防火墻對于控制進出 Linux 服務(wù)器的網(wǎng)絡(luò)流量至關(guān)重要����。它能夠定義一組防火墻規(guī)則來控制主機上的傳入流量。本文介紹如何添加��、刪除����、啟用和禁用防火墻規(guī)則和區(qū)域���。
京山網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)公司�!從網(wǎng)頁設(shè)計��、網(wǎng)站建設(shè)�、微信開發(fā)�、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計等網(wǎng)站項目制作���,到程序開發(fā),運營維護���。創(chuàng)新互聯(lián)公司從2013年開始到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗�,來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司�����。
什么是FirewallD
“firewalld”是firewall daemon�����。它提供了一個動態(tài)管理的防火墻,帶有一個非常強大的過濾系統(tǒng)��,稱為 Netfilter���,由 Linux 內(nèi)核提供�。
FirewallD 使用zones和services的概念��,而 iptables 使用chain和rules�。與 iptables 相比��,“FirewallD”提供了一種非常靈活的方式來處理防火墻管理��。
每個zones都可以按照指定的標準進行配置����,以根據(jù)你的要求接受或拒絕某些服務(wù)或端口�,并且它可以與一個或多個網(wǎng)絡(luò)接口相關(guān)聯(lián)��。默認區(qū)域為public區(qū)域�。 [yijiFirewalld zones[/yiji] 以下命令列出 FirewallD 提供的zones����。運行以下命令以列出zones:
[root@server1 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
-
block: 對于 IPv4�,任何傳入連接都會被 icmp-host-prohibited 消息拒絕,對于 IPv6 則是 icmp6-adm-prohibited����。
-
**dmz:**應(yīng)用于你的DMZ區(qū)域的計算機,這些計算機可公開訪問���,但對內(nèi)部網(wǎng)絡(luò)的訪問受到限制。僅接受選定的傳入連接�����。
-
**drop:**任何傳入連接都將在沒有任何通知的情況下被丟棄�。只允許傳出連接��。
-
**external:**用于在系統(tǒng)中充當路由器時啟用 NAT 偽裝的外部網(wǎng)絡(luò)���。只允許選定的傳入連接。
-
**home:**用于家庭網(wǎng)絡(luò)。僅接受選定的傳入連接���。
-
**internal:**用于內(nèi)部網(wǎng)絡(luò),網(wǎng)絡(luò)上的其他系統(tǒng)通常是可信任的��。僅接受選定的傳入連接����。
-
**public:**用于公共區(qū)域�����,僅接受選定的傳入連接�。
-
**trusted:**接受所有網(wǎng)絡(luò)連接����。
-
**work:**用于工作區(qū)域���,同一網(wǎng)絡(luò)上的其他計算機大多受信任���。僅接受選定的傳入連接�����。
Firewalld services
Firewalld 的service配置是預(yù)定義的服務(wù)�。要列出可用的服務(wù)模塊��,請運行以下命令:
[root@server1 ~]# firewall-cmd --get-services
Firewalld的臨時設(shè)置和永久設(shè)置
Firewalld 使用兩個獨立的配置����,即臨時設(shè)置和永久設(shè)置:
-
臨時設(shè)置: 臨時設(shè)置不會在系統(tǒng)重啟時保持不變���。這意味著臨時設(shè)置不會自動保存到永久設(shè)置中�����。
-
永久設(shè)置: 永久設(shè)置會存儲在配置文件中,將在每次重新啟動時加載并成為新的臨時設(shè)置�����。
啟用���、禁用Firewalld
Firewalld默認安裝在Centos7/8中,下面命令時如何啟用或者停用firewalld:
# 啟用Firewalld
[root@server1 ~]# systemctl start firewalld
# 禁用Firewalld
[root@server1 ~]# systemctl stop firewalld
# 開機啟動
[root@server1 ~]# systemctl enable firewlald
# 禁止開機啟動
[root@server1 ~]# systemctl disable firewalld
查看firewlald的狀態(tài):
[root@server1 ~]# systemctl status firewalld
或者
[root@server1 ~]# firewall-cmd --state
running
zone管理
Firewalld 為每個區(qū)域提供不同級別的安全性,公共區(qū)域設(shè)置為默認區(qū)域����。下面命令查看默認區(qū)域:
[root@server1 ~]# firewall-cmd --get-default-zone
public
下面命令查看默認區(qū)域的配置:
[root@server1 ~]# firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: ens160
sources:
services: cockpit dhcpv6-client ntp ssh
ports: 2222/tcp
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
通過使用選項”–zone”和“–change-interface”的組合�,可以輕松更改zone中的接口。例如����,要將“ens33”接口分配給“home”區(qū)域,請運行以下命令:
[root@server1 ~]# firewall-cmd --zone=home --change-interface=ens33
success
[root@server1 ~]# firewall-cmd --zone=home --list-all
home (active)
target: default
icmp-block-inversion: no
interfaces: ens33
sources:
services: cockpit dhcpv6-client mdns samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
要查看所有活動的zone��,請運行以下命令:
[root@server1 ~]# firewall-cmd --get-active-zones
home
interfaces: ens33
public
interfaces: ens160
要更改默認zone�,請使用以下命令�。例如�����,要將默認區(qū)域更改為 home����,請運行以下命令:
[root@server1 ~]# firewall-cmd --set-default-zone=home
要找出與 ens160 接口關(guān)聯(lián)的區(qū)域���,請運行以下命令:
[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens160
public
要創(chuàng)建新zone,請使用以下命令�����。例如�,要創(chuàng)建一個名為“test”的新區(qū)域,并永久生效���,請運行:
[root@server1 ~]# firewall-cmd --permanent --new-zone=test
success
[root@server1 ~]# firewall-cmd --reload
success
開放和關(guān)閉端口
打開特定端口允許用戶從外部訪問系統(tǒng)�����,這代表了安全風險。因此���,僅在必要時為某些服務(wù)打開所需的端口��。
要獲取當前區(qū)域中開放的端口列表,請運行以下命令:
[root@server1 ~]# firewall-cmd --list-ports
2222/tcp
下面實例將特定端口永久添加到列表中:
[root@server1 ~]# firewall-cmd --permanent --add-port=8080/tcp
success
[root@server1 ~]# firewall-cmd --reload
success
同樣��,要刪除特定端口����,請運行以下命令:
[root@server1 ~]# firewall-cmd --remove-port=8080/tcp
success
可以使用以下命令每次確認端口是否已添加或刪除:
[root@server1 ~]# firewall-cmd --list-ports
如果要為特定區(qū)域開放端口�����,例如,以下命令將為 home 區(qū)域打開端口 80:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-port=80/tcp
success
[root@server1 ~]# firewall-cmd --reload
success
同樣�,要從開放的端口中刪除特定區(qū)域的特定端口,請運行:
[root@server1 ~]# firewall-cmd --zone=home --remove-port=80/tcp
success
添加和移除服務(wù)類型
Firewalld 服務(wù)配置是預(yù)定義的服務(wù)�,如果啟用了服務(wù)���,則會自動加載。使用預(yù)定義服務(wù)使用戶可以更輕松地啟用和禁用對服務(wù)的訪問�����。
預(yù)定義的服務(wù)配置文件位于/usr/lib/firewalld/services目錄中����。
Firewalld的服務(wù)���,你不需要記住任何端口,并且可以一次性允許所有端口���。
例如,執(zhí)行以下命令允許 samba 服務(wù)�����。samba 服務(wù)需要啟用以下一組端口:“139/tcp 和 445/tcp”以及“137/udp 和 138/udp”�����。
添加’samba’服務(wù)后,所有端口都會同時激活��,因為所有端口信息都在samba服務(wù)配置中。下面是Firewalld中預(yù)定義的samba的服務(wù)配置文件:
[root@server1 ~]# cat /usr/lib/firewalld/services/samba.xml
下面是在home區(qū)域放行samba服務(wù):
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-service=samba
success
[root@server1 ~]# firewall-cmd --reload
success
要獲取有關(guān) samba 服務(wù)的更多信息�����,請運行以下命令:
[root@server1 ~]# firewall-cmd --info-service=samba
samba
ports: 137/udp 138/udp 139/tcp 445/tcp
protocols:
source-ports:
modules: netbios-ns
destination:
要一次添加多個服務(wù),請執(zhí)行以下命令��。例如����,要添加 http 和 https 服務(wù)���,請運行以下命令:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-service={http,https}
success
[root@server1 ~]# firewall-cmd --reload
success
設(shè)置端口轉(zhuǎn)發(fā)
端口轉(zhuǎn)發(fā)是一種將任何傳入網(wǎng)絡(luò)流量從一個端口轉(zhuǎn)發(fā)到另一個內(nèi)部端口或另一臺機器上的外部端口的方法��。
注意:端口轉(zhuǎn)發(fā)必須開啟IP偽裝�����。使用下面顯示的命令為external區(qū)域啟用偽裝��。
[root@server1 ~]# firewall-cmd --permanent --zone=external --add-masquerade
要檢查是否為區(qū)域啟用了 IP 偽裝��,請運行以下命令:
[root@server1 ~]# firewall-cmd --zone=external --query-masquerade
yes
顯示yes�,表示已經(jīng)開啟偽裝�。
要將端口重定向到同一系統(tǒng)上的另一個端口����,例如:將80端口的所有數(shù)據(jù)包重定向到8080端口:
[root@server1 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080
success
如果要將流量轉(zhuǎn)發(fā)到另一臺服務(wù)器�����,例如:將所有 80 端口的數(shù)據(jù)包重定向到 IP 為 10.0.0.75 的服務(wù)器上的 8080 端口:
[root@server1 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.0.0.75
success
例如��,要允許來自特定源地址的流量�����,僅允許從特定子網(wǎng)連接到服務(wù)器����,請運行以下命令:
[root@server1 ~]# firewall-cmd --permanent --zone=home --add-source=192.168.1.0/24
success
富規(guī)則設(shè)置
富規(guī)則允許使用易于理解的命令創(chuàng)建更復雜的防火墻規(guī)則����,但豐富的規(guī)則很難記住��,可以查看手冊man firewalld.richlanguage并找到示例。
富規(guī)則的一般規(guī)則結(jié)構(gòu)如下:
rule
[source]
[destination]
service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
[log]
[audit]
[accept|reject|drop|mark]
要允許來自地址 192.168.0.0/24 的訪問��,請運行以下命令:
[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept'
success
要允許來自地址 192.168.0.0/24 的連接訪問 ssh 服務(wù)�,請運行以下命令:
[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept'
success
要拒絕來自192.168.10.0/24的流量訪問ssh服務(wù)�,請運行以下命令:
[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port=22 protocol=tcp reject'
success
要刪除任何富規(guī)則����,請使用--remove-rich-rule選項�����,下面使用--list-rich-rules列出富規(guī)則���,然后刪除掉富規(guī)則:
[root@server1 ~]# firewall-cmd --zone=public --list-rich-rules
rule family="ipv4" source address="192.168.0.0/24" accept
rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept
rule family="ipv4" source address="192.168.10.0/24" port port="22" protocol="tcp" reject
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept'
success
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept'
success
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port="22" protocol="tcp" reject'
success
Firewalld的Direct規(guī)則
Direct規(guī)則類似于 iptables 命令�,對于熟悉 iptables 命令的用戶很有用����?����;蛘?,您可以編輯/etc/firewalld/direct.xml文件中的規(guī)則并重新加載防火墻以激活這些規(guī)則���。Direct規(guī)則主要由服務(wù)或應(yīng)用程序用來添加特定的防火墻規(guī)則�����。
以下Direct規(guī)則將在服務(wù)器上打開端口 8080:
[root@server1 ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
success
[root@server1 ~]# firewall-cmd --reload
success
要列出當前區(qū)域中的Direct規(guī)則,請運行:
[root@server1 ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
使用下面命令刪除Direct規(guī)則:
[root@server1 ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
[root@server1 ~]# firewall-cmd --permanent --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
success
[root@server1 ~]# firewall-cmd --reload
success
如何清空一個表的鏈?下面是語法和實例:
firewall-cmd --direct --remove-rules ipv4 [table] [chain]
[root@server1 ~]# firewall-cmd --permanent --direct --remove-rules ipv4 filter INPUT
success
[root@server1 ~]# firewall-cmd --reload
success
[root@server1 ~]# firewall-cmd --direct --get-all-rules
文章名稱:Linux中配置firewalld規(guī)則具體方法
當前鏈接:
http://uogjgqi.cn/article/dhgcchc.html
