区块链技术博客
www.b2bchain.cn

Firewalld防火墙基础

这篇文章主要介绍了Firewalld防火墙基础的讲解,通过具体代码实例进行24113 讲解,并且分析了Firewalld防火墙基础的详细步骤与相关技巧,需要的朋友可以参考下https://www.b2bchain.cn/?p=24113

本文实例讲述了2、树莓派设置连接WiFi,开启VNC等等的讲解。分享给大家供大家参考文章查询地址https://www.b2bchain.cn/7039.html。具体如下:

文章目录

  • 一、防火墙概述
    • 1.1、Firewalld
    • 1.2 Firewalld和iptables的关系
      • 1.2.1 netfilter
      • 1.2.2 Firewalld/iptables
    • 1.3 Firewalld和iptables的区别
  • 二 Firewalld
    • 2.1 Firewalld网络区域
    • 2.2 Firewalld数据处理流程
    • 2.3 Firewalld防火墙的配置方法
    • 2.4 Firewall-config图形工具
      • 2.4.1 应用解析
      • 2.4.2 “区域”选项卡
      • 2.4.3 “服务”选项卡
    • 2.5 Firewall区域分类
    • 2.6 /etc/firewalld/中的配置文件
  • 三 Firewall-cmd命令行工具
    • 3.1 用法示例
    • 3.2 设置服务或端口放行
    • 3.3 为网卡配置区域
    • 3.4 配置拒绝服务设置
    • 3.5 设置默认区域
    • 3.6 查看活动区域及端口

一、防火墙概述

1.1、Firewalld

·支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
·支持IPv4,IPv6防火墙设置以及以太网桥
·支持服务或应用程序直接添加防火墙规则接口
·拥有两种配置模式
运行时配置:临时命令在重启前有效,重启后清空
永久配置:配置命令只有在重启后才能生效 +(–permanent)

1.2 Firewalld和iptables的关系

1.2.1 netfilter

·位于Linux内核中的包过滤功能体系
·称为Linux防火墙的“内核态”

1.2.2 Firewalld/iptables

·CentOS7默认的管理防火墙规则的工具(Firewalld)
·称为Linux防火墙的“用户态”(面向用户)

1.3 Firewalld和iptables的区别

firewalld iptables
配置文件 /usr/lib/firewalld/etc/firewalld/ /etc/sysconfig/iptables
对规则的修改 不需要全部刷新策略,不丢失现行连接 需要全部刷新策略,丢失连接
防火墙类型 动态防火墙 静态防火墙

二 Firewalld

2.1 Firewalld网络区域

·区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
·可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口(网络接口—网卡)
·默认情况下,public区域是默认区域,包含所有接口(网卡)

2.2 Firewalld数据处理流程

检查数据来源的源地址
·.若源地址关联到特定的区域,则执行该区域所指定的规则
·.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
·若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
·外部流量效果:源地址是否关联
网卡的所属区域
·源地址关联(1)优先级大于网卡关联(2,3)优先级

2.3 Firewalld防火墙的配置方法

运行时配置
·实时生效,并持续至Firewalld重新启动或重新加载配置
·不中断现有连接
·不能修改服务配置(临时有效,重新加载失效)
永久配置
·不立刻生效,除非Firewalld重新启动或重新加载配置
·中断现有连接
·可以修改服务配置 (永久有效,前提是需要重新加载)

2.4 Firewall-config图形工具

2.4.1 应用解析

·运行时配置/永久配置
·重新加载防火墙
· 更改永久配置并生效
·关联网卡到指定区域
·修改默认区域
·连接状态

2.4.2 “区域”选项卡

·“服务”子选项卡(**的区域以粗体显示,存在网卡,地址)
·“端口”子选项卡(添加的协议,端口)
·“协议”子选项卡
·“源端口”子选项卡(开放端口范围)
·“伪装”子选项卡 (nat)
·“端口转发”子选项卡
·“ICMP过滤器”子选项卡

2.4.3 “服务”选项卡

· “模块”子选项卡
· “目标地址”子选项卡

2.5 Firewall区域分类

区域 作用
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复,仅能有发送出去的网络连接。
block(限制) 任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝。
pubic(公共) 在公共区域内使用,不能相信网络内的其它计算机不会对您的计算机造成危害,只能接收经过选取的连接。
external(外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其它计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
dmz(非军事区) 用于您的非军事区的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
work(工作) 用于工作区。您可以基本相信网络内的其它电脑不会危害您的电脑,仅仅接收经过选择的连接。
home(家庭) 用于家庭网络。您可以基本信任网络内的其它计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部) 用于内部网络。您可以基本信任网络内其它计算机不会威胁您的计算机。仅仅接收经过选择的连接
trusted(信任) 可接受所有的网络连接。

2.6 /etc/firewalld/中的配置文件

·Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/usr/lib/firewalld/中的配置
·/etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
·/usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置

三 Firewall-cmd命令行工具

3.1 用法示例

1.显示可以使用容易理解的名称表示的所有服务

[[email protected] ~]# ls /usr/lib/firewalld/services 

2.查看支持的所有服务名称

[[email protected] ~]# firewall-cmd --get-services 

3.查看所有区域

[[email protected] ~]# firewall-cmd --get-zones 

4.查看当前默认区域

[[email protected] ~]# firewall-cmd --get-default-zone 

5.查看当前指定网卡所处的区域

[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens33 

6.查看指定区域中有没有相关的服务开放
查看public(默认)区域中有没有ssh服务开启(yes/no)

[[email protected] ~]# firewall-cmd --zone=public --query-service=ssh [[email protected] ~]# firewall-cmd --zone=public --query-service=ftp [[email protected] ~]# firewall-cmd --zone=public --query-service=dns [[email protected] ~]# firewall-cmd --zone=public --query-service=dhcp 

7.查看当前区域开放的服务

[[email protected] ~]# firewall-cmd --list-services(不指定区域,默认与当前网卡区域一样默认区域) 

8.查看所有区域开放的服务

[[email protected] ~]# firewall-cmd --list-all-zones 

9.查看指定区域开放的服务
查看public(默认)区域开放的服务

[[email protected] ~]# firewall-cmd --list-services --zone=public [[email protected] ~]# firewall-cmd --list-services --zone=home [[email protected] ~]# firewall-cmd --list-services --zone=work [[email protected] ~]# firewall-cmd --list-services --zone=dmz 

10.查看指定区域开放的详细服务
查看public(默认)区域中开放的详细服务

[[email protected] ~]# firewall-cmd --list-all --zone=public [[email protected] ~]# firewall-cmd --list-all --zone=dmz 

11.防火墙重启(与–permanent配合使用)

[[email protected] ~]# firewall-cmd --reload 

3.2 设置服务或端口放行

1.区域增加http服务
第一种方法(添加服务)

[[email protected] ~]# yum -y install httpd [[email protected] ~]# echo "this is a tree." > /var/www/html/index.html [[email protected] ~]# systemctl start httpd [[email protected] ~]# firewall-cmd --list-all --zone=public 

2.在public(默认)区域开启http服务,永久配置

[[email protected] ~]# firewall-cmd --zone=public --add-service=http --permanent [[email protected] ~]# firewall-cmd --reload   防火墙重启 

3.查看public区域所有开放的服务

[[email protected] ~]# firewall-cmd --list-all --zone=public   

Firewalld防火墙基础

3.3 为网卡配置区域

1.为新的网卡配置区域

[[email protected] ~]# cd /etc/sysconfig/network-scripts/ [[email protected] network-scripts]# cp ifcfg-ens33 ifcfg-ens37 [[email protected] network-scripts]# vi ifcfg-ens37 [[email protected] network-scripts]# systemctl restart network [[email protected] network-scripts]# ifconfig  

2.查看网卡所在区域

[[email protected] ~]# firewall-cmd --get-zone-of-interface=ens37 [[email protected] ~]# firewall-cmd --list-all --zone=internal 

3.通过指定区域对应网卡

[[email protected] ~]# firewall-cmd --permanent --zone=external --change-interface=ens37 [[email protected] ~]# systemctl stop NetworkManager [[email protected] ~]# firewall-cmd --reload [[email protected] ~]# firewall-cmd --get-zone-of-interface=ens37 

3.4 配置拒绝服务设置

1.禁止访问public区域

[[email protected] ~]# firewall-cmd --zone=public --add-icmp-block=echo-request --permanent [[email protected] ~]# firewall-cmd --reload [[email protected] ~]# firewall-cmd --list-all --zone=public 

2.删除禁止访问区域public设置

[[email protected] ~]# firewall-cmd --zone=public --remove-icmp-block=echo-request --permanent [[email protected] ~]# firewall-cmd --reload [[email protected] ~]# firewall-cmd --list-all --zone=public 

3.指定主机禁止ssh登录访问区域

[[email protected] ~]# ssh [email protected] [[email protected] ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="20.0.0.11/32" service name="ssh" reject" [[email protected] ~]# firewall-cmd --reload [[email protected] ~]# firewall-cmd --list-all --zone=public [[email protected] ~]# ssh [email protected] 

3.5 设置默认区域

设置home区域为默认区域(无网卡,源地址配置,处于未**状态)

[[email protected] ~]# firewall-cmd --set-default-zone=home [[email protected] ~]# firewall-cmd --get-default-zone [[email protected] ~]# firewall-cmd --list-all --zone=home 

**区域状态为活动状态

[[email protected] ~]# firewall-cmd --zone=home --add-source=20.0.0.11/32 [[email protected] ~]# firewall-cmd --list-all --zone=home 

3.6 查看活动区域及端口

查看处于活动状态的区域

[[email protected] ~]# firewall-cmd --get-active-zones  

本文转自互联网,侵权联系删除Firewalld防火墙基础

赞(0) 打赏
部分文章转自网络,侵权联系删除b2bchain区块链学习技术社区 » Firewalld防火墙基础
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

b2b链

联系我们联系我们