Centos7的Firewalld防火墙基础命令详解

一、Linux防火墙的基础

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核共存:firewalld、iptables、ebtables,默认使用firewalld来管理netfilter子系统。

  • netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”的防火墙功能体系;
  • firewalld:指用来管理Linux防护墙的命令程序,属于“用户态”的防火墙管理体系;

1、firewalld概述

firewalld的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便地组织和管理防火墙,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。支持IPv4、IPv6防火墙设置以及以太网桥,并且拥有两种配置模式:

  • 运行配置
  • 永久配置

还支持服务或应用程序直接添加防火墙规则接口。

2、firewalld网络区域

firewalld将所有的网络数据流量划分为多个区域,从而简化防火墙管理。根据数据包的源IP地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则。

对于进入系统的数据包,首先检查的就是其源地址:

  • 若源地址关联到特定的区域,则执行该区域所制定的规则;
  • 若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则;
  • 若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则;

默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是public,但是也可以更改默认区域。以上匹配规则,按照先后顺序,第一个匹配的规则胜出。在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld的每个预定义的区域都设置了默认打开的服务。

3、firewalld预定义区域说明

  • trusted(信任区域):可接收所有的网络连接;
  • public:(公共区域):除非与传出流量相关,或与ssh或dhcpv6-client预定义服务匹配,否则拒绝流量传入;
  • work(工作区域):除非与传出流量相关,或与ssh、ipp-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于工作区;
  • home(家庭区域):除非与传出流量相关,或与ssh、ipp-client、mdns、samba-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于家庭网络;
  • internal(内部区域):除非与传出流量相关,或与ssh、ipp-client、mdns、samba-client、dhcpv6-client预定义服务匹配,否则拒绝流量传入,用于内部网络;
  • external(外部区域):除非与传出流量相关,或与ssh预定义服务匹配,否则拒绝流量传入;
  • dmz(隔离区域也称为非军事化区域):除非和传出的流量相关 ,或与ssh预定义服务匹配,否则拒绝流量传入;
  • blocak(限制区域):除非与传出流量相关,否则拒绝所有传入流量;
  • drop(丢弃区域):除非与传出流量相关,否则丢弃所有传入流量,并且不产生包含ICMP的错误响应;

二、firewalld防火墙的配置方法

在Centos 7系统中,可以使用三种方式配置firewalld防火墙:

  • firewalld-config图形化工具;
  • firewalld-cmd命令行工具;
  • /etc/firewalld/中的配置文件;

一般情况下,不建议直接编辑配置文件;

1、firewalld-cmd的基础命令

[root@centos01 ~]# systemctl start firewalld  <!--启动firewalld-->
[root@centos01 ~]# systemctl enable firewalld<!--设置开机自动启动firewalld-->
[root@centos01 ~]# systemctl status firewalld <!--查看防火墙运行状态-->
[root@localhost ~]# firewall-cmd --state <!--查看防火墙允许状态-->
running
[root@centos01 ~]# systemctl stop firewalld<!--停止firewalld-->
[root@centos01 ~]# systemctl disable firewalld<!--设置开机不自动启动firewalld-->
[root@centos01 ~]# firewall-cmd --get-zones <!--查看防火墙预定义的区域-->
[root@centos01 ~]# firewall-cmd --get-service <!--查看防火墙支持的预定义服务类型-->
[root@centos01 ~]# firewall-cmd --get-default-zone <!--查看系统的默认区域 -->
[root@localhost /]# firewall-cmd --reload   <!--重载防火墙-->
[root@centos01 ~]# firewall-cmd --get-active-zones <!--查看激活的区域-->

[root@centos01 ~]# firewall-cmd --get-icmptypes <!--显示预定义的ICMP类型-->
address-unreachable bad-header communication-prohibited destination-unreachable
echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited
host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement
neighbour-solicitation network-prohibited network-redirect network-unknown
network-unreachable no-route packet-too-big parameter-problem port-unreachable
precedence-cutoff protocol-unreachable redirect required-option-missing
router-advertisement router-solicitation source-quench source-route-failed time-exceeded
timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable
tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly
ttl-zero-during-transit unknown-header-type unknown-option

firewall-cmd --get-icmptypes命令执行结果中部分阻塞类型的含义如下:

  • destination-unreachable:目的地址不可达;
  • echo-reply:应答回应;
  • parameter-problem:参数问题;
  • redirect:重新定向;
  • router-advertisement:路由器通告;
  • router-solicitation:路由器征寻;
  • source-quench:源端抑制;
  • time-exceeded:超时;
  • timestamp-reply:时间戳应答回应;
  • timestamp-request:时间戳请求;

2、firewalld区域管理选项

  • --get-default-zone:显示网络连接或接口的默认区域;
  • --set-default-zone=<zone>:设置网络连接或接口的默认区域;
  • --get-active-zones:显示已激活的所有区域;
  • --get-zone-of-interface=<interface>:显示指定接口绑定的区域;
  • --zone=<zone> --add-interface=<interface>:为指定接口绑定的区域;
  • --zone=<zone> --change-interface=<interface>:为指定的区域更改绑定的网络接口;
  • --zone=<zone> --remove-interface=<interface>:为指定的区域删除绑定的网络接口;
  • --list-all=zones:显示所有区域及其规则;
  • [--zone=<zone>] --list-all:显示所有指定区域的所有规则,省略--zone=<zone>时表示仅对默认区域操作;

区域管理示例如下:

[root@centos01 ~]# firewall-cmd --get-default-zone <!--显示当前系统中的默认区域-->
[root@centos01 ~]# firewall-cmd --list-all<!--显示默认区域的所有规则-->
[root@centos01 ~]# firewall-cmd --get-zone-of-interface=ens32 <!--查看ens32接口所在的区域-->
internal
[root@centos01 ~]# firewall-cmd --zone=internal --change-interface=ens32 <!--修改ens32接口对应的区域更改到internal区域-->
 The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-interface <!--查看internal区域的接口列表-->
ens32
[root@centos01 ~]# firewall-cmd --get-active-zones  <!--显示所有激活区域-->
internal
 interfaces: ens32

3、firewalld服务管理

为了方便管理,firewalld预先定义了很多服务,存放在/usr/lib/firewalld/services/目录中,服务通过单个的XML配置文件来指定。这些配置文件则按以下格式命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh服务等。我们需要将service配置文件放置在/etc/firewalld/services/目录中。service配置具有以下优点:

通过服务名字来管理规则更加人性化;

通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式;

1)firewalld-cmd命令区域中服务管理的常用选项说明:

  • [--zone=<zone>] --list-services:显示指定区域内允许访问的所有服务;
  • [--zone=<zone>] --add-service=<service>:为指定区域设置允许访问的某项服务;
  • [--zone=<zone>] --remove-service=<service>:删除指定区域已设置的允许访问的某项服务;
  • [--zone=<zone>] --list-ports:显示指定区域内允许访问的所有端口号;
  • [--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>:为指定区域设置允许访问的某个/某段端口号(包括协议号);
  • [--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocl>:删除指定区域已设置的允许访问的端口号(包括协议名);
  • [--zone=<zone>] --list-icmp-blocaks:显示指定区域内拒绝访问的所有ICMP类型;
  • [--zone=<zone>] --add-icmp-block=<icmptype>:为指定区域设置拒绝访问的某项ICMP类型;
  • [--zone=<zone>] --remove-icmp-block=<icmptype>:删除指定区域已设置的拒绝访问的某项ICMP类型,省略--zone=<zone>时表示对默认区域操作;

2)firewalld服务管理示例如下(为默认区域设置允许访问的服务):

 [root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->
dhcpv6-client ssh
[root@centos01 ~]# firewall-cmd --add-service=http <!--设置默认区域允许访问http服务-->
success
[root@centos01 ~]# firewall-cmd --add-service=https <!--设置默认区域允许访问https服务-->
success
[root@centos01 ~]# firewall-cmd --list-services <!--显示默认区域内允许访问的所有服务-->

dhcpv6-client ssh https http

3)firewalld服务管理示例如下(为internal区域设置允许访问的服务):

[root@centos01 ~]# firewall-cmd --zone=internal --add-service=mysql
       <!--设置internal区域允许访问mysql服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --remove-service=samba-client
     <!--设置internal区域不允许访问Samba-client服务-->
success
[root@centos01 ~]# firewall-cmd --zone=internal --list-services
       <!--显示internal区域内允许访问的所有服务-->
ssh mdns dhcpv6-client mysql

4、端口管理

在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现在internal区域打开443/TCP端口。示例如下:

 [root@centos01 ~]# firewall-cmd --zone=internal --add-port=443/tcp
         <!--在internal区域打开443/tcp端口-->
success

若想实现在internal区域禁止443/TCP端口访问,可执行以下命令:

 [root@centos01 ~]# firewall-cmd --zone=internal --remove-port=443/tcp
        <!--在internal区域禁止443/tcp端口访问-->
success

以上配置都为临时配置,若想将当前配置保存为永久配置,可以使用下面命令:

 [root@centos01 ~]# firewall-cmd --runtime-to-permanent
success

直接配置为永久性规则,须带--permanent选项,如下:

[root@centos01 ~]# firewall-cmd --add-icmp-block=echo-request --permanent  <!--禁止ping-->

success
[root@centos01 ~]# firewall-cmd --zone=external --add-icmp-block=echo-request --permanent
      <!--配置external区域禁止ping-->
success

三、firewalld两种配置模式

前面提到firewall-cmd命令工具有两种配置模式:运行时模式(Runtime mode)表示当前内存中运行的防火墙配置,在系统或firewalld服务重启、停止时配置将失效;永久模式(Permanent mode)表示重启防火墙或重新加载防火墙时的规则配置,是永久存储在配置文件中的。

firewall-cmd命令工具与配置模式相关的选项有三个:

  • --reload:重新加载防火墙规则并保持状态信息,即将永久配置应用为运行时配置;
  • --permanent:带有此选项的命令用于设置永久性规则,这些规则只有在重新启动或重新加载防火墙规则时才会生效;若不带此项,表示用于设置运行时规则;
  • --runtime-to-permanent:将当前运行时的配置写入规则配置文件中,使当前内存中的规则称为永久性配置;

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • 详解CentOS7防火墙管理firewalld

    学习apache安装的时候需要打开80端口,由于centos 7版本以后默认使用firewalld后,网上关于iptables的设置方法已经不管用了,想着反正iptable也不太熟悉,索性直接搬官方文档,学习firewalld了,好像比iptables要简单点了. 官方文档地址:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewal

  • 详解CentOS7使用firewalld打开关闭防火墙与端口

    1.firewalld的基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld  2.systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体. 启动一个服务: systemctl start firewalld.service 关闭一

  • Centos7的Firewalld防火墙基础命令详解

    一.Linux防火墙的基础 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙).Linux系统的防火墙体系基于内核共存:firewalld.iptables.ebtables,默认使用firewalld来管理netfilter子系统. netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系: firewalld:指用来管理Linux防护墙的命令

  • Docker基础命令详解

    docker基本概念 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上. Docker是一个重新定义了程序开发测试.交付和部署过程的开放平台,Docker则可以称为构建一次,到处运行,这就是docker提出的"Build once,Run anywhere" 创建镜像 创建镜像的方法有三种: 基于已有的容器创建 基于本地模板导入 基于dockerfile 基于已有的容器创建 主要使用docker

  • Linux常用ls, alias基础命令详解

    ls命令 作用:列举目录文件信息( list directory content ) 格式:ls [option] [file] 1,命令不跟任何选项与目录,表示列举当前目录的文件信息 ghostwu@dev:~$ ls Desktop examples.desktop linux Pictures python Videos Documents git_test Music project software Downloads info php Public Templates 2,ls -l

  • KVM基础命令详解

    KVM (全称是 Kernel-based Virtual Machine) 是 Linux 下 x86 硬件平台上的全功能虚拟化解决方案,包含一个可加载的内核模块 kvm.ko 提供和虚拟化核心架构和处理器规范模块. 使用 KVM 可允许多个包括 Linux 和 Windows 每个虚拟机有私有的硬件,包括网卡.磁盘以及图形适配卡等. 下面给大家介绍下KVM基础命令,内容如下所示: KVM虚机相关命令: 开机:virsh start test1 关机:virsh shutdown test1

  • mysql数据库查询基础命令详解

    目录 1.启动数据库命令行客户端 2.查询数据库 3.进入数据库 3.查询所在数据库中所有表信息 4.查询数据库某张表结构 5.简单select查询语句(单张表) 5.1查询单张表所有数据 5.2 LIMIT限制查询结果返回数据项 5.3查询指定列数 5.4 WHERE带条件精准查询 5.5 LIKE使用通配符模糊查询 5.6 ORDER BY查询结果排序 1.启动数据库命令行客户端 #linux命令,注意区分大小写 mysql 2.查询数据库 #执行结果:返回所有数据库列表 SHOW DATA

  • CentOS7下Firewall防火墙配置用法详解(推荐)

    centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法. FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具.它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口. 以前的 system-config-firewall/lokkit 防火墙模型是静态

  • Centos7之KVM虚拟化基础管理详解

    一.安装kvm虚拟化 [root@localhost media]# yum -y groupinstall "GNOME Desktop" #安装GNOME桌面环境 [root@localhost media]# yum -y install qemu-kvm #KVM模块 [root@localhost media]# yum -y install qemu-kvm-tools #KVM调试工具,可不安装 [root@localhost media]# yum -y install

  • centos7.2下安装mysql5.7数据库的命令详解

    服务器上的mysql安装了一个8.0.12版本的,本地的是一个5.7版本的,今天删除了重新安装的5.7版本的,下面是所有的名命令 跟着走就会安装上了. 配置源 wget http://dev.mysql.com/get/mysql57-community-release-el7-8.noarch.rpm yum localinstall mysql57-community-release-el7-8.noarch.rpm # yum repolist enabled | grep "mysql.

  • hbase shell基础和常用命令详解

    HBase是Google Bigtable的开源实现,它利用Hadoop HDFS作为其文件存储系统,利用Hadoop MapReduce来处理HBase中的海量数据,利用Zookeeper作为协同服务. 1. 简介 HBase是一个分布式的.面向列的开源数据库,源于google的一篇论文<bigtable:一个结构化数据的分布式存储系统>.HBase是Google Bigtable的开源实现,它利用Hadoop HDFS作为其文件存储系统,利用Hadoop MapReduce来处理HBase

  • 基于使用paramiko执行远程linux主机命令(详解)

    paramiko是python的SSH库,可用来连接远程linux主机,然后执行linux命令或者通过SFTP传输文件. 关于使用paramiko执行远程主机命令可以找到很多参考资料了,本文在此基础上做一些封装,便于扩展与编写脚本. 下面直接给出代码: # coding: utf-8 import paramiko import re from time import sleep # 定义一个类,表示一台远端linux主机 class Linux(object): # 通过IP, 用户名,密码,

随机推荐