天津做网站的大公司,扬州网络品牌营销推广,代理登录网站,重庆网站制作公司多少钱文章目录 Firewalld 防火墙配置1. Firewalld 概述2. 区域名称及策略规则3. Firewalld 配置方法4. Firewalld 参数和命令5. Firewalld 两种模式6. Firewalld 使用 Firewalld 防火墙配置
1. Firewalld 概述
firewalld 是一个动态防火墙管理器#xff0c;作为 Systemd 管理的防… 文章目录 Firewalld 防火墙配置1. Firewalld 概述2. 区域名称及策略规则3. Firewalld 配置方法4. Firewalld 参数和命令5. Firewalld 两种模式6. Firewalld 使用 Firewalld 防火墙配置
1. Firewalld 概述
firewalld 是一个动态防火墙管理器作为 Systemd 管理的防火墙前端工具它为 Linux 操作系统提供了一种方便且灵活的方式来管理网络访问控制。
在传统的 iptables 防火墙中管理员需要手动配置防火墙规则并将规则保存到静态的配置文件中。这种方式相对复杂且不够动态特别是在面对频繁变动的网络环境时。而 firewalld 提供了一种更高级、更易用的方式来管理防火墙规则。
firewalld 使用基于 “区域”Zone 的概念来管理防火墙策略。每个区域都对应一组特定的规则用于定义该区域内允许和禁止的网络访问。
firewalld 还可以动态更新防火墙规则而无需重启防火墙服务。这意味着管理员可以在运行时添加、删除或修改规则使网络访问控制更加灵活和实时。此外firewalld 还支持连接跟踪可以自动管理由于网络连接状态的变化而需要调整的规则。
除了基本的端口过滤、包转发和网络地址转换等功能外firewalld 还提供了高级功能如源地址验证、负载均衡、IPset、Rich Rules 等。管理员可以使用这些功能来创建更复杂、更精细的防火墙策略。
注意firewalld不要与iptables混用如果要使用firewalld就将iptables规则清空。
2. 区域名称及策略规则
firewalld九个区域 trusted信任区域允许所有的数据包 home家庭区域拒绝流入的流量除非与流出的流量相关而如果是与sshmdnsipp-clientamba-client与dhcp-client服务相关流量则是允许通过。 internal内部区域默认值时与homel区域相同。 work工作区域拒绝流入的流量除非与流出的流量相关而如果是与sshipp-client与dhcpv6-client服务相关流量则是允许通过。 public公共区域拒绝流入的流量除非与流出的流量相关而如果是与ssh或dhcpv6-client服务相关流量则允许通过。 external外部区域拒绝流入的流量除非与流出的流量相关而如果与ssh服务相关流量则允许通过。 dmz隔离区域也称为非军事区域拒绝流入的流量除非与流出的流量相关而如果与ssh服务相关流量则允许通过。 block限制区域拒绝流入的流量除非与流出的流量相关。 drop丢弃区域拒绝流入的流量除非与流出的流量相关。
3. Firewalld 配置方法
使用Firewalld命令行工具
firewalld-cmd使用Firewalld图形工具
firewalld-config4. Firewalld 参数和命令
参数作用-get-default-zone查询默认区域-set-default-zone区域名称设置默认区域使其永久生效–get-zones显示可用的区域–get-active-zones显示当前正在使用的区域以及网卡的名称–add-sourceip将源自此的IP或子网的流量导向指定的区域–remove-sourceip不再将源自此的IP或子网的流量导向指定的区域–add-interface网卡名称将源自此的网卡的流量导向指定的区域–change-interface网卡名称将某个网卡与区域进行关联–list-all显示当前区域的网卡配置参数资源端口及服务信息–list-all-zones显示所有区域的网卡配置参数资源端口及服务信息–add-service服务名称设置默认区域允许该服务的流量–add-port端口协议设置默认区域允许该端口的流量–remove-service服务名称不再设置默认区域允许该服务的流量–remove-port端口协议不再设置默认区域允许该端口的流量–reload让永久生效的配置规则立即生效并覆盖当前的配置规则–panic-on开启应急模式–panic-off关闭应急模式–query-masquerade检查是否允许伪装IP–add-masquerade允许防火墙伪装IP–remove-masquerade禁止防火墙伪装IPs
5. Firewalld 两种模式
运行时模式 Runtime
配置后立即生效重启后失效
永久生效模式 permanent
当前不生效重启后生效
6. Firewalld 使用
查看当前使用的区域
firewall-cmd --get-default-zone显示可用的区域
firewall-cmd --get-zones显示当前正在使用的区域以及网卡的名称
firewall-cmd --get-active-zones查看指定网卡所在的区域
firewall-cmd --get-zone-of-interfaceens224显示当前区域的网卡配置参数资源端口及服务信息
firewall-cmd --list-all显示所有区域的网卡配置参数资源端口及服务信息
firewall-cmd --list-all-zones修改当前网卡所在的区域并永久生效
firewall-cmd --permanent --zoneexternal --change-interfaceens224重启服务器查看网卡所在区域
firewall-cmd --get-zone-of-interfaceens224开启应急模式
firewall-cmd --panic-on开启后ssh服务就无法使用了因为应急模式拦截一切流量。
关闭应急模式
firewall-cmd --panic-off关闭后SSH即可正常连接 因为我们现在的处于public区域所以SSH的流量可以进入。
