firewalld 防火墙

2024-05-26 23:20
文章标签 防火墙 firewalld

本文主要是介绍firewalld 防火墙,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

firewalld概述

  • Linux系统防火墙
  • 从CentOS7开始的默认防火墙
  • 工作在网络层,属于包过滤防火墙

Firewalld和iptables的关系

netfilter       

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

firewalld

  •  Centos默认的管理防火墙规则的工具
  • 称为防火墙的“用户态”

[root@l1 ~]# cd /etc/firewalld/
[root@l1 firewalld]# 
[root@l1 firewalld]# pwd
/etc/firewalld
[root@l1 firewalld]# ls
firewalld.conf  helpers  icmptypes  ipsets  lockdown-whitelist.xml  services  zones
[root@l1 firewalld]# 

[root@l1 firewalld]# cd zones/
[root@l1 zones]# ls        //包含当前区域所使用的配置文件
public.xml  public.xml.old
[root@l1 zones]#
[root@l1 zones]# vim public.xml
[root@l1 zones]# 

 

Firewalld和iptables的区别

firewalldiptables
是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似主要是基于接口,来设置规则,从而判断网络的安全性
配置文件

/etc/firewalld/      

优先加载,保存用户自定义的配置(优先加载)

/usr/lib/firewalld/  

默认的初始配置(默认的配置文件)

/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不中断现有连接立即生效,可能中断现有连接
防火墙类型

动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略)

静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略)

firewalld 区域的概念:

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld 九大预定义区域:

public初始的默认区域
dmz非军事区域,可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口
work允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
home允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal默认值时与home区域相同
external许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
trusted接受所有传入的网络连接
block所有传入的网络连接都被拒绝,只允许传出的网络连接
drop丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接

firewalld 数据包处理原则

要激活某个区域,需要先将区域源地址网卡接口 关联绑定

(一个区域可以关联绑定多个源地址或网卡接口,一个源地址或网卡接口只能关联绑定一个区域)

firewalld检查数据包的源地址的规则:

先检查传入数据包的源地址

  1. 若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数据包
  2. 若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特定区域的规则过滤处理数据包
  3. 若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处理数据包

Firewalld防火墙的配置方法


运行时配置

实时生效,并持续至Firewalld重新启动或重新加载配置

不中断现有连接

不能修改服务配置

永久配置

不立即生效,除非Firewalld重新启动或重新加载配置

中断现有连接

可以修改服务配置

firewalld防火墙的配置方法:

  1. 使用firewall-cmd 命令行工具。
  2. 使用firewall-config 图形工具。
  3. 编写/etc/firewalld/中的配置文件。

systemctl start firewalld.service //启动防火墙

firewalld 命令行操作管理

firewall-cmd  --get-default-zone                       查看当前默认区域
                     --get-active-zones                       查看当前已激活的区域
                     --get-zones                                  查看所有可用的区域
                     --list-all-zones                              查看所有区域的规则
                     --list-all --zone=区域名                 查看指定区域的规则
                     --list-services --zone=区域名        查看指定区域允许访问的服务列表
                     --list-ports --zone=区域名              查看指定区域允许访问的端口列表
                     --get-zone-of-interface=网卡名     查看与网卡绑定的区域
                     --get-icmptypes                              查看所有icmp类型
                                          

[root@l1 zones]# firewall-cmd --get-default-zone   //查看当前默认区域
public
[root@l1 zones]# firewall-cmd --get-active-zones   // 查看当前已激活的区域
publicinterfaces: ens33
[root@l1 zones]# firewall-cmd --get-zones        //查看所有可用的区域
block dmz drop external home internal public trusted work
[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --list-all-zones  //查看所有区域的规则
blocktarget: %%REJECT%%icmp-block-inversion: nointerfaces: sources: services: ports: 
[root@l1 zones]# firewall-cmd --list-all --zone=home   //查看指定区域的规则
hometarget: defaulticmp-block-inversion: nointerfaces: sources: services: dhcpv6-client mdns samba-client sshports: protocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: [root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-services --zone=work  //查看指定区域允许访问的服务列表
dhcpv6-client ssh
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-ports --zone=public  /查看指定区域允许访问的端口列表[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --get-zone-of-interface=ens33  //查看与网卡绑定的区域
public
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --get-icmptypes  //查看所有icmp类型
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@l1 zones]# 

firewall-cmd --add-interface=网卡名 --zone=区域名            给指定区域添加绑定的网卡
                     --add-source=源地址 --zone=区域名               给指定区域添加源地址
                     --add-service=服务名 --zone=区域名               给指定区域添加允许访问的服务
                     --add-service={服务名1,服务名2,...} --zone=区域名      

                                                                                     给指定区域添加允许访问的服务列表
                     --add-port=端口/协议 --zone=区域名              给指定区域添加允许访问的端口
                     --add-port=端口1-端口2/协议 --zone=区域名     

                                                                          给指定区域添加允许访问的连续的端口列表
             --add-port={端口1,端口2,...}/协议 --zone=区域名         给指定区域添加允许访问的不连续的端口
             --add-icmp-block=icmp类型 --zone=区域名                 给指定区域添加拒绝访问的icmp类型

firewall-cmd --remove-service=服务名 --zone=区域名  
                     --remove-port=端口/协议 --zone=区域名
                     --remove-icmp-block=icmp类型 --zone=区域名
                     --remove-interface=网卡名 --zone=区域名       从指定区域里删除绑定的网卡
                     --remove-source=源地址 --zone=区域名          从指定区域里删除绑定的源地址

firewall-cmd --set-default-zone                            修改当前默认区域
                     --change-interface=网卡名 --zone=区域名       修改/添加网卡 绑定给指定区域
                     --change-source=源地址 --zone=区域名         修改/添加源地址 绑定给指定区域


运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)

firewall-cmd ....
firewall-cmd --runtime-to-permanent       将之前的运行时配置都转换成永久配置

永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)

firewall-cmd ....  --permanent
firewall-cmd --reload   或   systemctl restart firewalld

区域管理

firewall-cmd --get-default-zone      //显示当前系统中的默认区域

firewall-cmd --list-all                        // 显示默认区域的所有规则

firewall-cmd --get-active-zones      //显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --set-default-zone=home   //设置默认区域
firewall-cmd --get-default-zone

服务管理

firewall-cmd --list-service                              //查看默认区域内允许访问的所有服务

firewall-cmd --add-service=http --zone=public        //添加httpd 服务到public 区域

firewall-cmd --list-all --zone=public                       // 查看public 区域已配置规则

firewall-cmd --remove-service=http --zone=public         //删除public 区域的httpd 服务

  同时添加httpd、https 服务到默认区域,设置成永久生效 

firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http,https,ftp} --zone=internal
firewall-cmd --reload    
firewall-cmd --list-all        
#添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
 
firewall-cmd --runtime-to-permanent:        #将当前的运行时配置写入规则配置文件中,使之成为永久性配置

设置地址转换

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A POSTROUTING -s 源地址 -j SNAT --to-source 源地址转换地址                       //设置 SNAT

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A PREROUTING -d 目的地址 -p tcp --dport 目的端口 -j DNAT --to-destination 目的地址转换地址              //设置 DNAT

富规则
https://blog.51cto.com/u_3823536/2552274

这篇关于firewalld 防火墙的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1005874

相关文章

【linux 防火墙设置】3条命令关闭linux防火墙

检查防火墙是否开启 firewall-cmd --state runing是防火墙运行中 如果 not runing的话不用次步骤 防火墙配置 说明:防火墙中有一个配置文件,表示当Linux系统启动时防火墙应该如何操作!!! 需求: 告诉linux系统以后开机不需要启动防火墙 命令: systemctl disable firewalld.service 手动关闭防火墙 说明:

防火墙 会话表

先查找会话表项,然后再目的 NAT 转换,路由查找,包过滤规则,防火墙策略、应用层匹配规则,审计策略,最后查询源 NAT 从设备转发出去。 DPtech FW1000系列防火墙技术白皮书 - 技术白皮书 - 杭州迪普科技股份有限公司 防火墙通过会话表(Session Table)来跟踪和管理经过防火墙的所有连接会话。会话表项是防火墙用来记录每个连接状态的信息,帮助防火墙在后续的

防火墙三种模式(路由/透明/混合模式)不支持主备部署 P3

防火墙的三种部署模式(路由、透明、混合),哪种不支持主备部署 在防火墙的三种部署模式中,透明模式通常不可以支持主备部署,但在某些情况下,配置和实现可能比较复杂。具体是否支持主备部署,取决于防火墙的品牌和型号。 部署模式解释 路由模式: 防火墙作为三层设备,具有IP地址。支持主备部署,适用于大多数网络环境。 透明模式: 防火墙工作在二层,没有IP地址,像交换机一样转发流量。支持主备部署,

CentOS 6.5和CentOS7 防火墙关闭步骤

在关闭防火墙之前,首先要确定Linux环境下安装的系统版本。使用以下命令查看: CentOS6.5和CentOS7关闭防火墙步骤不同 centOS 6.5关闭防火墙步骤 关闭命令:  service iptables stop         永久关闭防火墙:chkconfig iptables off 两个命令同时运行,运行完成后查看防火墙关闭状态         service

Centos 开放端口 查看 防火墙 ping telnet

centos中安装telnet yum install telnet   1、开放端口 firewall-cmd --zone=public --add-port=5672/tcp --permanent   # 开放5672端口 firewall-cmd --zone=public --remove-port=5672/tcp --permanent  #关闭5672端口 fir

Linux运维--Firewall防火墙命令以及规则等详解(全)

Linux运维–Firewall防火墙命令以及规则等详解(全) 在Linux系统中,你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具,而iptables是一个更底层的工具,可以直接配置Linux内核的防火墙规则。 在RHEL 6.9及更早版本中,使用的是iptables作为防火墙管理工具,而在RHEL 7及更新版本中则使

Linux防火墙问题排查记录

问题描述 在业务当中,开通了防火墙,导致外部数据无法通过SFTP服务访问本机的服务,根据防火墙策略判断,应该是有一些IP没有被加进accept策略导致的,所以需要查看防火墙日志来追溯哪些IP被过滤掉了,只要放通这些IP,理论上就可以解决这个问题。 问题解决 防火墙添加日志、增加日志配置、重启防火墙 通过命令 systemctl status firewalld 查看防火墙状态,这是可以看到

Linux运维--iptables防火墙命令以及端口号等详解(全)

Linux之iptable防火墙命令以及端口号等详解(全) 在Linux系统中,你可以使用firewalld和iptables来管理和设置防火墙规则。Firewalld是一个动态管理防火墙的工具,而iptables是一个更底层的工具,可以直接配置Linux内核的防火墙规则。 在RHEL 6.9及更早版本中,使用的是iptables作为防火墙管理工具,而在RHEL 7及更新版本中则使用Fire

防火墙基本原理入门篇,小白一看就懂!

吉祥知识星球http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247485367&idx=1&sn=837891059c360ad60db7e9ac980a3321&chksm=c0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330&scene

Linux-firewall防火墙相关操作

查看防火墙状态 firewall-cmd --state systemctl status firewalld systemctl status firewalld.service 开启防火墙 systemctl start firewalld.service 重启防火墙 systemctl restart firewalld.service 关闭防火墙 system