亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

CentOS7系統的Firewalld防火墻基礎詳解

發布時間:2020-07-06 09:26:49 來源:網絡 閱讀:701 作者:wx5d2c2d660c282 欄目:系統運維

Firewalld簡介

支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火墻管理工具,支持IPv4、IPv6防火 墻設置以及以太網橋,支持服務或應用程序直接添加防火墻規則接口。

擁有兩種配置模式

1.運行時配置

2.永久配置

Firewalld和iptables的關系

netfilter:

位于Linux內核中的包過濾功能體系稱為Linux防火墻的“內核態”

Firewalld/iptables:

CentOS7默認的管理防火墻規則的工具(Firewalld)稱為Linux防火墻的“用戶態”

CentOS7系統的Firewalld防火墻基礎詳解

Firewalld和iptables的區別:

Firewalld iptables
配置文件 /us/ib/firewalld/、 /etc/sysconfig/iptables /etc/firewalld/
對規則的修改 不需要全部刷新策略,不丟失現行連接 需要全部刷新策略,丟失連接
防火墻類型 動態防火墻 靜態防火墻

Firewalld網絡區域

區域介紹:

  • 區域如同進入主機的安全門,每個區域都具有不同限制程度的規則;
  • 可以使用一個或多個區域,但是任何一個活躍區域至少需要關聯源地址或接口;
  • 默認情況下,public區域是默認區域,包含所有接口(網卡)。
區域 描述
drop (丟棄) 任何接收的網絡數據包都被丟棄,沒有任何回復。僅能有發送出去的網絡連接
block (限制) 任何接收的網絡連接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒絕
public (公共) 在公共區域內使用,不能相信網絡內的其他計算機不會對您的計算機造成危害,只能接收經過選取的連接
external (外部) 特別是為路由器啟用了偽裝功能的外部網。您不能信任來自網絡的其他計算,不能相信它們不會對您的計算機造成危害,只能接收經過選擇的連接
dmz (非軍事區) 用于您的非軍事區內的電腦,此區域內可公開訪問,可以有限地進入您的內部網絡,僅僅接收經過選擇的連接
work (工作) 用于工作區。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接
home (家庭) 用于家庭網絡。您可以基本信任網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接
internal (內部) 用于內部網絡。您可以基本上信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接
trusted (信任) 可接受所有的網絡連接

Firewalld數據處理流程:

檢查數據來源的源地址

  • 若源地址關聯到特定的區域,則執行該區域所指定的規則;
  • 若源地址未關聯到特定的區域,則使用傳入網絡接口的區域并執行該區域所指定的規則;
  • 若網絡接口未關聯到特定的區域,則使用默認區域并執行該區域所指定的規則。

Firewalld防火墻的配置方法

運行時配置

  • 實時生效,并持續至Firewalld重新啟動或重新加載配置
  • 不中斷現有連接
  • 不能修改服務配置

永久配置

  • 不立即生效,除非Firewalld重新啟動或重新加載配置
  • 中斷現有連接
  • 可以修改服務配置

/etc/firewalld/中的配置文件

Firewalld會優先使用/etc/firewalld/中的配置,如果不存在配置文件,則使用/usr/lib/firewalld/中的配置

  • /etc/firewalld/:用戶自定義配置文件,需要時可通過從/usr/ib/firewalld/中拷貝
  • /usr/lib/firewalld/:默認配置文件,不建議修改,若恢復至默認配置,可直接刪除/etc/firewalld/中的配置

Firewall-config圖形工具

輸入"firewall-config"命令,進入圖形工具。

CentOS7系統的Firewalld防火墻基礎詳解

當我們配置完畢后,需要重載防火墻才能才能生效,在重載防火墻前一定要將Runtime設定為永久配置,不然之前配置的運行時配置會直接刪除,如果你配的就是永久,直接重載即可。

CentOS7系統的Firewalld防火墻基礎詳解

我們可以選擇配置防火墻規則的網卡、接口等,同時也能根據服務、端口、協議等進行訪問限制。圖形工具簡潔方便,就不多做介紹了。
CentOS7系統的Firewalld防火墻基礎詳解

Firewall-cmd命令行工具

(1)啟動、停止、查看 firewalld 服務

在安裝 CentOS7 系統時,會自動安裝 firewalld 和圖形化工具 firewall-config。執行 以下命令可以啟動 firewalld 并設置為開機自啟動狀態。

[root@localhost ~]# systemctl start firewalld          //啟動 firewalld 
[root@localhost ~]# systemctl enable firewalld    //設置 firewalld 為開機自啟動 

如果 firewalld 正在運行,通過 systemctl status firewalld 或 firewall-cmd 命令可以查看其運行狀態。

[root@localhost ~]# systemctl status firewalld                //查看狀態
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since 一 2019-10-14 10:04:49 CST; 5h 59min ago
     Docs: man:firewalld(1)
 Main PID: 633 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─633 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

10月 14 10:04:45 localhost.localdomain systemd[1]: Starting firewalld - dynamic fi....
10月 14 10:04:49 localhost.localdomain systemd[1]: Started firewalld - dynamic fir....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: ICMP type 'beyond-....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: beyond-scope: INVA....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: ICMP type 'failed-....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: failed-policy: INV....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: ICMP type 'reject-....
10月 14 10:04:49 localhost.localdomain firewalld[633]: WARNING: reject-route: INVA....
Hint: Some lines were ellipsized, use -l to show in full.
[root@localhost ~]# firewall-cmd --state                         //查看狀態
running
[root@localhost ~]# 

如果想要禁用 firewalld,執行以下命令即可實現。

[root@localhost ~]# systemctl stop firewalld          //停止 firewalld 
[root@localhost ~]#systemctl disable firewalld    //設置 firewalld 開機不自啟動

(2)獲取預定義信息

firewall-cmd 預定義信息主要包括三種:可用的區域、可用的服務以及可用的 ICMP 阻塞類型,具體的查看命令如下所示。

[root@localhost ~]# firewall-cmd --get-zones                   //顯示預定義的區域
block dmz drop external home internal public trusted work
[root@localhost ~]# firewall-cmd --get-services              //顯示預定義的服務
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp open*** ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
[root@localhost ~]# firewall-cmd --get-icmptypes         //顯示預定義的 ICMP 類型
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@localhost ~]# 

firewall-cmd --get-icmptypes 命令的執行結果中各種阻塞類型的含義分別如下所示:

destination-unreachable:目的地址不可達 
echo-reply:應答回應(pong)
parameter-problem:參數問題
redirect:重新定向 
router-advertisement:路由器通告
router-solicitation:路由器征尋
source-quench:源端抑制
time-exceeded:超時
timestamp-reply:時間戳應答回應
timestamp-request:時間戳請求

(3)區域管理

使用 firewall-cmd 命令可以實現獲取和管理區域,為指定區域綁定網絡接口等功能。

選項說明

--get-default-zone 顯示網絡連接或接口的默認區域 
--set-default-zone=<zone> 設置網絡連接或接口的默認區域 
--get-active-zones 顯示已激活的所有區域 
--get-zone-of-interface=<interface> 顯示指定接口綁定的區域 
--zone=<zone> --add-interface=<interface> 為指定接口綁定區域 
--zone=<zone> --change-interface=<interface> 為指定的區域更改綁定的網絡接口 
--zone=<zone> --remove-interface=<interface> 為指定的區域刪除綁定的網絡接口 
--list-all-zones 顯示所有區域及其規則 
[--zone=<zone>] --list-all 顯示所有指定區域的所有規則,省略--zone=<zone>時表示僅對默認區域操作

具體操作如下所示

  • 顯示當前系統中的默認區域。
[root@localhost ~]# firewall-cmd --get-default-zone 
public
[root@localhost ~]# 
  • 顯示默認區域的所有規則。
[root@localhost ~]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@localhost ~]#
  • 顯示網絡接口 ens33 對應區域。
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public
[root@localhost ~]#
  • 將網絡接口 ens33 對應區域更改為 internal 區域并查看。
[root@localhost ~]# firewall-cmd --zone=internal --change-interface=ens33
The interface is under control of NetworkManager, setting zone to 'internal'.
success
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
internal
[root@localhost ~]# firewall-cmd --zone=internal --list-interfaces 
ens33
[root@localhost ~]#  
  • 顯示所有激活區域。
[root@localhost ~]# firewall-cmd --get-active-zones 
internal
  interfaces: ens33
[root@localhost ~]# 

(4)服務管理

為 了 方 便 管 理 , firewalld 預 先 定 義 了 很 多 服 務 , 存 放 在 /usr/lib/firewalld/services/ 目錄中,服務通過單個的 XML 配置文件來指定。這些配置文件則按以下格式命名:service-name.xml,每個文件對應一項具體的網絡服務,如 ssh 服 務等。

選項說明

[--zone=<zone>] --list-services 顯示指定區域內允許訪問的所有服務 
[--zone=<zone>] --add-service=<service> 為指定區域設置允許訪問的某項服務 
[--zone=<zone>] --remove-service=<service> 刪除指定區域已設置的允許訪問的某項服務 
[--zone=<zone>] --list-ports 顯示指定區域內允許訪問的所有端口號 
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol> 為指定區域設置允許訪問的某個/某段端口號 (包括協議名) 
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol> 刪除指定區域已設置的允許訪問的端口號(包括協議名) 
[--zone=<zone>] --list-icmp-blocks 顯示指定區域內拒絕訪問的所有 ICMP 類型 
[--zone=<zone>] --add-icmp-block=<icmptype> 為指定區域設置拒絕訪問的某項 ICMP 類型 
[--zone=<zone>] --remove-icmp-block=<icmptype> 刪除指定區域已設置的拒絕訪問的某項 ICMP 類型,省略--zone=<zone>時表示對默認區域操作 

具體操作如下所示

  • 為默認區域設置允許訪問的服務。
[root@localhost ~]# firewall-cmd --list-services    //顯示默認區域內允許訪問的所有服務 
ssh dhcpv6-client
[root@localhost ~]# firewall-cmd --add-service=http   //設置默認區域允許訪問 http 服務
success
[root@localhost ~]# firewall-cmd --add-service=https   //設置默認區域允許訪問 https 服務
success
[root@localhost ~]# firewall-cmd --list-services   //顯示默認區域內允許訪問的所有服務
ssh dhcpv6-client http https
[root@localhost ~]#
  • 為 internal 區域設置允許訪問的服務。
[root@localhost ~]# firewall-cmd --zone=internal --add-service=mysql    //設置 internal 區域允許訪問 mysql 服務
success
[root@localhost ~]# firewall-cmd --zone=internal --remove-service=samba-client    //設置 internal 區域不允許訪問 samba-client 服務
success
[root@localhost ~]# firewall-cmd --zone=internal --list-services   //顯示 internal 區域內允許訪問的所有服務 
ssh mdns dhcpv6-client mysql
[root@localhost ~]# 

(5)端口管理

在進行服務配置時,預定義的網絡服務可以使用服務名配置,服務所涉及的端口就會自 動打開。但是,對于非預定義的服務只能手動為指定的區域添加端口。例如,執行以下操作 即可實現在 internal 區域打開 443/TCP 端口。

[root@localhost ~]# firewall-cmd --zone=internal --add-port=443/tcp
success
[root@localhost ~]# 

若想實現在 internal 區域禁止 443/TCP 端口訪問,可執行以下命令。

[root@localhost ~]# firewall-cmd --zone=internal --remove-port=443/tcp
success
[root@localhost ~]#

(6)兩種配置模式

前面提到 firewall-cmd 命令工具有兩種配置模式:運行時模式(Runtime mode)表示 當前內存中運行的防火墻配置,在系統或 firewalld 服務重啟、停止時配置將失效;永久模 式(Permanent mode)表示重啟防火墻或重新加載防火墻時的規則配置,是永久存儲在配置 文件中的。

firewall-cmd 命令工具與配置模式相關的選項有三個:

--reload:重新加載防火墻規則并保持狀態信息,即將永久配置應用為運行時配置 
--permanent:帶有此選項的命令用于設置永久性規則,這些規則只有在重新啟動firewalld 或重新加載防火墻規則時才會生效;若不帶有此選項,表示用于設置運行時 規則。 
--runtime-to-permanent:將當前的運行時配置寫入規則配置文件中,使之成為永久性 

Firewall-cmd命令總結:

選項 說明
--get-default-zone 顯示網絡連接或接口的默認區域
--set-default-zone= <zone> 設置網絡連接或接口的默認區域
--get-active -zones 顯示已激活的所有區域
--get-zone-of-interface= <interface> 顯示指定接口綁定的區域
--zone= <zone> --add-interface= <interface> 為指定接口綁定區域
--zone= <zone> --change-interface= <interface> 為指定的區域更改綁定的網絡接口
--zone= <zone> --remove-interface= <interface> 為指定的區域刪除綁定的網絡接口
--query-interface= <interface> 查詢區域中是否包含某接口
--list-all-zones 顯示所有區域及其規則
[--zone= <zone>] --list-all 顯示所有指定區域的所有規則
[--zone= <zone>] --list-services 顯示指定區域內允許訪問的所有服務
[--zone= <zone>] --add-service= <service> 為指定區域設置允許訪問的某項服務
[--zone= <zone>] --remove-service= <service> 刪除指定區域已設置的允許訪問的某項服務
[--zone= <zone>] --query-service= <service> 查詢指定區域中是否啟用了某項服務
[--zone= <zone>] --list-ports 顯示指定區域內允許訪問的所有端口號
[--zone= <zone>] --add-port= <port>[-<port> ]/ <protocol> [--timeout= <seconds>] 啟用區域端口和協議組合,可選配置超時時間
[--zone= <zone>] --remove-port= <port>[-<port>]/<protocol> 禁用區域端口和協議組合
[--zone= <zone>] --query-port=<port>[-<port> ]/<protocol> 查詢區域中是否啟用了端口和協議組合
[--zone= <zone>] --list-icmp-blocks 顯示指定區域內阻塞的所有ICMP類型
[--zone= <zone>] --add-icmp-block= <icmptype> 為指定區域設置阻塞的某項ICMP類型
[--zone= <zone>] --remove-icmp-block= <icmptype> 刪除指定區域已阻塞的某項ICMP類型
[--zone= <zone>] --query-icmp-block= <icmptype> 查詢指定區域的ICMP阻塞功能
向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

深水埗区| 竹北市| 温州市| 扎囊县| 普陀区| 界首市| 南昌县| 连云港市| 广丰县| 高平市| 陇西县| 武宣县| 浦江县| 类乌齐县| 湖口县| 南漳县| 健康| 乐业县| 克东县| 封开县| 佛坪县| 若羌县| 磐石市| 吴川市| 高雄市| 合水县| 雅安市| 宜州市| 十堰市| 辉县市| 广德县| 抚顺县| 育儿| 昂仁县| 郧西县| 兴化市| 民和| 繁峙县| 玉溪市| 安义县| 泗洪县|