日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

防火墻對于控制進出 Linux 服務(wù)器的網(wǎng)絡(luò)流量至關(guān)重要。它能夠定義一組防火墻規(guī)則來控制主機上的傳入流量。本文介紹如何添加、刪除、啟用和禁用防火墻規(guī)則和區(qū)域。

京山網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)公司從2013年開始到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

什么是FirewallD

“firewalld”是firewall daemon。它提供了一個動態(tài)管理的防火墻，帶有一個非常強大的過濾系統(tǒng)，稱為 Netfilter，由 Linux 內(nèi)核提供。

FirewallD 使用zones和services的概念，而 iptables 使用chain和rules。與 iptables 相比，“FirewallD”提供了一種非常靈活的方式來處理防火墻管理。

每個zones都可以按照指定的標(biāo)準(zhǔn)進行配置，以根據(jù)你的要求接受或拒絕某些服務(wù)或端口，并且它可以與一個或多個網(wǎng)絡(luò)接口相關(guān)聯(lián)。默認(rèn)區(qū)域為public區(qū)域。 [yijiFirewalld zones[/yiji] 以下命令列出 FirewallD 提供的zones。運行以下命令以列出zones：

[root@server1 ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

• block: 對于 IPv4，任何傳入連接都會被 icmp-host-prohibited 消息拒絕，對于 IPv6 則是 icmp6-adm-prohibited。
  
• **dmz:**應(yīng)用于你的DMZ區(qū)域的計算機，這些計算機可公開訪問，但對內(nèi)部網(wǎng)絡(luò)的訪問受到限制。僅接受選定的傳入連接。
  
• **drop:**任何傳入連接都將在沒有任何通知的情況下被丟棄。只允許傳出連接。
  
• **external:**用于在系統(tǒng)中充當(dāng)路由器時啟用 NAT 偽裝的外部網(wǎng)絡(luò)。只允許選定的傳入連接。
  
• **home:**用于家庭網(wǎng)絡(luò)。僅接受選定的傳入連接。
  
• **internal:**用于內(nèi)部網(wǎng)絡(luò)，網(wǎng)絡(luò)上的其他系統(tǒng)通常是可信任的。僅接受選定的傳入連接。
  
• **public:**用于公共區(qū)域，僅接受選定的傳入連接。
  
• **trusted:**接受所有網(wǎng)絡(luò)連接。
  
• **work:**用于工作區(qū)域，同一網(wǎng)絡(luò)上的其他計算機大多受信任。僅接受選定的傳入連接。
  

Firewalld services

Firewalld 的service配置是預(yù)定義的服務(wù)。要列出可用的服務(wù)模塊，請運行以下命令：

[root@server1 ~]# firewall-cmd --get-services

Firewalld的臨時設(shè)置和永久設(shè)置

Firewalld 使用兩個獨立的配置，即臨時設(shè)置和永久設(shè)置：

• 臨時設(shè)置: 臨時設(shè)置不會在系統(tǒng)重啟時保持不變。這意味著臨時設(shè)置不會自動保存到永久設(shè)置中。
  
• 永久設(shè)置: 永久設(shè)置會存儲在配置文件中，將在每次重新啟動時加載并成為新的臨時設(shè)置。
  

啟用、禁用Firewalld

Firewalld默認(rèn)安裝在Centos7/8中，下面命令時如何啟用或者停用firewalld:

# 啟用Firewalld
[root@server1 ~]# systemctl start firewalld
# 禁用Firewalld
[root@server1 ~]# systemctl stop firewalld
# 開機啟動
[root@server1 ~]# systemctl enable firewlald
# 禁止開機啟動
[root@server1 ~]# systemctl disable firewalld

查看firewlald的狀態(tài)：

[root@server1 ~]# systemctl status firewalld
或者
[root@server1 ~]# firewall-cmd --state
running

zone管理

Firewalld 為每個區(qū)域提供不同級別的安全性，公共區(qū)域設(shè)置為默認(rèn)區(qū)域。下面命令查看默認(rèn)區(qū)域：

[root@server1 ~]# firewall-cmd --get-default-zone
public

下面命令查看默認(rèn)區(qū)域的配置：

[root@server1 ~]# firewall-cmd --list-all
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: ens160
 sources:
 services: cockpit dhcpv6-client ntp ssh
 ports: 2222/tcp
 protocols:
 masquerade: no
 forward-ports:
 source-ports:
 icmp-blocks:
 rich rules:

通過使用選項”–zone”和“–change-interface”的組合，可以輕松更改zone中的接口。例如，要將“ens33”接口分配給“home”區(qū)域，請運行以下命令：

[root@server1 ~]# firewall-cmd --zone=home --change-interface=ens33
success
[root@server1 ~]# firewall-cmd --zone=home --list-all
home (active)
 target: default
 icmp-block-inversion: no
 interfaces: ens33
 sources:
 services: cockpit dhcpv6-client mdns samba-client ssh
 ports:
 protocols:
 masquerade: no
 forward-ports:
 source-ports:
 icmp-blocks:
 rich rules:

要查看所有活動的zone，請運行以下命令：

[root@server1 ~]# firewall-cmd --get-active-zones
home
 interfaces: ens33
public
 interfaces: ens160

要更改默認(rèn)zone，請使用以下命令。例如，要將默認(rèn)區(qū)域更改為 home，請運行以下命令：

[root@server1 ~]# firewall-cmd --set-default-zone=home

要找出與 ens160 接口關(guān)聯(lián)的區(qū)域，請運行以下命令：

[root@server1 ~]# firewall-cmd --get-zone-of-interface=ens160
public

要創(chuàng)建新zone，請使用以下命令。例如，要創(chuàng)建一個名為“test”的新區(qū)域，并永久生效，請運行：

[root@server1 ~]# firewall-cmd --permanent --new-zone=test
success
[root@server1 ~]# firewall-cmd --reload
success

開放和關(guān)閉端口

打開特定端口允許用戶從外部訪問系統(tǒng)，這代表了安全風(fēng)險。因此，僅在必要時為某些服務(wù)打開所需的端口。

要獲取當(dāng)前區(qū)域中開放的端口列表，請運行以下命令：

[root@server1 ~]# firewall-cmd --list-ports
2222/tcp

下面實例將特定端口永久添加到列表中：

[root@server1 ~]# firewall-cmd --permanent --add-port=8080/tcp
success
[root@server1 ~]# firewall-cmd --reload
success

同樣，要刪除特定端口，請運行以下命令：

[root@server1 ~]# firewall-cmd --remove-port=8080/tcp
success

可以使用以下命令每次確認(rèn)端口是否已添加或刪除：

[root@server1 ~]# firewall-cmd --list-ports

如果要為特定區(qū)域開放端口，例如，以下命令將為 home 區(qū)域打開端口 80：

[root@server1 ~]# firewall-cmd --permanent --zone=home --add-port=80/tcp
success
[root@server1 ~]# firewall-cmd --reload
success

同樣，要從開放的端口中刪除特定區(qū)域的特定端口，請運行：

[root@server1 ~]# firewall-cmd --zone=home --remove-port=80/tcp
success

添加和移除服務(wù)類型

Firewalld 服務(wù)配置是預(yù)定義的服務(wù)，如果啟用了服務(wù)，則會自動加載。使用預(yù)定義服務(wù)使用戶可以更輕松地啟用和禁用對服務(wù)的訪問。

預(yù)定義的服務(wù)配置文件位于/usr/lib/firewalld/services目錄中。

Firewalld的服務(wù)，你不需要記住任何端口，并且可以一次性允許所有端口。

例如，執(zhí)行以下命令允許 samba 服務(wù)。samba 服務(wù)需要啟用以下一組端口：“139/tcp 和 445/tcp”以及“137/udp 和 138/udp”。

添加’samba’服務(wù)后，所有端口都會同時激活，因為所有端口信息都在samba服務(wù)配置中。下面是Firewalld中預(yù)定義的samba的服務(wù)配置文件：

[root@server1 ~]# cat /usr/lib/firewalld/services/samba.xml

下面是在home區(qū)域放行samba服務(wù)：

[root@server1 ~]# firewall-cmd --permanent --zone=home --add-service=samba
success
[root@server1 ~]# firewall-cmd --reload
success

要獲取有關(guān) samba 服務(wù)的更多信息，請運行以下命令：

[root@server1 ~]# firewall-cmd --info-service=samba
samba
 ports: 137/udp 138/udp 139/tcp 445/tcp
 protocols:
 source-ports:
 modules: netbios-ns
 destination:

要一次添加多個服務(wù)，請執(zhí)行以下命令。例如，要添加 http 和 https 服務(wù)，請運行以下命令：

[root@server1 ~]# firewall-cmd --permanent --zone=home --add-service={http,https}
success
[root@server1 ~]# firewall-cmd --reload
success

設(shè)置端口轉(zhuǎn)發(fā)

端口轉(zhuǎn)發(fā)是一種將任何傳入網(wǎng)絡(luò)流量從一個端口轉(zhuǎn)發(fā)到另一個內(nèi)部端口或另一臺機器上的外部端口的方法。

注意：端口轉(zhuǎn)發(fā)必須開啟IP偽裝。使用下面顯示的命令為external區(qū)域啟用偽裝。

[root@server1 ~]# firewall-cmd --permanent --zone=external --add-masquerade

要檢查是否為區(qū)域啟用了 IP 偽裝，請運行以下命令：

[root@server1 ~]# firewall-cmd --zone=external --query-masquerade
yes

顯示yes，表示已經(jīng)開啟偽裝。

要將端口重定向到同一系統(tǒng)上的另一個端口，例如：將80端口的所有數(shù)據(jù)包重定向到8080端口：

[root@server1 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080
success

如果要將流量轉(zhuǎn)發(fā)到另一臺服務(wù)器，例如：將所有 80 端口的數(shù)據(jù)包重定向到 IP 為 10.0.0.75 的服務(wù)器上的 8080 端口：

[root@server1 ~]# firewall-cmd --permanent --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.0.0.75
success

例如，要允許來自特定源地址的流量，僅允許從特定子網(wǎng)連接到服務(wù)器，請運行以下命令：

[root@server1 ~]# firewall-cmd --permanent --zone=home --add-source=192.168.1.0/24
success

富規(guī)則設(shè)置

富規(guī)則允許使用易于理解的命令創(chuàng)建更復(fù)雜的防火墻規(guī)則，但豐富的規(guī)則很難記住，可以查看手冊man firewalld.richlanguage并找到示例。

富規(guī)則的一般規(guī)則結(jié)構(gòu)如下：
rule
 [source]
 [destination]
 service|port|protocol|icmp-block|icmp-type|masquerade|forward-port|source-port
 [log]
 [audit]
 [accept|reject|drop|mark]

要允許來自地址 192.168.0.0/24 的訪問，請運行以下命令：

[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept'
success

要允許來自地址 192.168.0.0/24 的連接訪問 ssh 服務(wù)，請運行以下命令：

[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept'
success

要拒絕來自192.168.10.0/24的流量訪問ssh服務(wù)，請運行以下命令：

[root@server1 ~]# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port=22 protocol=tcp reject'
success

要刪除任何富規(guī)則，請使用--remove-rich-rule選項，下面使用--list-rich-rules列出富規(guī)則，然后刪除掉富規(guī)則：

[root@server1 ~]# firewall-cmd --zone=public --list-rich-rules
rule family="ipv4" source address="192.168.0.0/24" accept
rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept
rule family="ipv4" source address="192.168.10.0/24" port port="22" protocol="tcp" reject
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" accept'
success
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.0.0/24" service name="ssh" log prefix="ssh" level="info" accept'
success
[root@server1 ~]# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.10.0/24" port port="22" protocol="tcp" reject'
success

Firewalld的Direct規(guī)則

Direct規(guī)則類似于 iptables 命令，對于熟悉 iptables 命令的用戶很有用。或者，您可以編輯/etc/firewalld/direct.xml文件中的規(guī)則并重新加載防火墻以激活這些規(guī)則。Direct規(guī)則主要由服務(wù)或應(yīng)用程序用來添加特定的防火墻規(guī)則。

以下Direct規(guī)則將在服務(wù)器上打開端口 8080：

[root@server1 ~]# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
success
[root@server1 ~]# firewall-cmd --reload
success

要列出當(dāng)前區(qū)域中的Direct規(guī)則，請運行：

[root@server1 ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT

使用下面命令刪除Direct規(guī)則：

[root@server1 ~]# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
ipv4 filter INPUT 0 -p tcp --dport 8081 -j ACCEPT
[root@server1 ~]# firewall-cmd --permanent --direct --remove-rule ipv4 filter INPUT 0 -p tcp --dport 8080 -j ACCEPT
success
[root@server1 ~]# firewall-cmd --reload
success

如何清空一個表的鏈？下面是語法和實例：

firewall-cmd --direct --remove-rules ipv4 [table] [chain]
[root@server1 ~]# firewall-cmd --permanent --direct --remove-rules ipv4 filter INPUT
success
[root@server1 ~]# firewall-cmd --reload
success
[root@server1 ~]# firewall-cmd --direct --get-all-rules

分享標(biāo)題：Linux中配置firewalld規(guī)則具體方法
文章出自：http://www.5511xx.com/article/dhgcchc.html