热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Linux16防火墙与firewalld

目录一、netfilter与firewalld二、firewalld与firewall-cmd、firewall-config2.1、预定义区域2.2、预定义服务2.3、

 

目录

一、netfilter与firewalld

二、firewalld与firewall-cmd、firewall-config

2.1、预定义区域

2.2、预定义服务

2.3、firewall-cmd和firewall-config配置工具

2.4、富规则rich-rule




一、netfilter与firewalld

linux内核有个防火墙模块netfilter,它是一个 包过滤防火墙,工作在OSI的2、3、4层。netfilter通过策略来控制和匹配条件,满足数据包的状态。与netfilter交互需要工具。最常见的就是iptables和firewalld书写和加载策略的工具。

RHEL6:iptables 没有明确的拒绝就是允许
RHEL7:firewalld 没有明确的允许就是拒绝


二、firewalld与firewall-cmd、firewall-config

CentOS/RHEL7以后引入了一个与netfilter交互的新方法firewalld服务。通过启动和关闭firewalld服务来打开和关闭防火墙,通过直接编辑firewalld配置文件、firewall-cmd命令行工具、firewall-config图形化工具来配置防火墙规则。

[root@server0 ~]# systemctl status firewalld.service
firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)Active: active (running) since Sun 2021-03-28 15:19:30 CST; 1h 15min ago

2.1、预定义区域

firewalld随附了一些预定义区域,适合不同用途,默认区域为publlic。随附区域有trusted、home、internal、work、public、external、dmz、block、drop区域。相关设置,可以编辑配置文件/etc/firewalld/zones/zone.xml。关于各个区域的功能和配置文件语法,直接man 5 firewalld.zone。


2.2、预定义服务

firewalld随附了预定义服务,可以方便允许流量通过防火墙。配置文件/etc/firewalld/services/service.xml。关于各个服务的功能和配置文件语法,直接man 5 firewalld.service。

amanda-client ftp ipsec mdns pmcd radius tftp
bacula high-availability kerberos mountd pmproxy rpc-bind tftp-client
bacula-client http kpasswd ms-wbt pmwebapi samba transmission-client
dhcp https ldap mysql pmwebapis samba-client vnc-server
dhcpv6 imaps ldaps nfs pop3s smtp wbem-https
dhcpv6-client ipp libvirt ntp postgresql ssh
dns ipp-client libvirt-tls openvpn proxy-dhcp telnet

2.3、firewall-cmd和firewall-config配置工具

常用的firewall-cmd命令常用选项如下。
更改规则以后,--reload加载到内存,规则才生效。
--permanent是写入配置文件,保证重启后依旧生效。

其他具体用法直接 man firewall-cmd。
firewall-config是firewall-cmd的图形化界面,不推荐使用。

firewall-cmd --list-all # 查看当前防火墙策略
firewall-cmd --permanent --add-port=123/udp # 添加入站规则 端口/协议
firewall-cmd --permanent --add-service=https # 添加入站规则 服务
firewall-cmd --permanent --remove-port=80/tcp # 删除入站规则 端口/协议
firewall-cmd --permanent --remove-service=telnet # 删除入站规则 服务
firewall-cmd --reload # 加载到内存才生效

2.4、富规则rich-rule

此外,firewalld还提供了自定义的防火墙规则rich-rule富规则。具体用法直接 man 5 firewalld.richlanguage。这里展示一个语法和手册的一个ipv6端口转发的例子。

firewall-cmd --permanent --add-rich-rule='rule' # 添加富规则
firewall-cmd --permanent --remove-rich-rule='rule' # 删除富规则Example 5Forward IPv6 port/packets receiving from 1:2:3:4:6:: on port 4011 with protocol tcp to 1::2:3:4:7 on port 4012rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"

 


推荐阅读
  • 在使用 SQL Server 时,连接故障是用户最常见的问题之一。通常,连接 SQL Server 的方法有两种:一种是通过 SQL Server 自带的客户端工具,例如 SQL Server Management Studio;另一种是通过第三方应用程序或开发工具进行连接。本文将详细分析导致连接故障的常见原因,并提供相应的解决策略,帮助用户有效排除连接问题。 ... [详细]
  • Linux入门教程第七课:基础命令与操作详解
    在本课程中,我们将深入探讨 Linux 系统中的基础命令与操作,重点讲解网络配置的相关知识。首先,我们会介绍 IP 地址的概念及其在网络协议中的作用,特别是 IPv4(Internet Protocol Version 4)的具体应用和配置方法。通过实际操作和示例,帮助初学者更好地理解和掌握这些基本技能。 ... [详细]
  • Windows环境下详细教程:如何搭建Git服务
    Windows环境下详细教程:如何搭建Git服务 ... [详细]
  • 在CentOS 7环境中安装配置Redis及使用Redis Desktop Manager连接时的注意事项与技巧
    在 CentOS 7 环境中安装和配置 Redis 时,需要注意一些关键步骤和最佳实践。本文详细介绍了从安装 Redis 到配置其基本参数的全过程,并提供了使用 Redis Desktop Manager 连接 Redis 服务器的技巧和注意事项。此外,还探讨了如何优化性能和确保数据安全,帮助用户在生产环境中高效地管理和使用 Redis。 ... [详细]
  • C++ 开发实战:实用技巧与经验分享
    C++ 开发实战:实用技巧与经验分享 ... [详细]
  • 投融资周报 | Circle 达成 4 亿美元融资协议,唯一艺术平台 A 轮融资超千万美元 ... [详细]
  • 2016-2017学年《网络安全实战》第三次作业
    2016-2017学年《网络安全实战》第三次作业总结了教材中关于网络信息收集技术的内容。本章主要探讨了网络踩点、网络扫描和网络查点三个关键步骤。其中,网络踩点旨在通过公开渠道收集目标信息,为后续的安全测试奠定基础,而不涉及实际的入侵行为。 ... [详细]
  • 如果程序使用Go语言编写并涉及单向或双向TLS认证,可能会遭受CPU拒绝服务攻击(DoS)。本文深入分析了CVE-2018-16875漏洞,探讨其成因、影响及防范措施,为开发者提供全面的安全指导。 ... [详细]
  • 公司计划部署邮件服务器,考虑到已有域名,决定自行搭建内部邮件服务器。经过综合考量,最终选择在Linux环境中进行搭建,并记录了相关配置和实践过程。本文将详细介绍Postfix的基本设置步骤和实践经验,帮助读者快速掌握邮件服务器的搭建方法。 ... [详细]
  • C#中实现高效UDP数据传输技术
    C#中实现高效UDP数据传输技术 ... [详细]
  • 深入解析OSI七层架构与TCP/IP协议体系
    本文详细探讨了OSI七层模型(Open System Interconnection,开放系统互连)及其与TCP/IP协议体系的关系。OSI模型将网络通信过程划分为七个层次,每个层次负责不同的功能,从物理层到应用层逐步实现数据传输和处理。通过对比分析,本文揭示了OSI模型与TCP/IP协议在结构和功能上的异同,为理解现代网络通信提供了全面的视角。 ... [详细]
  • 如何利用Apache与Nginx高效实现动静态内容分离
    如何利用Apache与Nginx高效实现动静态内容分离 ... [详细]
  • RancherOS 是由 Rancher Labs 开发的一款专为 Docker 设计的轻量级 Linux 发行版,提供了一个全面的 Docker 运行环境。其引导镜像仅 20MB,非常适合在资源受限的环境中部署。本文将详细介绍如何在 ESXi 虚拟化平台上安装和配置 RancherOS,帮助用户快速搭建高效、稳定的容器化应用环境。 ... [详细]
  • 本文详细介绍了在CentOS 7上构建DNS解析服务器的步骤与配置方法。DNS系统不仅负责将主机名(域名)转换为相应的IP地址(正向解析),还能够根据IP地址反查主机名(反向解析)。此外,文章还探讨了不同类型的DNS服务器,如缓存域名服务器的作用和配置要点。通过本指南,读者可以全面了解并成功搭建一个高效稳定的DNS解析环境。 ... [详细]
  • 本文详细介绍了 Sublime Text 3 在 2021 年的激活密钥及其在线激活方法。用户可以通过提供的链接访问云海天教程,获取更多详细的激活码信息和操作步骤。此外,文章还提供了安全可靠的激活方案,帮助用户顺利激活软件,提升编程效率。 ... [详细]
author-avatar
手机用户2602915825_387
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有