd --list-ports

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2099342.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

算法的学习笔记—数据流中的中位数(牛客JZ41)

😀前言 在处理动态数据时,实时计算中位数是一个经典问题。中位数是排序后处于中间位置的数值,数据流中的中位数计算面临两个挑战:首先是数据量的动态变化,其次是需要保持元素的有序性。为了高效地解决这个问题&#xf…

【高校科研前沿】三峡大学黄进副教授等人在环境科学Top期刊JCP发文:人类活动如何在气候变化下影响和降低生态敏感性:以中国长江经济带为例

文章简介 论文名称:How human activities affect and reduce ecological sensitivity under climate change: Case study of the Yangtze River Economic Belt, China(人类活动如何在气候变化下影响和降低生态敏感性:以中国长江经济带为例&am…

Facebook的AI进化:如何用智能技术提升内容推荐

在数字时代,社交媒体平台不仅是信息传播的重要渠道,也是个人和品牌互动的关键平台。Facebook作为全球领先的社交媒体网络,其内容推荐系统的优化在很大程度上提升了用户体验。本文将探讨Facebook如何通过人工智能(AI)技…

Android Studio gradle下载太慢了!怎么办?(已解决)

Android Studio!你到底干了什么?! 不能高速下载gradle,我等如何进行app编程?! 很简单,我修改gradle地址不就是了。 找到gradle-wrapper.properties文件 修改其中distributionUrl的地址。 将 ht…

基于LDA模型的经济金融政策文本研究与分析设计与实现,很详细

摘 要 经济金融政策文本的研究与分析对于理解国家经济发展方向和政策制定逻辑至关重要。近年来,随着信息技术的发展,基于文本的定量分析方法在经济金融领域得到广泛应用。LDA(Latent Dirichlet Allocation)作为一种典型的主题模型…

OpenSea收到SEC韦尔斯通知,NFT赛道提前预定大败局?

NFT赛道需要寻找下一个突破口,回到数字艺术,或者走向应用型技术。 作者:Wenser;编辑:郝方舟 出品 | Odaily星球日报(ID:o-daily) 就在昨日,曾经最大的 NFT 交易平台 Open…

前端宝典二十五:vue2高阶用法mixin、transition、slot

本文主要探讨vue2中几个高阶的用法:mixin、transition、slot 一、mixin 在 Vue 中,mixin(混入)是一种用于在多个组件之间共享代码的机制。它允许你定义可重用的选项对象,并将其混入到不同的组件中。 1、使用方法 创…

重新修改 Qt 项目的 Kit 配置

要重新修改 Qt 项目的 Kit 配置,你可以按照以下步骤进行操作: 1. 打开 Qt Creator 首先,启动 Qt Creator,确保你的项目已经打开。 2. 进入项目设置 在 Qt Creator 中,点击菜单栏的 “Projects” 标签(通…

python3兼容python2吗

不兼容,最明显的是print变成了函数。 最重要的变化: 第一点是python2里的str变为了python3里的byte,而str由unicode str取代,因此一些网络编程,hash加密的函数需要将参数encode处理。 第二点是大量的python2库没有被…

C++入门8——vector的使用

目录 1.什么是vector? 2.vector的常见构造 2.1 无参默认构造 2.2 构造并初始化n个val 2.3 拷贝构造 2.4 使用迭代器区间构造 2.5 验证 3.vector的遍历和访问 3.1 下标[]访问 3.2 iterator迭代器访问 3.3 范围for访问 3.4 at访问 4.vector的容量操作 …

挂载磁盘时有多个文件系统

mount: /opt/storage/data1/: more filesystems detected on /dev/md5; use -t or wipefs(8). 1、解决方法一 mount -t ext4 /dev/md5 /opt/data2、解决方法二 #返回磁盘有那些文件系统和格式 wipefs /dev/md5 #清除文件系统和元数据 wipefs -a -f /dev/md5 #再次查看将没有任…

c++习题29-大整数的因子

目录 一,题目 二,思路 三,代码 一,题目 描述 已知正整数k满足2≤k≤9,现给出长度最大为30位的十进制非负整数c,求所有能整除c的k。 输入描述 一个非负整数c,c的位数≤30。 输出描述 若…

开学要买什么?出门少不了续电神器充电宝!性价比超高充电宝

宝子们,开学季又来啦!新的学期,新的开始,大家是不是都在忙着准备各种学习用品和生活好物呢?在众多开学必备物品中,有一个东西可千万不能忘记,那就是我们的续电神器 —— 充电宝!出门…

chrome插件模拟isTrusted的事件

文章目录 方法原理 使用js模拟的事件isTrusted的值时false。有的时候我们想要模拟sTrusted未true的事件就比较麻烦了。 我们可以利用chrome插件的 chrome.debugger解决改问题。 方法 大体思路是:模拟事件的请求从content_script.js发出,到达background…

通过 GitHub Actions 执行数据库 Schema 变更工作流

原文地址 https://www.bytebase.com/docs/tutorials/github-ci/ 教程库:https://github.com/bytebase/github-action-example 开发者们喜欢将 Schema 变更脚本与应用程序代码一起保存在 Git 中,这样变更脚本就能像应用程序代码一样接受审核和版本控制&…

2024年06月 C/C++(六级)真题解析#中国电子学会#全国青少年软件编程等级考试

C/C++编程(1~8级)全部真题・点这里 第1题:区块反转 给定一个单链表 L,我们将每 K 个结点看成一个区块(链表最后若不足 K 个结点,也看成一个区块),请编写程序将 L 中所有的区块链反转。例如:给定 L 为 1→2→3→4→5→6→7→8,K 为 3,则输出应该为 7→8→4→5→6→1→…

百度地图绘制电子围栏(包括移动端绘制操作)以及检测坐标是否在电子围栏内

由于本人在PC端仅使用了多边形绘制,但矩形跟多边形用法基本一样,圆形并未使用,如不符合读者需求也可以参考一下。 绘制后得到的数据可能不同,但绘制方法仅仅是传递的参数不同。 关于给坐标数组在地图绘制图形的效果在移动端部分包…

【读书笔记-《30天自制操作系统》-14】Day15

本篇内容开始讲解多任务。本篇内容结构很简单,先讲解任务切换的原理,再讲解任务切换的代码实践。但是涉及到的知识不少,理解上也有些难度。 1. 任务切换与多任务原理 1.1 多任务与任务切换 所谓多任务,指的是操作系统同时运行多…

ambari-hdp启动yarn报错Corruption: checksum mismatch

ambari-hdp启动yarn报错Corruption: checksum mismatch 页面报错 Traceback (most recent call last):File "/var/lib/ambari-agent/cache/stacks/HDP/3.0/services/YARN/package/scripts/nodemanager.py", line 102, in <module>Nodemanager().execute()Fil…

万字文档带你走进Python的世界

目录 Python基本使用语法 老生常谈 Python中的注释 Python变量 定义变量 变量类型 Python变量的特点 Python中的输入与输出 Python中的运算符 算术运算符 /和// **运算符 关系运算符 逻辑运算符 赋值运算符 Python运算符优先级 Python分支语句 if语句和if-else语句 if-else if-…