防火墙——firewalld
介绍
firewald是对于iptables的一个封装,可以让你更容易地管理iptables规则。firewalld是iptables前端控制器,用于实现持久地网络流量规则。
一、对比
firewalld与直接控制地iptables相对比:
- firewalld使用区域和服务而不是链式规则。
- firewalld动态地管理规则集,允许更新规则而不破坏现有回话和连接。
- firewalld的规则是默认拒绝,iptables的规则默认是允许。
二、区域
firewalld可以将网卡对应到不同区域,一共有九个区域。
| 区域 | 默认策略规则 |
| trusted | 允许所有的流量包进出 |
| home |
拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client dhcpv6-client服务相关,则允许进入。 |
| internal | 等同于home区域 |
| work | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许进入。 |
| public | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许进入。 |
| external | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh服务相关,则允许进入。 |
| dmz | 拒绝进入的流量,除非与出去的流量相关;而如果流量与ssh服务相关,则允许进入。 |
| block | 拒绝进入的流量,除非与出去的流量相关; |
| drop | 拒绝进入的流量,除非与出去的流量相关; |
相对应的这九个区域的配置文件存在于/usr/lib/firewalld/zones下。
默认情况下,在/etc/firewalld/zones下面有一个public.xml。如果给任何一个区域做一些改动,并永久保存,/etc/firewalld/zones就会自动生成对应的配置文件。
三、服务
在/usr/lib/firewalld/services目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,例如ssh服务等。与之对应的配置文件中记录了各项服务所使用的tcp/udp端口。当默认的服务不够用或者需要重新定义默认的服务端口时,就可以在此目录下进行配置。
优点: 通过服务名字来管理规则更加人性化;用服务来组织端口分组更加高效,如果一个服务需要多个端口,则在服务配置文件中就可以直接操作多个端口的开启和关闭。
四、命令
1、基础信息
#firewalld启动关闭重启
systemctl start firewalld
systemctl stop firewalld
systemctl restart firewalld
#查看firewalld的版本
firewall-cmd -V | firewall-cmd --version
#显示帮助
firewall-cmd -h | firewall-cmd --help
#显示防火墙的状态
firewall-cmd --state | systemctl status firewalld
#重新加载防火墙配置
firewall-cmd --reload
2、区域相关
#查看所有区域的名称
firewall-cmd --get-zones
#查看默认的区域名称
firewall-cmd --get-default-zone
#设置默认的区域
firewall-cmd --set-default-zone=区域名称
#显示正在使用的区域和对应的网卡名称
firewall-cmd --get-active-zone
#默认public区域拒绝所有流量,但如果来源IP是192.168.10.0/24网段则允许
[root@localhost ~]# firewall-cmd --zone=public --list-services #查看publicq区域中默认通行的服务
dhcpv6-client telnet[root@localhost ~]# firewall-cmd --zone=public --remove-service=dhcpv6-client --remove-service=telnet #删除public区域中的默认服务
success
[root@localhost ~]# firewall-cmd --zone=trusted --add-source=192.168.10.0/24 #将所有来自192.168.10.0/24的端口设置为通行
success
[root@localhost ~]# firewall-cmd --reload
success
3、端口相关
#查看当前开放的端口
firewall-cmd --list-ports
#开启指定端口,允许所有端口访问
[root@localhost ~]# firewall-cmd --zone=public --add-port=443/tcp --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#移除某个开启的端口,允许所有端口访问
[root@localhost ~]# firewall-cmd --zone=public --remove-port=443/tcp --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#查看某个端口是否开放
[root@localhost ~]# firewall-cmd --query-port=80/tcp
yes
4、富规则相关
#查看目前拥有的富规则
firewall-cmd --list-rich-rules
#开放某个端口只允许指定IP访问
[root@localhost ~]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.10.11" port protocol="tcp" port="443" accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#移除某个富规则
[root@localhost ~]# firewall-cmd --remove-rich-rule="rule family="ipv4" source address="192.168.10.11" port protocol="tcp" port="3306" accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success
5、转发规则
#允许TCP端口转发
[root@localhost ~]# firewall-cmd --zone=public --add-masquerade
success
[root@localhost ~]# firewall-cmd --reload
success#将访问到本机的443端口的流量转发到192.168.10.10的80端口上
[root@localhost ~]# firewall-cmd --add-forward-port=port=443:proto=tcp:toport=80:toaddr=192.168.10.10 --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#去除某条转发规则
[root@localhost ~]# firewall-cmd --remove-forward-port=port=443:proto=tcp:toport=80:toaddr=192.168.10.10 --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#查看所有转发规则
[root@localhost ~]# firewall-cmd --list-forward-ports
port=80:proto=tcp:toport=80:toaddr=192.168.10.11
port=3306:proto=tcp:toport=80:toaddr=192.168.10.13
6、服务相关
#允许192.168.10.10主机访问ssh服务,等同于开放22端口
[root@localhost zones]# firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.10.10" service name="ssh" accept" --zone=public
success
[root@localhost zones]# firewall-cmd --reload
success#每分钟允许两个新连接访问ftp服务
[root@localhost ~]# firewall-cmd --add-rich-rule="rule service name=ftp limit value=2/m accept" --permanent
success
[root@localhost ~]# firewall-cmd --reload
success#允许IPV6地址为1:2:3:4:6::子网的主机访问dns服务,并且每小时审核以西,300秒后自动取消
[root@localhost ~]# firewall-cmd --add-rich-rule="rule family="ipv6" source address="1:2:3:4:6::" service name="dns" audit limit value=1/h accept" --timeout=300
success
7、网卡相关
#查看指定网卡所对应的区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public#修改指定网卡对应的区域
[root@localhost ~]# firewall-cmd --zone=drop --change-interface=ens33
success#将来自某个网卡的流量全部作用于drop区域
[root@localhost ~]# firewall-cmd --zone=drop --add-interface=ens33
success
[root@localhost ~]# firewall-cmd --reload
success
8、应急状况
此方法是防火墙的应急状况模式,启动后远程连接也会断掉
#检查应急状况是否开启
[root@localhost ~]# firewall-cmd --query-panic
no#开启应急状况
[root@localhost ~]# firewall-cmd --panic-on #拒绝所有流量,远程连接会立即断掉,只能本地登录
success
#关闭应急状况
[root@localhost ~]# firewall-cmd --panic-off #取消应急模式,但需要重新启动firewalld后才可以远程ssh
success
最新文章
- Linux--niaoge
- avalon学习笔记
- jQuery问题集锦
- android 按钮点击效果实现 在studio下出现的错误
- PHP开发模式之代理技术
- [转]zetex.lib
- centos中的qt设计师所在的包
- [转]application windows are expected to have a root view controller错误
- debain上安装mono3.4.0和jexus5.5.2
- SQL Server Profiler监控SQL Server性能
- 【SQLite】使用replace替换字段中的字符
- Django: ModelForm中Meta的fields等成员介绍
- SQL SERVER CEILING 函数 取整时的坑。。。
- android handler机制简单介绍
- 警惕Dictionary和SortedDictionary的顺序陷阱
- Linux 定时任务详解
- 017-封装-OC笔记
- 我眼中的 Nginx(一):Nginx 和位运算
- mvc路由配置.html结尾的伪静态
- 前向星&链式前向星
热门文章
- WebRTC下 的 NAT 穿透技术
- 【C/C++笔记】友元类函数
- Spring Boot程序接收命令行参数
- python+appium运行提示找不到adb.exe “An unknown server-side error occurred while processing the command. Original error: Could not find 'adb.exe' in ["D:\\adt\\sdk;\\platform-tools\\adb.exe"”
- Pytest_Hook钩子函数总结(14)
- unittest_expectedFailure预期用例失败(5)
- 适配器模式(pthon)
- 怎样在 CentOS/RHEL 7/6 上安装和配置 Sendmail 服务器
- 聊聊docker那些端口问题
- 编写程序向HBase添加日志信息