理論+實操：linux中firewalld防火墻基礎(chǔ)————理論講解-創(chuàng)新互聯(lián)

前言

創(chuàng)新互聯(lián)公司于2013年成立，是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司，擁有項目成都做網(wǎng)站、成都網(wǎng)站建設(shè)網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元安仁做網(wǎng)站,已為上家服務(wù),為安仁各地企業(yè)和個人服務(wù),聯(lián)系電話:028-86922220

• firewalld概述、firewalld 中的d代表服務(wù)
• firewalld 和 iptables 的關(guān)系
• firewalld 網(wǎng)絡(luò)區(qū)域
• firewalld 防火墻的配置方法
• firewall-config 圖形工具
• firewalld防火墻案例

管理防火墻工具

1.圖形化管理工具 firewall-config

2.命令管理工具 iptables（操作復(fù)雜） firewall-cmd

iptables

一 ： 什么是iptables

iptables 只是linux防火墻管理工具而已，真正實現(xiàn)防火墻功能的是netfilter，我們配置了iptables規(guī)則后netfilter通過這些規(guī)則來進(jìn)行防火墻過濾等操作

netfilter模塊：

? 它是主要的工作模塊，位于內(nèi)核中，在網(wǎng)絡(luò)層的五個位置（也就是防火墻四表五鏈中的五鏈）注冊了一些函數(shù)，用來抓取數(shù)據(jù)包；把數(shù)據(jù)包的信息拿出來匹配各個鏈位置在對應(yīng)表中的規(guī)則：匹配之后，進(jìn)行相應(yīng)的處理accept、drop等等。

下面這張圖很明了的說明了netfilter和iptables之間的關(guān)系

只要有操作系統(tǒng)，就有防火墻

accept 同意 drop 拒絕

網(wǎng)絡(luò)接口層從某種意義上是二層的mac

二 ： 四表五鏈

鏈就是執(zhí)行的步驟：共有五個

進(jìn)路由（prerouting）、

進(jìn)系統(tǒng)（input）、

轉(zhuǎn)發(fā)（forward）、

出系統(tǒng)（output）、

出路由（postrouting）；

表就是存儲的規(guī)則：數(shù)據(jù)包到了該鏈處，會去對應(yīng)表中查詢設(shè)置的規(guī)則，然后決定是否放行、丟棄、轉(zhuǎn)發(fā)還是修改等等操作。

2.1 具體的四表

• filter表——過濾數(shù)據(jù)包
  • 是默認(rèn)的表
• nat表——用于網(wǎng)絡(luò)地址轉(zhuǎn)換（ip、端口）
  • 地址轉(zhuǎn)換時匹配這個表
• mangle表——修改數(shù)據(jù)包的服務(wù)類型、TTL、并且可以配置路由實現(xiàn)QOS
  • 修改數(shù)據(jù)包時用到，很少用到
• raw表——決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理
  • 打標(biāo)記時使用，用的少

表——————鏈————規(guī)則

一個表——一個表當(dāng)中包含多個鏈——一個鏈當(dāng)中包含多個規(guī)則

進(jìn)路由、出路由 地址轉(zhuǎn)換時用

2.2 具體的五鏈

硬件防火墻效果大于軟件防火墻，軟件防火墻只是多一道防護(hù)

• INPUT鏈————進(jìn)來的數(shù)據(jù)包應(yīng)用此規(guī)則鏈中的策略
• OUTPUT鏈————外出的數(shù)據(jù)包應(yīng)用此規(guī)則鏈的策略
• FORWARD鏈————轉(zhuǎn)發(fā)數(shù)據(jù)包時應(yīng)用此規(guī)則鏈中的策略
• PREOUTING鏈————對數(shù)據(jù)包作路由選擇前應(yīng)用此鏈中的規(guī)則（所有的數(shù)據(jù)包進(jìn)來的時候都先由這個鏈處理）
• POSTROUTING鏈————對數(shù)據(jù)包作路由選擇后應(yīng)用此鏈中的規(guī)則（所有的數(shù)據(jù)包出來的時候都先由這個鏈處理）

2.3 四表五鏈之間的關(guān)系

五鏈	raw表（打標(biāo)記）	mangle表（修改數(shù)據(jù)包類型）	nat表（地址轉(zhuǎn)換）	filter表（過濾數(shù)據(jù)包）
PREROUTING鏈（進(jìn)路由）	-	-	-
INPUT鏈（進(jìn)系統(tǒng)）		-		-
FORWARD鏈（數(shù)據(jù)包轉(zhuǎn)發(fā)）		-		-
OUTPUT鏈（出系統(tǒng)）	-	-	-	-
POSTROUTING鏈（出路由）		-	-

• filter表——過濾數(shù)據(jù)包
  • 是默認(rèn)的表
• nat表——用于網(wǎng)絡(luò)地址轉(zhuǎn)換（ip、端口）
  • 地址轉(zhuǎn)換時匹配這個表
• mangle表——修改數(shù)據(jù)包的服務(wù)類型、TTL、并且可以配置路由實現(xiàn)QOS
  • 修改數(shù)據(jù)包時用到，很少用到
• raw表——決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理
  • 打標(biāo)記時使用，用的少

三 ： iptables語法格式

iptables [ -t 表名 ] 選項 [ 鏈名 ] [ 條件 ] [ -j 控制類型 ]

iptables 常用參數(shù)

-P 設(shè)置默認(rèn)策略：iptables

-P INPUT （DROP | ACCEPT）

-F 清空規(guī)則鏈

-L 查看規(guī)則鏈

-A 在規(guī)則連的末尾插入新的規(guī)則

-I num 在規(guī)則連的頭部加入新規(guī)則 //大寫的i

-D num 刪除某一條規(guī)則

-s 匹配來源地址IP/MASK，加嘆號“！”表示除這個IP外

-d 匹配目標(biāo)地址

-i 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流入的數(shù)據(jù)

-o 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流出的數(shù)據(jù)

-p 匹配協(xié)議，如tcp，udp，icmp

--dport num 匹配目標(biāo)端口號

--sport num 匹配來源端口號

-I 規(guī)則鏈 -i網(wǎng)卡 -p 協(xié)議 --dport 目標(biāo)端口 -s 源地址 -j 操作

iptables -F 清空默認(rèn)的filters表

想要清空指定的表，需要-t指定表

一 ： firewalld 概述

1.1 firewalld 簡介

• 支持網(wǎng)絡(luò)區(qū)域所定義的網(wǎng)絡(luò)鏈接以及接口安全等級的動態(tài)防火墻管理工具
• 支持IPv4、IPv6 防火墻設(shè)置以及以太網(wǎng)橋
• 支持服務(wù)或應(yīng)用程序直接添加防火墻規(guī)則接口
• 擁有兩種配置模式
  • 運行時配置
  • 永久配置

通常防火墻的接口在兩個或者兩個以上，針對用途的不同可以將接口劃分為不同的區(qū)域，針對區(qū)域去進(jìn)行管理

1.2 linux 6 跟 linux 7 之間的區(qū)別

? linux6與linux7 的網(wǎng)卡名稱不同————linux6 的網(wǎng)卡名稱 eth0

區(qū)別	linux6	linux7
網(wǎng)卡名稱	eth0	ens33
防火墻	iptables	firewalld，iptables

二 ： firewalld 和 iptales 的關(guān)系

2.1 netfilter

• 位于linux內(nèi)核中的包過濾功能體系
• 被稱為linux防火墻的“內(nèi)核態(tài)”

2.2 firewalld/iptabldes

• centos7 默認(rèn)的管理防火墻規(guī)則的工具（firewalld）
• 稱為linux防火墻的“用戶態(tài)”

在防火墻中，發(fā)揮作用的是netfilter（內(nèi)核態(tài)），不可以直接管理，只能間接管理，使用firewalld或者iptabvles

daemon 指的是進(jìn)程

firewall-config 是圖形化工具

firewall-cmd 是字符命令

使用工具或者操作去管理進(jìn)程和服務(wù)

進(jìn)程服務(wù)去控制封裝的iptables命令，間接的去管理內(nèi)核中的netfiler

真正能跟netfilter交互的是iptables，firewall去管理iptables

四表五鏈也就在iptables（command）中

工作原理體系圖

2.3 firewalld 和 iptables 的區(qū)別

區(qū)別	firewalld	iptables
配置文件	/usr/lib/firewalld/ /etc/firewalld	etc/firewalld/etc/sysconfig/iptables
對規(guī)則的修改	不需要全部刷新策略，不丟失現(xiàn)行連接	需要全部刷新策略，丟失連接
防火墻類型	動態(tài)防火墻	靜態(tài)防火墻

三 ：firewalld 網(wǎng)絡(luò)區(qū)域

3.1 區(qū)域介紹

區(qū)域	描述
drop（丟棄）	任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄，沒有任何回復(fù)。僅能有發(fā)送出去的網(wǎng)絡(luò)連接
block（限制）	人和接受的網(wǎng)絡(luò)連接都被IPv4的imcp-host-prohibited 信息和IPv6的icmp6-adm-prohibited 信息所拒絕
public（公共）	在公共區(qū)域內(nèi)使用，不能詳細(xì)網(wǎng)絡(luò)內(nèi)的其他計算機不會對您的計算機造成危害，只能接收經(jīng)過選取的內(nèi)容
external（外部）	特別是為路由器啟用了偽裝功能的外部網(wǎng)。您不能信任來自網(wǎng)絡(luò)的其他計算機，不能相信他們不會對您的計算機造成危害，只能接收經(jīng)過選擇的鏈接
dmz（非軍事區(qū)）	用于您的非軍事區(qū)內(nèi)的電腦，此區(qū)域內(nèi)可公開訪問，可以有限的進(jìn)入您的內(nèi)部網(wǎng)絡(luò)，僅僅接收經(jīng)過選擇的鏈接
work（工作）	用于工作區(qū)。您可以基本詳細(xì)網(wǎng)絡(luò)內(nèi)的其他電腦不會危害您的電腦。僅僅接收經(jīng)過選擇的鏈接
home（家庭）	用于家庭網(wǎng)絡(luò)。您可以基本信任網(wǎng)絡(luò)內(nèi)的其他計算機不會危害您的計算機。僅僅接收經(jīng)過選擇的鏈接
internal（內(nèi)部）	用于內(nèi)部網(wǎng)絡(luò)。您可以基本上信任網(wǎng)絡(luò)內(nèi)的其他計算機不會威脅您的計算機。僅僅接收經(jīng)過選擇的連接
trusted（信任）	可接受所有的網(wǎng)絡(luò)連接

• public 公共區(qū)域，默認(rèn)所有端口放在這個區(qū)域

• external 外部 通常會把鏈接外網(wǎng)的網(wǎng)卡放到這里

默認(rèn)規(guī)則，高安全級別可以訪問低安全級別，如果讓外網(wǎng)訪問內(nèi)網(wǎng)，需要專門修改規(guī)則

比如內(nèi)網(wǎng)的安全級別為100，外網(wǎng)的安全級別為0，則

內(nèi)網(wǎng)可以訪問外網(wǎng)，外網(wǎng)不可以訪問內(nèi)網(wǎng)

把提供對外服務(wù)的服務(wù)器放到內(nèi)網(wǎng)，如果想要讓外網(wǎng)可以訪問內(nèi)網(wǎng)，需要設(shè)置對應(yīng)的配置，但是安全性方面存在隱患

于是就出現(xiàn)了dmz（非軍事區(qū)），將dmz安全級別設(shè)置為50，將提供對外服務(wù)的服務(wù)器劃分到dmz，這樣安全性方面就得到了提高

但是這樣也有以dmz為跳板，去訪問內(nèi)網(wǎng)的情況，為了更安全，背靠背堡壘主機的模式出現(xiàn)，即再加入一臺硬件防火墻，將新的一臺防火墻放到內(nèi)網(wǎng)與當(dāng)前硬件防火墻之間，起到隔絕的作用

即，第一道防火墻擋在外面，后面分兩道線，一道是對外服務(wù)器，一道是內(nèi)網(wǎng)，在內(nèi)網(wǎng)的位置再添加第二道防火墻，以保護(hù)內(nèi)網(wǎng)主機安全

可以在第一道防火墻啟用流量監(jiān)控清晰，實時分析數(shù)據(jù)，針對性去過濾可疑數(shù)據(jù)，

還可以在第一道防火墻放置一個蜜罐

常用的區(qū)域為：

public

external

dmz

internal

block 是阻塞模式

工作和家庭是自定義區(qū)域

低安全通向高安全需要設(shè)置入站規(guī)則

默認(rèn)情況下，ens33綁定在公共區(qū)域（public）中

3.2 區(qū)域概述

• 區(qū)域如同進(jìn)入主機的安全門，每個區(qū)域都具有不同限制程度的規(guī)則
• 可以使用一個或多個區(qū)域，但是任何一個活躍區(qū)域至少需要關(guān)聯(lián)源地址或接口
• 默認(rèn)情況下，public區(qū)域是默認(rèn)區(qū)域，包含所有接口（網(wǎng)卡）

iptables沒有區(qū)域的概念

iptables是針對四表五鏈設(shè)置規(guī)則

3.3 firewalld數(shù)據(jù)處理流程

3.3.1 檢查數(shù)據(jù)來源的源地址

• 若源地址關(guān)聯(lián)到特定的區(qū)域，則執(zhí)行該區(qū)域所指定的規(guī)則
• 若源地址未關(guān)聯(lián)到特定的區(qū)域，則使用傳入網(wǎng)絡(luò)接口的區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則
• 若網(wǎng)絡(luò)接口未關(guān)聯(lián)到特定的區(qū)域，則使用默認(rèn)區(qū)域并執(zhí)行該區(qū)域所指定的規(guī)則

3.3.2 配置

• 運行時配置 （內(nèi)存）
  • 實時生效，并持續(xù)至firewalld重新啟動或重新加載配置
  • 不中斷現(xiàn)有連接
  • 不能修改服務(wù)配置
• 永久配置
  • 不立即生效，除非firewalld重新啟動或重新加載配置
  • 中斷現(xiàn)有連接
  • 可以修改服務(wù)配置

備注：

? 在業(yè)務(wù)比較繁忙時，不要設(shè)置永久配置，先設(shè)置運行時配置，不會中斷原有業(yè)務(wù)，等到夜晚不繁忙的時候，再設(shè)置永久配置

四 ： firewalld防火墻的配置方法

4.1 firewall-config 圖形工具

4.2 firewall-cmd 命令行工具

4.3 /etc/firewalld/ 中的配置文件

• firewalld會優(yōu)先使用/etc/firewalld/中的配置，如果不存在配置文件，則使用/usr/lib/firewalld/ 中的配置
  • /etc/firewalld : 用戶自定義配置文件，需要時可通過從/usr/libfirewalld/ 中拷貝
  • /usr/lib/firewalld/ ： 默認(rèn)配置文件，不建議修改，若恢復(fù)至默認(rèn)配置，可直接刪除/etc/firewalld/ 中的配置

五 ： firewalld-config 圖形工具

5.1 運行時配置/永久配置

5.2 重新加載防火墻

• 更改永久配置并生效

5.3 關(guān)聯(lián)網(wǎng)卡到指定區(qū)域

5.4 修改默認(rèn)區(qū)域

5.5 連接狀態(tài)

5.6 區(qū)域選項卡

• “服務(wù)”子選項卡

被激活的區(qū)域（區(qū)域內(nèi)有網(wǎng)卡存在）名會被黑色加粗；先指定要修改的區(qū)域，然后去修改服務(wù)等子選項，這些配置只對在該區(qū)域內(nèi)的網(wǎng)卡生效

• “端口”子選項卡

• “協(xié)議”子選項卡

• “源端口”子選項卡

• “偽裝”子選項卡

• “端口轉(zhuǎn)發(fā)”子選項卡

• “icmp過濾器”子選項卡
  

5.7 “服務(wù)”選項卡

• “模塊”子選項卡
  
• “目標(biāo)地址”子選項卡

六 ： firewalld防火墻案例

6.1 實驗環(huán)境

6.2 需求描述

• 禁止主機ping服務(wù)器
• 只允許192.168.2.130主機訪問ssh服務(wù)
• 允許所有主機訪問apache服務(wù)

6.3實驗操作步驟

[root@localhost ~]# rpm -q httpd
httpd-2.4.6-90.el7.centos.x86_64
[root@localhost ~]# firewall-config

6.3.1 ping操作

C:\Users\GSY>ping 192.168.247.142

正在 Ping 192.168.247.142 具有 32 字節(jié)的數(shù)據(jù):
來自 192.168.247.142 的回復(fù): 字節(jié)=32 時間<1ms TTL=64
來自 192.168.247.142 的回復(fù): 字節(jié)=32 時間<1ms TTL=64
來自 192.168.247.142 的回復(fù): 字節(jié)=32 時間<1ms TTL=64
來自 192.168.247.142 的回復(fù): 字節(jié)=32 時間<1ms TTL=64

192.168.247.142 的 Ping 統(tǒng)計信息:
    數(shù)據(jù)包: 已發(fā)送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒為單位):
    最短 = 0ms，最長 = 0ms，平均 = 0ms

關(guān)閉icmp的請求選項

C:\Users\GSY>ping 192.168.247.142

正在 Ping 192.168.247.142 具有 32 字節(jié)的數(shù)據(jù):
來自 192.168.247.142 的回復(fù): 無法訪問目標(biāo)主機。
來自 192.168.247.142 的回復(fù): 無法訪問目標(biāo)主機。
來自 192.168.247.142 的回復(fù): 無法訪問目標(biāo)主機。
來自 192.168.247.142 的回復(fù): 無法訪問目標(biāo)主機。

192.168.247.142 的 Ping 統(tǒng)計信息:
    數(shù)據(jù)包: 已發(fā)送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

6.3.2 只允許指定主機訪問ssh

[root@localhost ~]# ssh root@192.168.247.142
The authenticity of host '192.168.247.142 (192.168.247.142)' can't be established.
ECDSA key fingerprint is SHA256:dXWxtS2ShXQgfb7R672V7+l3i7rGqHBbIB5MTcFnAws.
ECDSA key fingerprint is MD5:59:fb:20:f0:28:96:5e:14:90:82:63:c9:ae:67:d6:e9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.247.142' (ECDSA) to the list of known hosts.
root@192.168.247.142's password: 
Last login: Mon Dec  9 13:42:31 2019 from 192.168.247.1
[root@localhost ~]# exit
登出
Connection to 192.168.247.142 closed.
[root@localhost ~]# ssh root@192.168.247.142
ssh: connect to host 192.168.247.142 port 22: No route to host
[root@localhost ~]# 
[root@localhost ~]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.247.143  netmask 255.255.255.0  broadcast 192.168.247.255
        inet6 fe80::e2c1:c26d:afa1:a4ad  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:52:4d:89  txqueuelen 1000  (Ethernet)
        RX packets 602  bytes 49107 (47.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 227  bytes 24670 (24.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

[root@localhost ~]# ssh root@192.168.247.142
root@192.168.247.142's password: 
Last login: Mon Dec  9 14:05:12 2019 from 192.168.247.1
[root@localhost ~]# 

6.3.3 允許所有主機訪問apache

[root@localhost ~]# systemctl start httpd
[root@localhost ~]# netstat -natp | grep 'httpd'
tcp6       0      0 :::80                   :::*                    LISTEN      119597/httpd        
[root@localhost ~]# 

七 ： firewalld-cmd

7.1 防火墻進(jìn)程操作 （systemctl 選項 firewalld）

• 選項： start stop restart status

7.2 防火墻管理操作

• firewall-cmd命令
  • 支持全部防火墻特性
  • 對于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒有其他輸出
  • --permanent參數(shù) ： 攜帶該參數(shù)表示永久配置，否則表示運行時配置
  • [ --zone=<zone>] 選項： 不攜帶此選項表示針對默認(rèn)區(qū)域操作，否則針對指定區(qū)域操作

7.3 查詢firewalld狀態(tài)

• systemctl status firewalld

[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since 一 2019-12-09 09:26:39 CST; 5h 14min ago
     Docs: man:firewalld(1)
 Main PID: 803 (firewalld)
   CGroup: /system.slice/firewalld.service
           └─803 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid

12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
12月 09 14:10:14 localhost.localdomain firewalld[803]: WARNING: COMMAND_FAILED: '/usr/sb....
Hint: Some lines were ellipsized, use -l to show in full.

• firewall-cmd --state

[root@localhost ~]# firewall-cmd --state
running
[root@localhost ~]# 

7.4 firewalld常用命令

7.5 重新加載firewalld的配置

• firewall-cmd --reload

[root@localhost ~]# firewall-cmd --reload
success
[root@localhost ~]#

• firewall-cmd --complete-reload
  • 狀態(tài)信息將會丟失，多用于處理防火墻出現(xiàn)問題時

[root@localhost ~]# firewall-cmd --complete-reload
success
[root@localhost ~]#

• systemctl restart firewalld

[root@localhost ~]# systemctl restart firewalld

八 ： 查詢預(yù)定義信息命令

8.1 獲取預(yù)定義信息

• firewall-cmd --get-zones 查看預(yù)定義的區(qū)域

[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
[root@localhost ~]#

• firewall-cmd --get-services 查看預(yù)定義的服務(wù)

[root@localhost ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp open*** ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
[root@localhost ~]#

• firewall-cmd --get-icmptypes 查看預(yù)定義的ICMP類型

[root@localhost ~]# firewall-cmd --get-icmptypes
address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
[root@localhost ~]#

8.2 顯示網(wǎng)絡(luò)連接或接口的默認(rèn)區(qū)域

[root@localhost ~]# firewall-cmd --get-default-zone
public
[root@localhost ~]#

8.3 設(shè)置網(wǎng)絡(luò)連接或接口的默認(rèn)區(qū)域為internal

[root@localhost ~]# firewall-cmd --set-default-zone=internal
success
[root@localhost ~]#

8.4 顯示已激活的所有區(qū)域

[root@localhost ~]# firewall-cmd --get-active-zones
public
  interfaces: ens33
[root@localhost ~]#

• 激活的條件 ： 區(qū)域至少關(guān)聯(lián)一個接口或一個源地址/網(wǎng)段

• get 下載、顯示的含義

8.5 顯示ens33接口綁定的區(qū)域

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
public
[root@localhost ~]#

8.6 為ens33接口綁定work區(qū)域

[root@localhost ~]# firewall-cmd --zone=work --add-interface=ens33
The interface is under control of NetworkManager, setting zone to 'work'.
success
[root@localhost ~]#

8.7 為work區(qū)域更改綁定的網(wǎng)絡(luò)接口ens33

[root@localhost ~]# firewall-cmd --zone=work --change-interface=ens33
The interface is under control of NetworkManager and already bound to 'work'
The interface is under control of NetworkManager, setting zone to 'work'.
success
[root@localhost ~]#

8.8 為work區(qū)域刪除綁定的網(wǎng)絡(luò)接口ens33

[root@localhost ~]# firewall-cmd --zone=work --remove-interface=ens33
The interface is under control of NetworkManager, setting zone to default.
success
[root@localhost ~]#

8.9 查詢work區(qū)域是否包含接口ens33

[root@localhost ~]# firewall-cmd --zone=work --query-interface=ens33
no
[root@localhost ~]#

8.10 顯示區(qū)域及其規(guī)則

• 顯示所有區(qū)域及其規(guī)則

[root@localhost ~]# firewall-cmd --list-all-zones
block
  target: %%REJECT%%
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

dmz
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

drop
  target: DROP
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

external
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh
  ports: 
  protocols: 
  masquerade: yes
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

home
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

public
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh dhcpv6-client http
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

trusted
  target: ACCEPT
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

work
  target: default
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: ssh dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@localhost ~]# 

• 顯示internal區(qū)域的所有規(guī)則

[root@localhost ~]# firewall-cmd --zone=internal --list-all
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@localhost ~]#

• 顯示默認(rèn)區(qū)域的所有規(guī)則

[root@localhost ~]# firewall-cmd --list-all
internal (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources: 
  services: ssh mdns samba-client dhcpv6-client
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

[root@localhost ~]#

firewall-cmd 區(qū)域小結(jié)

九 ：firewalld服務(wù)操作命令

9.1 顯示internal 區(qū)域內(nèi)允許訪問的所有服務(wù)

[root@localhost ~]# firewall-cmd --zone=internal --list-services
ssh mdns samba-client dhcpv6-client

9.2 為public區(qū)域設(shè)置允許訪問SMTP服務(wù)

[root@localhost ~]# firewall-cmd --zone=public --add-service=smtp
success
[root@localhost ~]#

9.3 刪除internal 區(qū)域中的SSH服務(wù)

[root@localhost ~]# firewall-cmd --zone=internal --remove-service=ssh
success
[root@localhost ~]#

9.4 查詢internal 區(qū)域中是否啟用了SSH服務(wù)

[root@localhost ~]# firewall-cmd --zone=internal --query-service=ssh
no
[root@localhost ~]#

firewall-cmd 服務(wù)配置小結(jié)

十 ： firewalld 端口操作命令

10.1 顯示internal 區(qū)域內(nèi)允許訪問的所有端口號

[root@localhost ~]# firewall-cmd --zone=internal --list-ports

10.2 啟用internal區(qū)域22端口的TCP協(xié)議組合

[root@localhost ~]# firewall-cmd --zone=internal --add-port=22/tcp --timeout=5m
success
[root@localhost ~]#

• --timeout=5m ： 表示5分鐘后刪除該端口，多用于測試目的

10.3 禁用internal 區(qū)域22端口的TCP協(xié)議組合

[root@localhost ~]# firewall-cmd --zone=internal --remove-port=22/tcp
success
[root@localhost ~]#

10.4 查詢internal 區(qū)域中是否啟用了22端口和TCP協(xié)議組合

[root@localhost ~]# firewall-cmd --zone=internal --query-port=22/tcp
no
[root@localhost ~]#

firewall-cmd 端口配置小結(jié)

十一 ： firewalld 阻塞ICMP操作命令

11.1 顯示work區(qū)域內(nèi)阻塞的所有ICMP類型

[root@localhost ~]# firewall-cmd --zone=work --list-icmp-blocks

[root@localhost ~]#

11.2 為work區(qū)域設(shè)置阻塞echo-reply類型的ICMP

[root@localhost ~]# firewall-cmd --zone=work --add-icmp-block=echo-request
success
[root@localhost ~]# 
[root@localhost ~]# firewall-cmd --zone=work --list-icmp-blocks
echo-request
[root@localhost ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply 
success
[root@localhost ~]#

11.3 刪除work區(qū)域已阻塞recho-reply類型的ICMP

[root@localhost ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply 
success
[root@localhost ~]# firewall-cmd --zone=work --list-icmp-blocks
echo-request
[root@localhost ~]#

11.4 查詢work區(qū)域的echo-request類型的ICMP是否阻塞

[root@localhost ~]# firewall-cmd --zone=work --query-icmp-block=echo-request
yes
[root@localhost ~]#

備注： 阻塞，即不讓通行的意思

firewall-cmd icmp阻塞配置小結(jié)

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機、免備案服務(wù)器”等云主機租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

本文標(biāo)題：理論+實操：linux中firewalld防火墻基礎(chǔ)————理論講解-創(chuàng)新互聯(lián)
網(wǎng)站網(wǎng)址：http://muchs.cn/article4/cdcjoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站內(nèi)鏈、關(guān)鍵詞優(yōu)化、全網(wǎng)營銷推廣、云服務(wù)器、定制開發(fā)、ChatGPT

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)