Linux Firewalld 基本详细介绍-必威体育平台_必威app网址|必威体育官方欢迎您

互联网上供给了各种网络服务,而防火墙能够设置各种规矩来约束拜访,维护服务器。


概述

Linux的防火墙体系首要作业在网络层,针对TCP/IP数据包施行过滤和约束,归于典型的包过滤防火墙。

Linux体系的防火墙体系根据内核编码完成,具有十分安稳的功用和极高的功率。

三种防火墙

netfilter

  • 指linux内核中完成包过滤防火墙的内部结构
  • 归于内核态的防火墙功用体系

iptables

  • 指办理linux防火墙的指令程序
  • 归于用户态的防火墙办理体系

Firewalld

  • CentOS 7默许的防火墙办理东西,替代之前的iptables防火墙
  • 归于用户态
  • firewalld和iptables内部结构都指向netfilter这个强壮的网络过滤子体系,以完成包过滤防火墙功用
  • 支撑动态更新、参加防火墙zone概念
  • 支撑IPv4和IPv6地址
  • 字符办理东西firewall-cmd和图形化办理东西firewall-config

差异

网络区域

区域介绍

  • 每个区域都具有不同约束程度的规矩
  • 能够运用一个或多个区域,可是任何一个活泼区域至少需求相关源地址或接口
  • 默许情况下,public区域是默许区域,包含一切接口(网卡)

数据处理流程

检查数据来历的源地址

  • 若源地址相关到特定的区域,则履行该区域所指定的规矩
  • 若源地址未相关到特定的区域,则运用传入网络接口的区域并履行该区域所指定的规矩
  • 若网络接口未相关到特定的区域,则运用默许区域并履行该区域所指定的规矩

装备办法

运转时装备

  • 实时收效,并继续至Firewalld从头发动或从头加载装备
  • 不中止现有衔接
  • 不能修正服务装备

永久装备

  • 不当即收效,除非Firewalld从头发动或从头加载装备
  • 中止现有衔接
  • 能够修正远足牦牛在哪买服务装备

装备文件

Firewalld会优先运用/etc/firewalld/中的装备,假如不存在装备文件,则运用/usr/ib/firewalld/中的装备

  • /etcLinux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 /firewalld/:用户自界说装备文件,需求时可经过从/usr/ib/firewalld/中复制
  • /usr/ib/firewalld/:默许装备文件,不主张修正,若康复至默许装备,可直接删去/etc/firewalld/中的装备

图形东西

[root@localhost ~]# firewall-config

指令行东西

[root@localhost ~]# firewall-cmd 指令
  • 以下是收拾的一些指令
--get-default-zone
显现网络衔接或接口的默许区域
--set-default-zone=
设置网络衔接或接口的默许区域
--get-active-zones
显现已激活的一切区域
--get-zone-of-interface=
显现指定接口绑定的区域
--zone= --add-interface=
为指定接口绑定区域
--zone= --change-interface=
为指定的陪嫁品区域更改绑定的网络接口
--zone= --remove-interface=
为指定的区域删去绑定的网络接口
--query-interface=
查询区域中是否包含某接口
--list-all-zones
显现一切区域及其规矩
[--zone=] --list-all
显现一切指定区域的一切规矩
Copy
[--zone=] --list-services
显现指定区域内答应拜访的一切服务
[--zone=] --add-service=
为指定区域设置答应拜访的某项服务
[--zone=] --remove-service=
删去指定区域已设置的答应拜访的某项服务
[--zone=] --quer席琳迪翁y-service=
查询指定区域中是否启用了某项服务
Co豫剧大全py
[--zone=] --list-ports
显现指定区域内答应拜访的一切端口号
[--zone=] --add-port=[-]/ [--timeout=]
启用区域端口和协议组合,可选装备超时时刻
[--zone=] --remove-port=[-]/
禁用区域端口和协议组合
[--zone=] --query-port=[-]/
查询区域中是否启用了端口和协议组合
Copy
[--zone=] --list-icmp-blocks
显现指定区域内堵塞的一切ICMP类型
[--zone=] --add-icmp-block=
为指定区域设置堵塞的某项ICMP类型
[--zone=] --reLinux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 move-icmp-block=
删去指定区域已堵塞的某项ICMP类型
[--zone=] --query-icmp-block=
查询指定区域的ICMP堵塞功用

firewall-cmd

状况操作

  • 中止、发动
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl start firewalld
  • 制止/答应开机发动
[root@localhost ~]# systemctl disable firewalld
[root@localhost拜新同 ~]# systemctl enable firewalld
  • 检查状况
[root@localhost ~]# systemctl status firewalld
[root@localhost ~]# firewall-cmd --state
running

获取预界说信息

预界说信息首要包含三种:可用的区域、可用的服务以及可用的ICM欧陆风云4秘籍P堵塞类型

  • 显现预界说的区域
[roo安乐死t@localhost ~]# firewall-cmd --get-zones 
block dmz drop external home internal public trusted work
  • 显现预界说的服务
--get-default-zone
显现网络衔接或接口48小时气候预报的默许区域
--set-default-zone=
设置网络衔接或接口的默许区域远程桌面衔接
--get-active-zones
显现已激活的一切区域
--get-zone-of-interf蛋生王妃ace=
显现指定接口绑定的区域
--zone= --add-interface=
为指定接口绑定区域
--zone= --change-interface=
为指定的区域更改绑定的网络接口
--zone= --remove-interface=
为指定的区域删去绑定的网络接口
--query-interface=
查询区域中是否包含某接口
--list-all-zones
显现一切区域及其规矩
[--zone=] --list-all
显现一切指定区域的一切规矩
  • 显现预界说的icmp堵塞类型
Copy
[root@localhost ~]# firewall-cmd --get-icmptypes
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragment3d凶恶动漫ation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
  • 各种堵塞类型的意义别离如下所示:

des七原tination-unrea秒表chable:意图地址不可达。

echo-reply:应对回应(pong)。

parameter-problem:参数问题。

redirect:从头定向。

router-advertisement:路由器布告。

router-solicitation:路由器征寻。

source-quench:源端按捺。

time-exceeded:超时。

timestamp-reply:时刻戳应对回应。

timestamp-request:时刻戳恳求。

区域办理#

运用firewall-cmd指令能够洪真英三级完成获取和办理区域,为指定区域绑定网络接口等功用。

--get-default-zone
显现网络衔接或接口的默许区域
--set-default-zone=
设置网络衔接或接口的默许区域
--get-active-zones
显现已激活的一切区域
--get-zone-of-interface=
显现指定接口绑定的区域
--zone= --add-interface=
为指定接口绑定区域
--zone= --change-interface=
为指定的区域更改绑定的网络接口
--zone= --remove-interface=
为指定的区域删去绑定的网络接口
--list-all-zones
显现一切区域及其规矩
[--zone=] --list-all
显现一切指定区域的一切规矩,省掉--zone=时表明仅对默许区域操作
  • 显现当时体系中的默许区域
[root@localhost ~]# fLinux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 irLinux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 ewall-cmd --get-default-zone 
public
  • 显现默许区域的所Linux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 有规矩
[root@localhost ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
  • 显现网络接口ens33对应的区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33 
public
  • 将网络接口ens33对应区域改为internal区域
[root@local海盐气候host ~]# firewall-cmd --zone=internal --change-interface=ens33 
The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@localhost ~]# firewall-cmd --get-zone波司登羽绒服女款-of-interface=ens33
internal
  • 显现internal区域下有哪些网络接口
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces 
ens33
  • 显现一切已激活的区域
[root@localhost ~]# firewall-cmd --get-active-zones 
internal
interfaces: ens33

服务办理#

为了便利办理,firewalld预先界说了许多服务,存放在/usr/lib/firewalld/services/目录中,服务经过单个的XML装备文件来指定。

这些装备文件则按以下格局命名:service-name.xml,每个文件对应一项具体的网络服务,如ssh服务等。

与之对应的装备文件中记录了各项服务所运用的tcp/udp端口。在最新版别的firewalld中默许现已界说了70多种服务供咱们运用,关于每个网络区域,均能够装备答应拜访的服务。

当默许供给的服务不适用或许需求自界说某项服务的端口时,咱们需求将service装备文件放置在/etc/firewalld/services/目录中。

service装备具有以下长处。

  • 经过服务姓名来办理规矩愈加人性化。
  • 经过服务来安排端口分组的形式愈加高效,假如一个服务运用了若干个网络端口,则服务的装备文件就相当于供给了到这些端口的规矩办理的批量操作快捷方式。
[--zone=] --list-services
显现指定区域内答应拜访的一切服务
[--zone=] --add-service=
为指定区域设置答应拜访的某项服务
[--zone=] --remove-service=
删去指定区域已设置的答应拜访的某项服务
[--zone=] --list-ports
显现指定区域内答应拜访的一切端口号
[--zone=] --add-port=[-]/
为指定区域设置答应拜访的某个/某段端口号(包含协议名)
[--zone=] --remove-port=[-]/
删去指定区域已设置的答应拜访的端口号(包含协议名)
[--zone=] --list-icmp-blocks
显现指定区域内回绝拜访的一切 ICMP 类型
[--zone=] --add-icmp-block=
为指定区域设置回绝拜访的某项 ICMP 类型
[--zone=] --remove-icmp-block=
删去指定区域已设置的回绝拜访的某项 ICMP 类型,省掉--zone=时表明对默许区域操作
  • 显现默许区域答应拜访的一切服务
[root@localhost ~]# firewall-cmd --list-services 
ssh dhcpv6-client
  • 设置默许区域答应拜访http服务
[root@localhost ~]# firewall-cmd --add-service=http 
success
  • 设置默许区域答应拜访https服务
[root@localhost ~]# firewall-cmd --add-service=https 
success
  • 显现默许区域答应拜访的一切服务
[root@localhost ~]# firewall-cmd --list-services 
ssh dhcpv6-client http https
  • 显现internal区域内答应拜访的一切服务
[root@localhost ~]# firewall-cmd --zone=internal --list-services 
ssh mdns samba-client dhcpv6-client
  • 设置internal区域答应拜访mysql服务
[root@locaLinux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 lhost ~]# firewall-cmd Linux Firewalld 根本具体介绍-必威体育渠道_必威app网址|必威体育官方欢迎您 --zone=internal --add-service=mysql 
success
  • 设置internal区域不答应拜访samba-client服务
[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client 
success
  • 显现internal区域内答应拜访的一切服务
[root@localhost ~]# firewall-cmd --zone=internal 建桥女--list-servi福清市闽剧一团全本ces 
ssh mdns dhcpv6-client mysql

端口办理#

在进行服务装备时,预界说的网络服务能够运用服务名装备,服务所触及的端口就会主动翻开。

可是,关于非预界说的服务只能手动为指定的区域增加端口。

  • 在internal区域翻开443/TCP端口
[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
  • 在internal区域制止443/TCP端口拜访
[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success

两种装备形式#

前面说到firewall-cmd指令东西有两种装备形式:

  • 运转时形式Runtime mode表明当时内存中运转的防火墙装备,在体系或firewalld服务重启、中止时装备将失效。
  • 永久形式Permanent mode表明重启防火墙或从头加载防火墙时的规矩装备,是永久存储在装备文件中的。

firewall-cmd指令东西与装备形式相关的选项有三个。

  • --reload:从头加载防火墙规矩并坚持状况信息,行将永久装备应用为运转时装备。
  • --permanent:带有此选项的指令用于设置永久性规矩,这些规矩只要在重大黄的成效与效果新发动firewalld或从头加载防火墙规矩时才会收效;若不带有此选项,表明用于设置运转时规矩。
  • --runtime-to-permanent:将当时的运转时装备写入规矩装备文件中,使之成为永久性。
[root@localhost ~]# firewall-cmd --runtime-to-permanent
success

转载自:https://www.cnblogs.com/llife/p/11695912.html

评论(0)