Centos7 防火墙 firewalld 实用操作

60次阅读

共计 3013 个字符,预计需要花费 8 分钟才能阅读完成。

一. 前言
Centos7 以上的发行版都试自带了 firewalld 防火墙的,firewalld 去带了 iptables 防火墙。其原因是 iptables 的防火墙策略是交由内核层面的 netfilter 网络过滤器来处理的,而 firewalld 则是交由内核层面的 nftables 包过滤框架来处理。相较于 iptables 防火墙而言,firewalld 支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是 firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
区域对于 firewalld 来说是一大特色,但是对于我们使用 Centos7 一般是在服务器上,需要切换 zone 的需求比较少,所以本文不做介绍了,网上资料也比较多,大家可以去百度找找资料。
二. 操作与配置
1. 服务操作
启动服务:
systemctl start firewalld
这里不用担心启用了防火墙以后无法通过 ssh 远程,22 端口默认加入了允许规则
停止服务:
systemctl stop firewalld
重启服务:
systemctl restart firewalld
查看服务状态:
systemctl status firewalld
2. 配置文件说明
firewalld 存放配置文件有两个目录,/usr/lib/firewalld 和 /etc/firewalld,前者存放了一些默认的文件,后者主要是存放用户自定义的数据,所以我们添加的 service 或者 rule 都在后者下面进行。
server 文件夹存储服务数据,就是一组定义好的规则。
zones 存储区域规则
firewalld.conf 默认配置文件,可以设置默认使用的区域,默认区域为 public,对应 zones 目录下的 public.xml
三. 命令
这里需要首先说明的是,在执行命令时,如果没有带 –permanent 参数表示配置立即生效,但是不会对该配置进行存储,相当于重启服务器就会丢失。如果带上则会将配置存储到配置文件,,但是这种仅仅是将配置存储到文件,却并不会实时生效,需要执行 firewall-cmd –reload 命令重载配置才会生效。
1. 重载防火墙配置
firewall-cmd –reload
2. 查看防火墙运行状态
firewall-cmd –state
3. 查看默认区域的设置
firewall-cmd –list-all
4. 应急命令
firewall-cmd –panic-on # 拒绝所有流量,远程连接会立即断开,只有本地能登陆
firewall-cmd –panic-off # 取消应急模式,但需要重启 firewalld 后才可以远程 ssh
firewall-cmd –query-panic # 查看是否为应急模式
5. 服务
firewall-cmd –add-service=<service name> #添加服务
firewall-cmd –remove-service=<service name> #移除服务
6. 端口
firewall-cmd –add-port=<port>/<protocol> #添加端口 / 协议(TCP/UDP)
firewall-cmd –remove-port=<port>/<protocol> #移除端口 / 协议(TCP/UDP)
firewall-cmd –list-ports #查看开放的端口
7. 协议
firewall-cmd –add-protocol=<protocol> # 允许协议 (例:icmp,即允许 ping)
firewall-cmd –remove-protocol=<protocol> # 取消协议
firewall-cmd –list-protocols # 查看允许的协议
8. 允许指定 ip 的所有流量
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.1″ accept” # 表示允许来自 192.168.2.1 的所有流量
9. 允许指定 ip 的指定协议
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” protocol value=”<protocol>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.208″ protocol value=”icmp” accept” # 允许 192.168.2.208 主机的 icmp 协议,即允许 192.168.2.208 主机 ping
10. 允许指定 ip 访问指定服务
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” service name=”<service name>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.208″ service name=”ssh” accept” # 允许 192.168.2.208 主机访问 ssh 服务
11. 允许指定 ip 访问指定端口
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” port protocol=”<port protocol>” port=”<port>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.1″ port protocol=”tcp” port=”22″ accept” # 允许 192.168.2.1 主机访问 22 端口
12. 将指定 ip 改为网段
8-11 的各个命令都支持 source address 设置为网段,即这个网段的 ip 都是适配这个规则:
例如:
firewall-cmd –zone=drop –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.0/24″ port protocol=”tcp” port=”22″ accept”
表示允许 192.168.2.0/24 网段的主机访问 22 端口。
13. 禁止指定 ip/ 网段
8-12 各个命令中,将 accept 设置为 reject 表示拒绝,设置为 drop 表示直接丢弃(会返回 timeout 连接超时)
例如:
firewall-cmd –zone=drop –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.0/24″ port protocol=”tcp” port=”22″ reject”
表示禁止 192.168.2.0/24 网段的主机访问 22 端口。
四. 参考资料
firewalld 防火墙详解 by xuad88.

本文作者:晓晨 master 阅读原文
本文为云栖社区原创内容,未经允许不得转载。

正文完
 0

Centos7 防火墙 firewalld 实用操作

61次阅读

共计 3013 个字符,预计需要花费 8 分钟才能阅读完成。

一. 前言
Centos7 以上的发行版都试自带了 firewalld 防火墙的,firewalld 去带了 iptables 防火墙。其原因是 iptables 的防火墙策略是交由内核层面的 netfilter 网络过滤器来处理的,而 firewalld 则是交由内核层面的 nftables 包过滤框架来处理。相较于 iptables 防火墙而言,firewalld 支持动态更新技术并加入了区域(zone)的概念。简单来说,区域就是 firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
区域对于 firewalld 来说是一大特色,但是对于我们使用 Centos7 一般是在服务器上,需要切换 zone 的需求比较少,所以本文不做介绍了,网上资料也比较多,大家可以去百度找找资料。
二. 操作与配置
1. 服务操作
启动服务:
systemctl start firewalld
这里不用担心启用了防火墙以后无法通过 ssh 远程,22 端口默认加入了允许规则
停止服务:
systemctl stop firewalld
重启服务:
systemctl restart firewalld
查看服务状态:
systemctl status firewalld
2. 配置文件说明
firewalld 存放配置文件有两个目录,/usr/lib/firewalld 和 /etc/firewalld,前者存放了一些默认的文件,后者主要是存放用户自定义的数据,所以我们添加的 service 或者 rule 都在后者下面进行。
server 文件夹存储服务数据,就是一组定义好的规则。
zones 存储区域规则
firewalld.conf 默认配置文件,可以设置默认使用的区域,默认区域为 public,对应 zones 目录下的 public.xml
三. 命令
这里需要首先说明的是,在执行命令时,如果没有带 –permanent 参数表示配置立即生效,但是不会对该配置进行存储,相当于重启服务器就会丢失。如果带上则会将配置存储到配置文件,,但是这种仅仅是将配置存储到文件,却并不会实时生效,需要执行 firewall-cmd –reload 命令重载配置才会生效。
1. 重载防火墙配置
firewall-cmd –reload
2. 查看防火墙运行状态
firewall-cmd –state
3. 查看默认区域的设置
firewall-cmd –list-all
4. 应急命令
firewall-cmd –panic-on # 拒绝所有流量,远程连接会立即断开,只有本地能登陆
firewall-cmd –panic-off # 取消应急模式,但需要重启 firewalld 后才可以远程 ssh
firewall-cmd –query-panic # 查看是否为应急模式
5. 服务
firewall-cmd –add-service=<service name> #添加服务
firewall-cmd –remove-service=<service name> #移除服务
6. 端口
firewall-cmd –add-port=<port>/<protocol> #添加端口 / 协议(TCP/UDP)
firewall-cmd –remove-port=<port>/<protocol> #移除端口 / 协议(TCP/UDP)
firewall-cmd –list-ports #查看开放的端口
7. 协议
firewall-cmd –add-protocol=<protocol> # 允许协议 (例:icmp,即允许 ping)
firewall-cmd –remove-protocol=<protocol> # 取消协议
firewall-cmd –list-protocols # 查看允许的协议
8. 允许指定 ip 的所有流量
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.1″ accept” # 表示允许来自 192.168.2.1 的所有流量
9. 允许指定 ip 的指定协议
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” protocol value=”<protocol>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.208″ protocol value=”icmp” accept” # 允许 192.168.2.208 主机的 icmp 协议,即允许 192.168.2.208 主机 ping
10. 允许指定 ip 访问指定服务
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” service name=”<service name>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.208″ service name=”ssh” accept” # 允许 192.168.2.208 主机访问 ssh 服务
11. 允许指定 ip 访问指定端口
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”<ip>” port protocol=”<port protocol>” port=”<port>” accept”
例:
firewall-cmd –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.1″ port protocol=”tcp” port=”22″ accept” # 允许 192.168.2.1 主机访问 22 端口
12. 将指定 ip 改为网段
8-11 的各个命令都支持 source address 设置为网段,即这个网段的 ip 都是适配这个规则:
例如:
firewall-cmd –zone=drop –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.0/24″ port protocol=”tcp” port=”22″ accept”
表示允许 192.168.2.0/24 网段的主机访问 22 端口。
13. 禁止指定 ip/ 网段
8-12 各个命令中,将 accept 设置为 reject 表示拒绝,设置为 drop 表示直接丢弃(会返回 timeout 连接超时)
例如:
firewall-cmd –zone=drop –add-rich-rule=”rule family=”ipv4″ source address=”192.168.2.0/24″ port protocol=”tcp” port=”22″ reject”
表示禁止 192.168.2.0/24 网段的主机访问 22 端口。
四. 参考资料
firewalld 防火墙详解 by xuad88.

本文作者:晓晨 master 阅读原文
本文为云栖社区原创内容,未经允许不得转载。

正文完
 0