firewalld 防火墙

firewalld概述

  • Linux系统防火墙
  • 从CentOS7开始的默认防火墙
  • 工作在网络层,属于包过滤防火墙

Firewalld和iptables的关系

netfilter       

  • 位于Linux内核中的包过滤功能体系
  • 称为Linux防火墙的“内核态”

firewalld

  •  Centos默认的管理防火墙规则的工具
  • 称为防火墙的“用户态”

[root@l1 ~]# cd /etc/firewalld/
[root@l1 firewalld]# 
[root@l1 firewalld]# pwd
/etc/firewalld
[root@l1 firewalld]# ls
firewalld.conf  helpers  icmptypes  ipsets  lockdown-whitelist.xml  services  zones
[root@l1 firewalld]# 

[root@l1 firewalld]# cd zones/
[root@l1 zones]# ls        //包含当前区域所使用的配置文件
public.xml  public.xml.old
[root@l1 zones]#
[root@l1 zones]# vim public.xml
[root@l1 zones]# 

 

Firewalld和iptables的区别

firewalldiptables
是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似主要是基于接口,来设置规则,从而判断网络的安全性
配置文件

/etc/firewalld/      

优先加载,保存用户自定义的配置(优先加载)

/usr/lib/firewalld/  

默认的初始配置(默认的配置文件)

/etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不中断现有连接立即生效,可能中断现有连接
防火墙类型

动态防火墙(在不同区域设置不同规则,可通过更换区域来更改防护策略)

静态防火墙(所有规则都是配置在表的链里,只能通过修改规则来更改防护策略)

firewalld 区域的概念:

firewalld防火墙为了简化管理,将所有网络流量分为多个区域(zone)。然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域。每个区域都定义了自己打开或者关闭的端口和服务列表。

firewalld 九大预定义区域:

public初始的默认区域
dmz非军事区域,可实现网络隔离,提供对LAN的有限访问,并且只允许指定的传入端口
work允许与 ssh、dhcpv6-client 预定义服务匹配的传入流量,其余均拒绝
home允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝
internal默认值时与home区域相同
external许与 ssh 预定义服务匹配的传入流量,其余均拒绝。 默认将通过此区域转发的IPv4传出流量将进行地址伪装,可用于为路由器启用了伪装功能的外部网络
trusted接受所有传入的网络连接
block所有传入的网络连接都被拒绝,只允许传出的网络连接
drop丢弃所有传入的网络连接,并不返回任何应答消息,只允许传出的网络连接

firewalld 数据包处理原则

要激活某个区域,需要先将区域源地址网卡接口 关联绑定

(一个区域可以关联绑定多个源地址或网卡接口,一个源地址或网卡接口只能关联绑定一个区域)

firewalld检查数据包的源地址的规则:

先检查传入数据包的源地址

  1. 若源地址与特定区域绑定,则直接使用该区域的规则过滤处理数据包
  2. 若源地址与任何一个区域没有绑定,则使用与入站网卡绑定的特定区域的规则过滤处理数据包
  3. 若也没有特定区域绑定网卡接口,则使用默认区域的规则过滤处理数据包

Firewalld防火墙的配置方法


运行时配置

实时生效,并持续至Firewalld重新启动或重新加载配置

不中断现有连接

不能修改服务配置

永久配置

不立即生效,除非Firewalld重新启动或重新加载配置

中断现有连接

可以修改服务配置

firewalld防火墙的配置方法:

  1. 使用firewall-cmd 命令行工具。
  2. 使用firewall-config 图形工具。
  3. 编写/etc/firewalld/中的配置文件。

systemctl start firewalld.service //启动防火墙

firewalld 命令行操作管理

firewall-cmd  --get-default-zone                       查看当前默认区域
                     --get-active-zones                       查看当前已激活的区域
                     --get-zones                                  查看所有可用的区域
                     --list-all-zones                              查看所有区域的规则
                     --list-all --zone=区域名                 查看指定区域的规则
                     --list-services --zone=区域名        查看指定区域允许访问的服务列表
                     --list-ports --zone=区域名              查看指定区域允许访问的端口列表
                     --get-zone-of-interface=网卡名     查看与网卡绑定的区域
                     --get-icmptypes                              查看所有icmp类型
                                          

[root@l1 zones]# firewall-cmd --get-default-zone   //查看当前默认区域
public
[root@l1 zones]# firewall-cmd --get-active-zones   // 查看当前已激活的区域
publicinterfaces: ens33
[root@l1 zones]# firewall-cmd --get-zones        //查看所有可用的区域
block dmz drop external home internal public trusted work
[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --list-all-zones  //查看所有区域的规则
blocktarget: %%REJECT%%icmp-block-inversion: nointerfaces: sources: services: ports: 
[root@l1 zones]# firewall-cmd --list-all --zone=home   //查看指定区域的规则
hometarget: defaulticmp-block-inversion: nointerfaces: sources: services: dhcpv6-client mdns samba-client sshports: protocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: [root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-services --zone=work  //查看指定区域允许访问的服务列表
dhcpv6-client ssh
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --list-ports --zone=public  /查看指定区域允许访问的端口列表[root@l1 zones]# 

[root@l1 zones]# firewall-cmd --get-zone-of-interface=ens33  //查看与网卡绑定的区域
public
[root@l1 zones]# 
[root@l1 zones]# firewall-cmd --get-icmptypes  //查看所有icmp类型
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@l1 zones]# 

firewall-cmd --add-interface=网卡名 --zone=区域名            给指定区域添加绑定的网卡
                     --add-source=源地址 --zone=区域名               给指定区域添加源地址
                     --add-service=服务名 --zone=区域名               给指定区域添加允许访问的服务
                     --add-service={服务名1,服务名2,...} --zone=区域名      

                                                                                     给指定区域添加允许访问的服务列表
                     --add-port=端口/协议 --zone=区域名              给指定区域添加允许访问的端口
                     --add-port=端口1-端口2/协议 --zone=区域名     

                                                                          给指定区域添加允许访问的连续的端口列表
             --add-port={端口1,端口2,...}/协议 --zone=区域名         给指定区域添加允许访问的不连续的端口
             --add-icmp-block=icmp类型 --zone=区域名                 给指定区域添加拒绝访问的icmp类型

firewall-cmd --remove-service=服务名 --zone=区域名  
                     --remove-port=端口/协议 --zone=区域名
                     --remove-icmp-block=icmp类型 --zone=区域名
                     --remove-interface=网卡名 --zone=区域名       从指定区域里删除绑定的网卡
                     --remove-source=源地址 --zone=区域名          从指定区域里删除绑定的源地址

firewall-cmd --set-default-zone                            修改当前默认区域
                     --change-interface=网卡名 --zone=区域名       修改/添加网卡 绑定给指定区域
                     --change-source=源地址 --zone=区域名         修改/添加源地址 绑定给指定区域


运行时配置(会立即生效,但firewalld服务重启或重载配置后即失效)

firewall-cmd ....
firewall-cmd --runtime-to-permanent       将之前的运行时配置都转换成永久配置

永久配置(不会立即生效,需要重新加载配置或重启firewalld服务)

firewall-cmd ....  --permanent
firewall-cmd --reload   或   systemctl restart firewalld

区域管理

firewall-cmd --get-default-zone      //显示当前系统中的默认区域

firewall-cmd --list-all                        // 显示默认区域的所有规则

firewall-cmd --get-active-zones      //显示当前正在使用的区域及其对应的网卡接口

firewall-cmd --set-default-zone=home   //设置默认区域
firewall-cmd --get-default-zone

服务管理

firewall-cmd --list-service                              //查看默认区域内允许访问的所有服务

firewall-cmd --add-service=http --zone=public        //添加httpd 服务到public 区域

firewall-cmd --list-all --zone=public                       // 查看public 区域已配置规则

firewall-cmd --remove-service=http --zone=public         //删除public 区域的httpd 服务

  同时添加httpd、https 服务到默认区域,设置成永久生效 

firewall-cmd --add-service=http --add-service=https --permanent
firewall-cmd --add-service={http,https,ftp} --zone=internal
firewall-cmd --reload    
firewall-cmd --list-all        
#添加使用 --permanent选项表示设置成永久生效,需要重新启动firewalld服务或执行firewall-cmd --reload命令 重新加载防火墙规则时才会生效。若不带有此选项,表示用于设置运行时规则,但是这些规则在系统或firewalld服务重启、停止时配置将失效。
 
firewall-cmd --runtime-to-permanent:        #将当前的运行时配置写入规则配置文件中,使之成为永久性配置

设置地址转换

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A POSTROUTING -s 源地址 -j SNAT --to-source 源地址转换地址                       //设置 SNAT

firewall-cmd --zone=区域 --direct --passthrough ipv4 -t nat -A PREROUTING -d 目的地址 -p tcp --dport 目的端口 -j DNAT --to-destination 目的地址转换地址              //设置 DNAT

富规则
https://blog.51cto.com/u_3823536/2552274

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/16132.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Gradient-checkpointing的原理

原文: 将更大的网络安装到内存中。|by 雅罗斯拉夫布拉托夫 |张量流 |中等 (medium.com) 前向传播时,隔几层就保留一层activation数据,其余层的activation都释放掉; 反向传播时,从最近的checkpoint去重新跑forward&…

React 如何自定义 Hooks

自定义 Hooks React 内部自带了很多 Hooks 例如 useState、useEffect 等等,那么我们为什么还要自定义 Hooks?使用 Hooks 的好处之一就是重用,可以将代码从组件中抽离出来定义为 Hooks,而不用每个组件中重复去写相同的代码。首先是…

Ps:消失点滤镜 - 测量工具

Ps菜单:滤镜/消失点 Filter/Vanishing Point 快捷键:Ctrl Alt V “消失点”滤镜中的测量工具 Measure Tool用于在透视平面内测量图像中对象的大小,适用于建筑师、设计师、法医和木工等需要精确测量的用户。 快捷键:R ◆ ◆ ◆…

基于springboot+vue的4S店车辆管理系统

开发语言:Java框架:springbootJDK版本:JDK1.8服务器:tomcat7数据库:mysql 5.7(一定要5.7版本)数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:…

CMS Full GC流程以及调优配置

个人博客 CMS Full GC流程以及调优配置 | iwts’s blog CMS CMS 收集器是以实现最短 STW 时间为目标的收集器,所以对于偏业务的后台开发而言,基本上都无脑选CMS了。 多线程收集器,工作在老年代,采用标记清除算法。比较特殊&am…

React开发必须掌握这些es6语法-03

箭头函数 其实就是java的lamda编程,它的特点是单向无环流,没有变量,源数据状态不能被改变。 基本语法 ()> {} //表示一个空函数,和function(){}功能一样,如果只有一行语句则,{}可省略 lef fn arg &g…

【QNX】Qnx IPC通信 Message-passing

Qnx IPC通信 Message-passing Message-passing介绍 QNX提供了多种IPC(Interprocess Communication )通信方式,包括Message-passing、Plus(脉冲)、Event、Signal、共享内存、Pipe,当然还有socket。 Message-passing是Qnx IPC的主…

机器学习 - 特征预处理 - 分箱

分箱(Binning)是一种数据预处理技术,将连续变量分割成离散的组别或区间,有助于减少数据的噪音,提高模型的稳定性。以下是五种常见的分箱方法及其详细介绍: 1. 卡方分箱(Chi-square Binning&…

【数据结构与算法 经典例题】判断链表是否带环

💓 博客主页:倔强的石头的CSDN主页 📝Gitee主页:倔强的石头的gitee主页 ⏩ 文章专栏:数据结构与算法刷题系列(C语言) 期待您的关注 目录

渗透测试框架之CobaltStrike,Metasploit域名上线隐藏IP

概述 为什么要隐藏IP 在拿下了目标机之后,目标机在内网里面,使用msf或者CS时,用自己的VPS做服务器的话,导致很容易被溯源。 域名上线原理 当我们访问域名时会经过域名解析 域名解析就是域名到IP地址的转换过程,那么…

头歌传送指令第1关:传送指令 mov

编程要求 根据下方的所给的汇编代码,在右侧编辑器的代码文件的 Begin - End 区域内补充 C 语言代码。 mov %esp,%ebpand $0xfffffff0,%espsub $0x20,%espmovl $0xa,0x18(%esp)mov 0x18(%esp),%eaxmov %eax,0x1c(%esp)mov 0x1c(%esp),%eaxmov %eax,0x8(%esp)mov 0x18…

dubbo复习:(9)配置中心的大坑,并不能像spring cloud那样直接从配置中心读取自定义的配置

配置中心只是为 Dubbo 配置提供管理使用的(比如配置服务超时时间等)。不要尝试通过Value类似的方式从dubbo 配置中心(比如nacos、zookeeper、Apollo)来获取数据 https://github.com/apache/dubbo/issues/11200可以在application.yml中主要写注册中心的配置&#xf…

【深度学习基础】NumPy数组库的使用

目录 写在开头 一、数组的类型与维度 数组的类型 数组的维度 二、数组的创建 递增数组 同值数组 随机数数组 三、数组的索引 访问/修改单个元素 花式索引 数组的切片 四、数组的变形 数组的转置 数组的翻转 数组的形状改变 数组的拼接 五、数组的运算 数…

Linux系统启动原理

Linux系统启动原理及故障排除 Centos6系统启动过程 修改系统启动级别 vim /etc/inittabCentos7启动流程 加载BIOS信息,进行硬件检测 根据BIOS设定读取设备中的MBR,加载Boot loader 加载内核,内核初始化以后以模块的形式动态加载硬件 并且加…

FFmpeg的流程

文章目录 前序代码结构FFmpeg.cffmpeg_opt.c 小结 前序 之前看过FFmpeg的各种命令,然后不是很理解。相信很多人都不是很理解,毕竟,单纯的去记住那些命令行本身就需要很大的内存,我们的大脑内存又有限,所以&#xff0c…

java “错误:编码GBK 的不可映射字符”

环境:JDK-17 本机编码:utf-8 代码编码:GBK 错误:java “错误:编码GBK 的不可映射字符” 解决1:记事本打开java源文件,另存为选择ANSI编码 解决2:复制代码再将编码格式改为utf-8,…

内网环境基础

什么是内网渗透? 在得到webshell后下一步渗透就是内网渗透 内网渗透就是拿到企业或者公司的内网权限,然后从内网得到最有价值的战果。 内网渗透和外网渗透有啥区别? 内网渗透:比如公司内部局域网 或者酒店内部局域网等。从内部寻找安全问题 外网渗…

错题本之<数据结构>

已知指针 p 指向单向不循环链表中的某一个节点,且不知道头结点。 问:如何删除 p 指向的节点? 答: 如果 p 指向的不是最后一个节点 定义一个指针 q 保存 p->next; 然后将 q 的数据域和指针域都覆盖到 p 指向的节点中 最后释放 …

java欢迪迈手机商城设计与实现源码(springboot+vue+mysql)

风定落花生,歌声逐流水,大家好我是风歌,混迹在java圈的辛苦码农。今天要和大家聊的是一款基于springboot的欢迪迈手机商城设计与实现。项目源码以及部署相关请联系风歌,文末附上联系信息 。 项目简介: 欢迪迈手机商城…