• Centos7 防火墙 firewalld 实用操作


    一.前言

    Centos7以上的发行版都试自带了firewalld防火墙的,firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的,而firewalld则是交由内核层面的nftables包过滤框架来处理。 相较于iptables防火墙而言,firewalld支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。

    区域对于 firewalld 来说是一大特色,但是对于我们使用Centos7一般是在服务器上,需要切换zone的需求比较少,所以本文不做介绍了,网上资料也比较多,大家可以去百度找找资料。

    二.操作与配置

    1.服务操作

    启动服务:

    systemctl start firewalld

    这里不用担心启用了防火墙以后无法通过ssh远程,22端口默认加入了允许规则

    停止服务:

    systemctl stop firewalld

    重启服务:

    systemctl restart firewalld

    查看服务状态:

    systemctl status firewalld

    2.配置文件说明

    firewalld 存放配置文件有两个目录,/usr/lib/firewalld 和 /etc/firewalld,前者存放了一些默认的文件,后者主要是存放用户自定义的数据,所以我们添加的service或者rule都在后者下面进行。

    server 文件夹存储服务数据,就是一组定义好的规则。

    zones 存储区域规则

    firewalld.conf 默认配置文件,可以设置默认使用的区域,默认区域为 public,对应 zones目录下的 public.xml

    三.命令

    这里需要首先说明的是,在执行命令时,如果没有带 --permanent 参数表示配置立即生效,但是不会对该配置进行存储,相当于重启服务器就会丢失。如果带上则会将配置存储到配置文件,,但是这种仅仅是将配置存储到文件,却并不会实时生效,需要执行 firewall-cmd --reload 命令重载配置才会生效。

    1.重载防火墙配置

    firewall-cmd --reload

    2.查看防火墙运行状态

    firewall-cmd --state

    2、获取活动的区域

    firewall-cmd --get-active-zones

    3、 获取所有支持的服务

    firewall-cmd --get-service

    3.查看默认区域的设置

    firewall-cmd --list-all

    4.应急命令

    1. firewall-cmd --panic-on # 拒绝所有流量,远程连接会立即断开,只有本地能登陆
    2. firewall-cmd --panic-off # 取消应急模式,但需要重启firewalld后才可以远程ssh
    3. firewall-cmd --query-panic # 查看是否为应急模式

    5.服务

    1. firewall-cmd --add-service=<service name> #添加服务
    2. firewall-cmd --remove-service=<service name> #移除服务

    6.端口

    1. firewall-cmd --add-port=<port>/<protocol> #添加端口/协议(TCP/UDP)
    2. firewall-cmd --remove-port=<port>/<protocol> #移除端口/协议(TCP/UDP)
    3. firewall-cmd --list-ports #查看开放的端口

    7.协议

    1. firewall-cmd --add-protocol=<protocol> # 允许协议 (例:icmp,即允许ping)
    2. firewall-cmd --remove-protocol=<protocol> # 取消协议
    3. firewall-cmd --list-protocols # 查看允许的协议

    6、启用某个服务/端口

    firewall-cmd --zone=public --add-service=https #临时

    firewall-cmd --permanent --zone=public --add-service=https #永久

    firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp #永久

    firewall-cmd --zone=public --add-port=8080-8081/tcp #临时

    如果是要删除,直接修改成remove-service或者remove-port

    8.允许指定ip的所有流量

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" accept"

    例:

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.1" accept" # 表示允许来自192.168.2.1的所有流量

    9.允许指定ip的指定协议

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" protocol value="<protocol>" accept"

    例:

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" protocol value="icmp" accept" # 允许192.168.2.208主机的icmp协议,即允许192.168.2.208主机ping

    10.允许指定ip访问指定服务

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" service name="<service name>" accept"

    例:

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" service name="ssh" accept" # 允许192.168.2.208主机访问ssh服务

    11.允许指定ip访问指定端口

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" port protocol="<port protocol>" port="<port>" accept"

    例:

    firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.1" port protocol="tcp" port="22" accept" # 允许192.168.2.1主机访问22端口

    12.将指定ip改为网段

    8-11 的各个命令都支持 source address 设置为网段,即这个网段的ip都是适配这个规则:

    例如:

    firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="22" accept"

    表示允许192.168.2.0/24网段的主机访问22端口 。

    13.禁止指定ip/网段

    8-12 各个命令中,将 accept 设置为 reject表示拒绝,设置为 drop表示直接丢弃(会返回timeout连接超时)

    例如:

    firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="22" reject"

    表示禁止192.168.2.0/24网段的主机访问22端口 。

    总结

    防火墙预定义的服务配置文件是xml文件,目录在 /usr/lib/firewalld/services/; 在 /etc/firewalld/services/ 这个目录中也有配置文件,但是/etc/firewalld/services/目录优先于 /usr/lib/firewalld/services/ 目录。

    RHEL7 富规则删除

    1. 查看已经创建好的富规则

    firewall-cmd --list-rich-rules

    2. 删除富规则(******代表已经创建好的完整富规则内容)

    firewall-cmd --remove-rich-rule ' ******* ' --permanent

    举例:

    ps:以上例子中删除部分应该添加--permanent选项,不然reload后依然没有删除。

  • 相关阅读:
    jQuery -JQ方法大全
    Javascript模块化编程:模块的写法
    angular 路由的简单使用
    jQuery Validate验证框架
    网站出现403 Forbidden错误的原因和解决办法
    js下拉刷新
    bootstrap栅格系统的属性及使用
    AJAX 跨域请求
    用js实现分页效果
    用一个例子读懂 RequireJS
  • 原文地址:https://www.cnblogs.com/augusite/p/11091094.html
Copyright © 2020-2023  润新知