Firewalld 防火墙配置

文章目录

  • Firewalld 防火墙配置
    • 1. Firewalld 概述
    • 2. 区域名称及策略规则
    • 3. Firewalld 配置方法
    • 4. Firewalld 参数和命令
    • 5. Firewalld 两种模式
    • 6. Firewalld 使用

Firewalld 防火墙配置

1. Firewalld 概述

firewalld 是一个动态防火墙管理器,作为 Systemd 管理的防火墙前端工具,它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。

在传统的 iptables 防火墙中,管理员需要手动配置防火墙规则,并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态,特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。

firewalld 使用基于 “区域”(Zone) 的概念来管理防火墙策略。每个区域都对应一组特定的规则,用于定义该区域内允许和禁止的网络访问。

firewalld 还可以动态更新防火墙规则,而无需重启防火墙服务。这意味着管理员可以在运行时添加、删除或修改规则,使网络访问控制更加灵活和实时。此外,firewalld 还支持连接跟踪,可以自动管理由于网络连接状态的变化而需要调整的规则。

除了基本的端口过滤、包转发和网络地址转换等功能外,firewalld 还提供了高级功能,如源地址验证、负载均衡、IPset、Rich Rules 等。管理员可以使用这些功能来创建更复杂、更精细的防火墙策略。

注意:firewalld不要与iptables混用,如果要使用firewalld就将iptables规则清空。

2. 区域名称及策略规则

firewalld九个区域

  • trusted(信任区域):允许所有的数据包

  • home(家庭区域):拒绝流入的流量,除非与流出的流量相关,而如果是与ssh,mdns,ipp-client,amba-client与dhcp-client服务相关流量,则是允许通过。

  • internal(内部区域):默认值时与homel区域相同。

  • work(工作区域):拒绝流入的流量,除非与流出的流量相关,而如果是与ssh,ipp-client与dhcpv6-client服务相关流量,则是允许通过。

  • public(公共区域):拒绝流入的流量,除非与流出的流量相关;而如果是与ssh或dhcpv6-client服务相关流量,则允许通过。

  • external(外部区域):拒绝流入的流量,除非与流出的流量相关;而如果与ssh服务相关流量,则允许通过。

  • dmz(隔离区域也称为非军事区域):拒绝流入的流量,除非与流出的流量相关;而如果与ssh服务相关流量,则允许通过。

  • block(限制区域):拒绝流入的流量,除非与流出的流量相关。

  • drop(丢弃区域):拒绝流入的流量,除非与流出的流量相关。

3. Firewalld 配置方法

使用Firewalld命令行工具

firewalld-cmd

使用Firewalld图形工具

firewalld-config

4. Firewalld 参数和命令

参数作用
-get-default-zone查询默认区域
-set-default-zone=区域名称设置默认区域,使其永久生效
–get-zones显示可用的区域
–get-active-zones显示当前正在使用的区域以及网卡的名称
–add-source=ip将源自此的IP或子网的流量导向指定的区域
–remove-source=ip不再将源自此的IP或子网的流量导向指定的区域
–add-interface=网卡名称将源自此的网卡的流量导向指定的区域
–change-interface=网卡名称将某个网卡与区域进行关联
–list-all显示当前区域的网卡配置参数,资源,端口及服务信息
–list-all-zones显示所有区域的网卡配置参数,资源,端口及服务信息
–add-service=服务名称设置默认区域允许该服务的流量
–add-port=端口协议设置默认区域允许该端口的流量
–remove-service=服务名称不再设置默认区域允许该服务的流量
–remove-port=端口协议不再设置默认区域允许该端口的流量
–reload让永久生效的配置规则立即生效,并覆盖当前的配置规则
–panic-on开启应急模式
–panic-off关闭应急模式
–query-masquerade检查是否允许伪装IP
–add-masquerade允许防火墙伪装IP
–remove-masquerade禁止防火墙伪装IPs

5. Firewalld 两种模式

运行时模式 Runtime

  • 配置后立即生效,重启后失效

永久生效模式 permanent

  • 当前不生效,重启后生效

6. Firewalld 使用

查看当前使用的区域

firewall-cmd --get-default-zone

image-20230910180729382

显示可用的区域

firewall-cmd --get-zones

image-20230910180818592

显示当前正在使用的区域以及网卡的名称

firewall-cmd --get-active-zones

image-20230910181942660

查看指定网卡所在的区域

firewall-cmd --get-zone-of-interface=ens224

image-20230910185100966

显示当前区域的网卡配置参数,资源,端口及服务信息

firewall-cmd --list-all

image-20230910182723070

显示所有区域的网卡配置参数,资源,端口及服务信息

firewall-cmd --list-all-zones

image-20230910182817082

修改当前网卡所在的区域,并永久生效

firewall-cmd --permanent --zone=external --change-interface=ens224

image-20230910192906185

重启服务器,查看网卡所在区域

firewall-cmd --get-zone-of-interface=ens224

image-20230910192959119

开启应急模式

firewall-cmd --panic-on

image-20230910193645411

开启后ssh服务就无法使用了,因为应急模式拦截一切流量。

关闭应急模式

firewall-cmd --panic-off

image-20230910193943460

关闭后SSH即可正常连接

image-20230910194011817

因为我们现在的处于public区域,所以SSH的流量可以进入。

image-20230910194414184

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/215647.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【docker】常用命令

启动docker服务 systemctl start docker 停止docker服务 systemctl stop docker 重启docker服务 systemctl restart docker 查看docker服务状态 systemctl status docker 设置开机启动docker服务 systemctl enable docker 设置关闭开机启动docker服务 systemctl disable …

数据在内存中的存储(浮点型篇)

1.例子:5.5:内存存储为101.1,十分位百分位依次为2的-1次方,2的-2次方,而使用科学计数法可以改写为1.011*2的2次方 2.国际标准公式:-1的D次方*M*2的E次方,x1负0正 3.M在存储时默认整数部分为1&…

使用Spring Boot和领域驱动设计实现模块化整体

用模块化整体架构编写的代码实际上是什么样的?借助 Spring Boot 和 DDD,我们踏上了编写可维护和可演化代码的旅程。 当谈论模块化整体代码时,我们的目标是以下几点: 应用程序被组织成模块。每个模块解决业务问题的不同部分。模块…

springcloud微服务篇--1.认识微服务

一、服务架构演变。 单体架构: 将业务的所有功能集中在一个项目中开发,打成一个包部署。 优点:架构简单 ,部署成本低。 缺点:耦合度高 分布式架构 根据业务功能对系统进行拆分,每个业务模块作为独立项…

[idea]idea连接clickhouse23.6.2.18

一、安装驱动 直接在pom.xml加上那个lz4也是必要的不然会报错 <dependency><groupId>com.clickhouse</groupId><artifactId>clickhouse-jdbc</artifactId><version>0.4.2</version></dependency><dependency><group…

歌唱比赛计分 (8 分)设有10名歌手(编号为1-10)参加歌咏比赛

未采用结构体的解法&#xff0c;通过二维数组解题 #include <stdio.h> void rank(int arr[10][6] ) { int str[4] { 0 }; int a1[6] { 0 }; int k 0; int i 0; int z 0; int j 0; int temp 0; double s1[10][2] { 0 }; dou…

(1)mysql容器化部署

mysql容器化部署&#xff1a; 数据持久化&#xff08;方便数据保存及迁移&#xff09;: 需要持久化两个目录: 创建/mysql (1)mysql配置文件: /mysql/mysql-cnf/my.cnf vim my.cnf [mysqld] pid-file /var/run/mysqld/mysqld.pid socket /var/run/mysqld/…

【51单片机系列】使用74HC595控制数码管显示

使用74HC595结合数码管显示字符。 proteus仿真设计如下&#xff0c;74HC595的输出端连接到动态数码管的位选和静态数码管的段选&#xff0c;动态数码管的段选连接到P0口。这两个数码管都是共阴极的。 静态数码管显示字符0-F&#xff0c;软件设计如下&#xff1a; /*实现功能&a…

Java:SpringBoot获取当前运行的环境activeProfile

代码示例 /*** 启动监听器*/ Component public class AppListener implements ApplicationListener<ApplicationReadyEvent> {Overridepublic void onApplicationEvent(ApplicationReadyEvent event) {// 获取当前的环境&#xff0c;如果是test&#xff0c;则直接返回Co…

redis实际应用实现合集

一、redis实现抢红包的功能&#xff08;set 数据结构&#xff09; 分两种情况&#xff1a; 情况一: 从10个观众中随机抽2名幸运观众 首先需要把10个观众的id&#xff08;具体是什么id可以根据实际业务情况自己定义&#xff09;放到redis 的 set 集合里 然后随机抽取2名幸运…

【hcie-cloud】【8】华为云Stack_LLD设计【部署设计、资源设计、服务设计、学习推荐、缩略语】【下】

设计概览、整体架构设计、网络设计 看下面-这篇文章 【hcie-cloud】【7】华为云Stack_LLD设计【设计概览、整体架构设计、网络设计、部署设计、资源设计、服务设计】【上】 部署设计 云平台整体部署架构 图中在Region下每个灰底都代表一个数据中心&#xff0c;AZ1可以跨数据…

yarn系统架构与安装

1.1 YARN系统架构 YARN的基本思想是将资源管理和作业调度/监视功能划分为单独的守护进程。其思想是拥有一个全局ResourceManager (RM)&#xff0c;以及每个应用程序拥有一个ApplicationMaster (AM)。应用程序可以是单个作业&#xff0c;也可以是一组作业。 一个ResourceManage…

ai智能机器人外呼系统怎么操作?

什么是ai智能机器人外呼&#xff1f;ai智能机器人外呼怎么操作&#xff1f;当下&#xff0c;很多企业主已经认识到&#xff0c;AI外呼是一种高效的拉新引流手段。但具体到实际应用中&#xff0c;实现的效果好像并没有那么理想。从企业外呼的结果来看&#xff0c;接通率是可以达…

【信息安全】-ISO/IEC 27001-2022(翻译)

文章目录 范围规范性引用文件3 术语和定义4 组织环境&#xff08;P&#xff09;4.1 理解组织及其环境4.2 理解相关方的需求和期望组织应确定:a) 信息安全管理体系相关方;b) 这些相关方的相关要求;c) 哪些要求可以通过信息安全管理体系得到解决。注:相关方的要求可包括法律、法规…

Ceph入门到精通-ceph二次开发开源协议考虑

Ceph 是一个开源的分布式存储系统&#xff0c;它由多个组件组成&#xff0c;包括分布式对象存储&#xff08;RADOS&#xff09;、分布式块存储&#xff08;RBD&#xff09;和分布式文件系统&#xff08;CephFS&#xff09;等。Ceph 采用了 GNU Lesser General Public License&a…

kuboard如何部署nacos?

​ kuboard如何部署nacos&#xff1f; 这个快速开始手册是帮忙您快速在您的电脑上&#xff0c;下载、安装并使用 Nacos。 项目包含一个可构建的Nacos Docker Image&#xff0c;旨在利用StatefulSets在Kubernetes上部署Nacos。 在高级使用中,Nacos在K8S拥有自动扩容缩容和数据…

“华为杯”研究生数学建模竞赛2019年-【华为杯】B题:天文导航中的星图识别

目录 摘 要: 一、问题重述 二、模型假设 三、符号说明 四、问题分析

nginx 前端服务调用后端服务报426

nginx 前端服务调用后端服务报426 在配置文件中加上一句配置 2&#xff1a;外挂出来

三(三)ts非基础类型(接口)

说明 在面向对象语言中&#xff0c;接口是一个很重要的概念&#xff0c;它是对行为的抽象&#xff0c;而具体如何行动需要由类去实现。 TypeScript 中的接口是一个非常灵活的概念&#xff0c;除了可用于对类的一部分行为进行抽象以外&#xff0c;也常用于对「对象的形状&…

屏幕分辨率修改工具SwitchResX mac功能特点

SwitchResX mac是可用于修改和管理显示器的分辨率和刷新率。 SwitchResX mac功能和特点 支持多种分辨率和刷新率&#xff1a;SwitchResX可以添加和管理多种分辨率和刷新率&#xff0c;包括自定义分辨率和刷新率。 自动切换分辨率&#xff1a;SwitchResX可以根据应用程序和窗口…