博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
CentOS7--Firewalld防火墙
阅读量:5973 次
发布时间:2019-06-19

本文共 2781 字,大约阅读时间需要 9 分钟。

  Firewalld服务是红帽RHEL7系统中默认的防火墙管理工具,特点是拥有运行时配置永久配置选项且能够支持动态更新以及"zone"的区域功能概念,使用图形化工具firewall-config或文本管理工具firewall-cmd

 

 配置文件的位置:

  firewalld 的配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 里的各种 XML 文件里,firewalld 优先使用 /etc/firewalld/services/ 里的文件。

通过编辑 /etc/firewalld/services/ 中的 XML 文件,服务可以被增加和删除,/usr/lib/firewalld/services/ 文件可以作为模板使用。

 

区域概念与作用:

  防火墙的网络区域定义了网络连接的可信等级,我们可以根据不同场景来调用不同的firewalld区域,区域规则有:

   特别需要注意的是firewalld服务有两份规则策略配置记录,必需要能够区分:

    RunTime:当前正在生效的。

    Permanent:永久生效的。

 

当下面实验修改的是永久生效的策略记录时,必须执行"--reload"参数后才能立即生效,否则要重启后再生效。

开启firewalld

 

systemctl start firewalldsystemctl enable firewalld

 

查看当前的区域:

[root@Centos7 ~]# firewall-cmd --get-default-zonepublic

查询网卡的区域:

[root@Centos7 ~]# firewall-cmd --get-zone-of-interface=eno16777736public

在public中分别查询ssh与http服务是否被允许:

[root@Centos7 ~]# firewall-cmd --zone=public --query-service=sshyes[root@Centos7 ~]# firewall-cmd --zone=public --query-service=httpno

设置默认规则为dmz:

[root@Centos7 ~]# firewall-cmd --set-default-zone=dmzsuccess

让“永久生效”的配置文件立即生效:

[root@Centos7 ~]# firewall-cmd --reloadsuccess

启动/关闭应急状况模式,阻断所有网络连接:

应急状况模式启动后会禁止所有的网络连接,一切服务的请求也都会被拒绝,当心,请慎用。

[root@Centos7 ~]# firewall-cmd --panic-on success[root@Centos7~]# firewall-cmd --panic-off success

 

实例:

模拟训练A:允许https服务流量通过public区域,要求立即生效且永久有效:

  方法一:分别设置当前生效与永久有效的规则记录:

[root@Centos7 ~]#  firewall-cmd --zone=public --add-service=httpssuccess[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-service=httpssuccess

  方法二:设置永久生效的规则记录后读取记录:

[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-service=httpssuccess[root@Centos7 ~]# firewall-cmd --reloadsuccess

模拟训练B:不再允许http服务流量通过public区域,要求立即生效且永久生效:

[root@Centos7 ~]# firewall-cmd --permanent --zone=public --remove-service=httpsuccess[root@Centos7 ~]# firewall-cmd --reload success

模拟训练C:允许8080与8081端口流量通过public区域,立即生效且永久生效:

[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-port=8080-8081/tcpsuccess[root@Centos7 ~]# firewall-cmd --reload success

模拟训练D:查看模拟实验中的规则:

[root@Centos7 ~]# firewall-cmd --zone=public --list-services dhcpv6-client http https ssh[root@Centos7 ~]# firewall-cmd --zone=public --list-ports 8080-8081/tcp

模拟实验F:设置富规则,拒绝192.168.10.0/24网段的用户访问ssh服务:

[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"success

 模拟实验G:将访问主机888端口的请求转发至22端口:

[root@Centos7 ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.0.85success[root@Centos7 ~]# firewall-cmd --reload success

在别的机器访问192.168.0.85(Centos7)

[root@wls12c ~]$ ssh -p 888 192.168.0.85root@192.168.0.85's password: Last login: Mon Jan 16 17:22:42 2017 from 192.168.0.85[root@Centos7 ~]#

 

 图形管理工具
执行
firewall-config命令即可看到firewalld的防火墙图形化管理工具,真的很强大,可以完成很多复杂的工作。
 

 

转载地址:http://wdbox.baihongyu.com/

你可能感兴趣的文章
Windows 7 桌面便签使用小技巧
查看>>
puppet自动化运维之mount资源
查看>>
11.2.0.3.9 (Jan 2014) Database Patch Set Update (PSU)
查看>>
只能上QQ不能打开网页的故障汇总
查看>>
大数据时代从驾驭到消费
查看>>
多表连接查询
查看>>
RedHat7新特性更改
查看>>
远程访问MySQL数据库
查看>>
探究分布式并发锁
查看>>
mysql 临时表和视图
查看>>
转到做市场部后的一点心得和体验
查看>>
实现Instagram的Material Design概念设计
查看>>
我的网络编程之旅
查看>>
802.1x认证全过程抓包图解
查看>>
Cisco 路由器 支持的AAA计费
查看>>
Core python
查看>>
Apache整合Tomcat
查看>>
浏览器 HTTP 协议缓存机制详解
查看>>
Linux 下使用 NMON 分析系统性能(转载+实战)
查看>>
【总结】冒泡排序及冒泡排序的两种优化
查看>>