你真的懂firewalld吗?不妨看看我的这篇文章

2024-05-28 23:04

本文主要是介绍你真的懂firewalld吗?不妨看看我的这篇文章,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、firewalld简介

firewalld防火墙是Linux系统上的一种动态防火墙管理工具,它是Red Hat公司开发的,并在许多Linux发行版中被采用。相对于传统的静态防火墙规则,firewalld使用动态的方式来管理防火墙规则,可以更加灵活地适应不同的网络环境和应用场景。

firewalld防火墙是Centos7系统默认自带的防火墙管理工具,取代了之前的iptables防火墙工具,它工作在网络层,主要功能是管理网络连接和防止未经授权的访问。它可以对入站和出站流量进行管理,可以控制端口、服务和网络协议的访问权限,也支持NAT和端口转发等高级功能,属于包过滤防火墙。

firewalld防火墙采用了D-Bus接口来与网络管理器和其他应用程序进行通信,这使得它可以更加灵活地适应不同的网络环境和应用场景。例如,当一个新的网络接口被添加到系统中时,firewalld可以接收到相关的通知,并自动更新防火墙规则以适应新的网络环境。

firewalld防火墙还提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。它支持IPv4、IPv6防火墙设置以及以太网桥(在某些高级服务可能会用到,比如云计算〉,并且拥有两种配置模式:运行时配置与永久配置。

二、firewalld与iptables之间的关系

firewalld和liptables都是用来管理防火墙的工具(属于用户态),它们都可以用来定义防火墙的各种规则功能,内部结构都指向netfiter网络过滤子系统(属于内核态),从而实现包过滤防火墙功能。

图片

(一)两者基于方式不同

1、iptables主要是基于接口来设置规则,从而实现网络的安全性。

2、firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。

(二)配置文件不同

1、iptables 将配置存储在/etc/sysconfig/iptables ;

2、firewalld将配置储存在/etc/firewalld,优先加载该配置文件,同时/usr/lib/firewalld中的各种xml文件是默认的配置文件。

(三)对防火墙规则修改不同

1、iptables对于规则的修改需要全部刷新策略,每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则。

2、firewalld对于规则的修改无需全部刷新策略,因为它不会再创建任何新的规则,仅仅运行规则中的不同之处。因此firewalld可以在运行时间内,改变设置而不丢失现行连接。

(四)防火墙类型不同

1、iptables防火墙类型为静态防火墙。可以理解为iptables的规则就是一张表,对表进行增删改查操作。

2、firewalld防火墙类型为动态防火墙。可以理解为firewalld的规则是一块区域,可以更换不同的区域进行增删改查操作。

(五)firewalld相对于iptables优势

1、firewalld可以动态修改单条规则,而iptables在修改了规则后必须得全部刷新才可以生效。

2、firewalld在使用上要比iptables更加人性化了,即使对于不明白防火墙的“四表五链”,对于TCP/IP协议也不熟悉的情况下,也可以实现大部分管理功能。

三、firewalld常见概念

(一)firewalld区域概念

firewalld防火墙为了简化方便管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

(二)firewalld预定义区域概念

1、区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。

2、可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。

3、默认情况下,public区域是默认区域,包含所有接口(网卡)。

最终一个区域的安全程度是取决于管理员在此区域中设置的规则。

值得注意:如果数据包的源地址与区域绑定,则此数据包不管从那个网卡传入都使用改区域的规则过滤数据包。如果数据包的源地址未与区域绑定,则此数据从哪个网卡传入则使用该网卡绑定的区域规则过滤数据包。

(三)常见区域及含义

1、信任区域trusted:允许所有的流量传人;

2、公共区域public:默认允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝,是新添加网络接口的默认区域。

3、外部区域external:默认允许与ssh预定义服务匹配的传入流量,其余均拒绝。默认将通过此区域转发的IPv4传出流量将进行地址伪装(MASQUERADE),可用于为路由器启用了伪装功能的外部网络。

4、家庭区域home:默认允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。

5、内部区域internal:默认值时与home区域功能相同。

6、工作区域work:允许与 ssh、dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。

7、隔离区域dmz也称为非军事区域:默认允许与ssh预定义服务匹配的传入流量,其余均拒绝。

8、限制区域block:拒绝所有传入流量。

9、丢弃区域drop:丢弃所有传入流量,并且不产生包含ICMP的错误响应。

值得注意:默认情况下的默认区域为public(默认与所有网卡绑定),要激活某个区域,就需要将区域与源地址网卡绑定。

四、firewalld数据包处理过程

(一)firewalld数据处理流程

firewalld对于进入系统的数据包,会根据数据包的源I地址或传入的网络接口等条件,将数据流量转入相应区域的防火靖规则。对于进入系统的数据包,首先捡查的就是其源地址。

(二)firewalld检查数据包的源地址的规则

1、若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。

2、若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突〉,则使用传入网络接口的区域并执行该区域所制定的规则。

3、若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。

针对以上数据包处理流程总结为:先检查传入数据包的源地址,若源地址与特定区域绑定,则使用该区域的规则过滤数据包。若源地址与特定区域没有绑定,且数据包传入网卡与特定区域绑定,则使用绑定网卡的区域的规则过滤数据包。若也没有区域绑定网卡,则使用默认区域的规则过滤数据包。

五、firewalld防火墙安装及其语法

firewalld在centos7中已经自带安装了,所以不需要我们再另外安装。至于其它发行版本的Linux系统,大家可以自行去了解相关Linux版本自带firewalld的情况,这里不展开,以下相关操作均在centos7下进行。

1、centos7下可以通过yum方式安装firewalld

yum install firewalld firewall-config

2、启动firewalld服务

systemctl start  firewalld

3、关闭firewalld服务

systemctl stop firewalld

4、将firewalld设置为开机自启动

systemctl enable firewalld

5、将firewalld禁用开机自启动

systemctl disable firewalld

6、查看firewalld工作状

systemctl status firewalld

firewall-cmd --state

(一)firewalld命令格式

1、命令格式

firewall-cmd [选项参数 ... ]

(1)选项参数

1)常见通用选项参数

-h, --help    # 显示帮助信息;-V, --version # 显示版本信息. (这个选项不能与其他选项组合);-q, --quiet   # 不打印状态消息;

2)常见状态选项参数​​​​​​​

--state                # 显示firewalld的状态;--reload               # 不中断服务的重新加载;--complete-reload      # 中断所有连接的重新加载;--runtime-to-permanent # 将当前防火墙的规则永久保存;--check-config         # 检查配置正确性;

3)日志选项参数

--get-log-denied         # 获取记录被拒绝的日志;--set-log-denied=<value> # 设置记录被拒绝的日志,只能为 'all','unicast','broadcast','multicast','off' 其中的一个;

(二)firewalld命令常见选项参数

可以通过firewall-cmd --help查看firewalld具体参数用法,以下罗列常见参数:

1、-h,--help:显示帮助信息;

2、-V,--version:显示版本信息;

3、-q,--quiet:不打印状态信息;

4、--state:显示firewalld的状态;

5、--reload:不中断服务的重新加载;

6、--complete-reload:中断所有连接的重新加载;

7、--runtime-to-permanent:将当前防火墙的规则永久保存;

8、--check-config: 检查配置正确性;

9、--get-default-zone:显示当前默认区域;

10、--set-default-zone=<zone>设置默认区域;

11、--get-active-zones:显示当前正在使用的区域及其对应的网卡接口

12、--get-zones :显示所有可用的区域;

13、--get-zone-of-interface=<interface>:显示指定接口绑定的区域;

14、--zone=<zone> --add-interface=<interface>:为指定接口绑定区域;

15、--zone=<zone> --change-interface=<interface>:为指定的区域更改绑定的网络接口;

16、--zone=<zone> --remove-interface=<interface>:为指定的区域删除绑定的网络接口;

17、--list-all-zones :显示所有区域及其规则;

18、[--zone=<zone>] --list-all :显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作;

19、[--zone=<zone>] --list-services :显示指定区域内允许访问的所有服务;

20、[--zone=<zone>] --add-service=<service> :为指定区域设置允许访问的某项服务;

21、[--zone=<zone>] --remove-service=<service> :删除指定区域已设置的允许访问的某项服务;

22、[--zone=<zone>] --list-ports :显示指定区域内允许访问的所有端口号;

23、为指定区域设置允许访问的某个/某段端口号(包括协议名);

[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>

24、删除指定区域已设置的允许访问的端口号(包括协议名);

[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>

25、[--zone=<zone>] --list-icmp-blocks:显示指定区域内拒绝访问的所有 ICMP 类型;

26、[--zone=<zone>] --add-icmp-block=<icmptype> :为指定区域设置拒绝访问的某项 ICMP 类型;

27、[--zone=<zone>] --remove-icmp-block=<icmptype> :删除指定区域已设置的拒绝访问的某项ICMP类型;

28、 --get-icmptypes :显示所有 ICMP 类型;

六、firewalld配置常用命令列举

以下罗列出平时运维工作常用的一些规则添加命令,方便大家参考学习。这里需要注意点;

firewalld可以通过两种方式控制端口的开放,一种是通过指定端口号,另一种是指定服务名。例如开放mysql服务就是开放了对应3306端口,但是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。

1、查看firewalld版本号信息

firewall-cmd --version

2、查看firewalld命令使用帮助信息

firewall-cmd --help

3、查看firewalld工作状态

firewall-cmd --state

4、查看firewalld区域信息

firewall-cmd --get-active-zones

5、查看指定接口所属区域

firewall-cmd --get-zone-of-interface=ens33

6、拒绝所有包

firewall-cmd --panic-on

7、查看是否拒绝

firewall-cmd --query-panic

8、取消拒绝状态

firewall-cmd --panic-off

9、将接口添加到区域,默认接口都在public

firewall-cmd --zone=public --add-interface=ens33

10、加入一个端口到指定区域

firewall-cmd --zone=dmz --add-port=8080/tcp

11、更新防火墙规则

firewall-cmd --complete-reload

12、设置默认接口区域,立即生效无需重启

firewall-cmd --set-default-zone=public

13、设置为家庭区域

firewall-cmd --set-default-zone=home

14、查看所有打开的端口

firewall-cmd --zone=dmz --list-ports

15、显示支持的区域列表

firewall-cmd --get-zones

16、查看显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --get-active-zones

17、设置当前区域的接口

firewall-cmd --get-zone-of-interface=ens33

18、显示所有公共区域(public)

firewall-cmd --zone=public --list-all

19、临时修改网络接口ens33为内部区域(internal);

firewall-cmd --zone=internal --change-interface=ens33

20、永久修改网络接口ens33为内部区域(internal)

firewall-cmd --permanent --zone=internal --change-interface=ens33

21、显示服务列表 

firewall-cmd --get-services

22、禁止ssh服务通过

firewall-cmd --delete-service=ssh

23、开放ssh服务通过

firewall-cmd --new-service=ssh

24、查看显示当前服务

firewall-cmd --list-services

25、添加http服务到内部区域(internal)

firewall-cmd --permanent --zone=internal --add-service=http

26、打开tcp的8090端口

firewall-cmd --enable ports=8090/tcp

27、临时允许Samba服务通过300秒

firewall-cmd --enable service=samba --timeout=300

28、打开8090/TCP端口

firewall-cmd --add-port=8090/tcp

29、永久打开8090/TCP端口

firewall-cmd --permanent --add-port=8090/tcp

30、开放mysql服务对应的端口

firewall-cmd --add-service=mysql

31、阻止mysql服务对应的端口

firewall-cmd --remove-service=mysql

32、开放通过tcp访问3306端口

firewall-cmd --add-port=3306/tcp

33、开放通过udp访问234端口

firewall-cmd --add-port=234/udp  

34、查看开放的端口

firewall-cmd --list-ports

35、阻止通过tcp访问3306端口

firewall-cmd --remove-port=3306/tcp

36、显示所有的icmp类型

 firewall-cmd --get-icmptypes

37、为指定区域设置拒绝访问的某项icmp 类型

firewall-cmd --add-icmp-block=echo-request

38、显示指定区域内拒绝访问的所有 icmp 类型

firewall-cmd --list-icmp-blocks

39、为指定区域设置拒绝访问的某项 icmp 类型

firewall-cmd --add-icmp-block=destination-unreachable

40、删除指定区域已设置的拒绝访问的某项icmp类型

 firewall-cmd --remove-icmp-block=destination-unreachable

41、检查是否允许伪装IP

firewall-cmd --query-masquerade

42、允许防火墙伪装IP

firewall-cmd --add-masquerade

43、禁止防火墙伪装IP

firewall-cmd --remove-masquerade

44、将8888端口的流量转发至80端口

firewall-cmd --add-forward-port=port=8888:proto=tcp:toport=80

45、将8888端口的流量转发至192.168.20.232的80端口

firewal-cmd --add-forward-port=port=8888: proto=tcp:toaddr=192.168.20.232:toport=80

46、将8888端口的流量转发至192.168.20.232

firewall-cmd --add-forward-port=port=8888:proto=tcp:toaddr=192.168.20.232

七、总结

大家都知道,防火墙规则众多并且繁杂,我们不可能罗列完它的每一条添加命令,更不可能死记硬背它的每一条规则。但是我们可以通过掌握其添加规则语法,用到时方便查阅添加即可。

这篇关于你真的懂firewalld吗?不妨看看我的这篇文章的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1011942

相关文章

为什么现在很多人愿意选择做债务重组?债重组真的就这么好吗?

债务重组,起初作为面向优质企业客户的定制化大额融资策略,以其高效周期著称,一个月便显成效。然而,随着时代的车轮滚滚向前,它已悄然转变为负债累累、深陷网贷泥潭者的救赎之道。在此路径下,个人可先借助专业机构暂代月供,经一段时间养护征信之后,转向银行获取低成本贷款,用以替换高昂网贷,实现利息减负与成本优化的双重目标。 尽管债务重组的代价不菲,远超传统贷款成本,但其吸引力依旧强劲,背后逻辑深刻。其一

写给大数据开发:你真的“慢“了吗?揭秘技术与职场的平衡艺术

你是否曾经在深夜里,面对着一个棘手的数据处理问题,感到无比沮丧?或者在一次重要的项目汇报中,突然语塞,无法清晰地表达你的技术方案?作为一名大数据开发者,这些场景可能再熟悉不过。但别担心,因为你并不孤单。让我们一起探讨如何在这个瞬息万变的行业中,既磨练技术利刃,又培养职场软实力。 目录 技术与时间的赛跑1. 长远视角的重要性2. 复利效应在技能学习中的应用 跨界思维:数据结构教我们的职场智

【数据结构】你真的学会了二叉树了吗,来做一做二叉树的算法题及选择题

文章目录 1. 二叉树算法题1.1 单值二叉树1.2 相同的树1.3 另一棵树的子树1.4 二叉树的遍历1.5 二叉树的构建及遍历 2. 二叉树选择题3. 结语 1. 二叉树算法题 1.1 单值二叉树 https://leetcode.cn/problems/univalued-binary-tree/description/ 1.2 相同的树 https://leet

每个游戏公司的领导都应该看看Supercell的“十年总结”

我知道,你一定会说,Supercell的案例太特殊了。手游出现以来,全世界就只有这么一个Supercell,它的经历、理念和公司架构这些文化,其他公司学不来,不管对中国公司还是海外公司,都没有什么实际借鉴意义。 但Supercell真的有这么“特殊”吗? 比如他们对于留存数据的看重,尤其是测试期留存的看重,和国内——和任何一家常规游戏公司看重留存的态度,都没有什么明显不同。 他们也会试着设立

全网第一份 | Flink学习面试灵魂40问,看看你能答上来几个?

《2021年最新版大数据面试题全面开启更新》 答案将在下期给出。   概念和基础篇   简单介绍一下Flink Flink相比传统的Spark Streaming有什么区别?和Spark中的structured streaming 相比呢?Flink相比ss和storm有什么优势? Flink的组件栈是怎么样的? Flink的基础编程模型了解吗?

193篇文章暴揍Flink,这个合集你需要关注一下

点击上方蓝色字体,选择“设为星标” 回复”资源“获取更多惊喜 前一段时间我写了一篇:《我们在学习Flink的时候,到底在学习什么?》。 基本上把大多数情况下Flink需要学习的点都照顾到了。 然后重点来了,我整理了一个合集放在了CSDN论坛,根据Flink版本发布过程和知识点,收录了网络上写的比较好的文章,基本覆盖了近100%的Flink的知识点。点击文末的【阅读原文】可以跳转,你有必要收藏一

挺好的一篇总结文(等有空时看看)

http://www.cocoachina.com/industry/20140609/8732.html 行走于Swift的世界中 发布于:2014-06-09 09:49阅读数:13127 Swift并不像我上一篇表达自己初步看法的文章里所说的那样,相对于objc来说有更好的学习曲线。Swift在漂亮的语法之后其实隐藏了很多细节和实现,而如果无法理解这些细节和实现,就很难

还不知道视频合并怎么弄?不妨试试这4个方法

记录生活,就像是在编织一本流动的日记,每一页都充满了色彩和声音。在这个过程中,视频成为了我们记录日常趣事的绝佳方式。 但问题来了,面对手机里零散的视频片段,我们该如何将它们合并,制作成一段流畅的生活Vlog呢? 别急,接下来,本文将为你揭晓“视频合并怎么制作”的秘诀,让你的生活Vlog更加生动有趣! 方法一:使用【剪辑魔法师】进行视频合并 ◆适用人群:适合希望快速拼接视频,又不想花太多

4所适合职场人读的海外在线硕士院校,真的靠谱!

不用参加硕士研究生统考、不用出国、线上上网课就能读全球排名前列院校的硕士研究生。 这让很多想自我提升,但是因为工作繁忙没时间准备国内硕士联考、也没时间出国留学,以及一些毕业多年,应试能力下降、多次联考不过的职场人士有些蠢蠢欲动。 但是这个领域实在过于陌生,很多同学不了解、也没有靠谱的了解渠道,看到各种世界排名靠前院校的海外硕士的招生信息,心动过后也只能继续观望。 不出国门、免考试,就能获取海

软考证书补贴动不动就好几万,真的能领到吗?

取得软考证书在许多地区都有补贴政策,从几千至二十几万元不等。有些考生会好奇这些补贴是真的能领到吗,为此,小希搜集了一些例子证明是可以领到的,供大家参考。 1、奖励名单里的软考证书         在一些地区公示的奖励名单里,奖励人员的职称类别是软考资格名称,职称取得时间是软考考试时间,证明确实是通过软考考试取得职称后申请的补贴。 ✅湖南省常德市         2024年6