• Linux中防火墙firewalld

    一、Linux中防火墙firewalld

    1.什么是防火墙

    主要防范网络攻击,一般分为软件防火墙、硬件防火墙

    2.防火墙的作用

    保护系统不受未经授权的访问和攻击。防止黑客利用漏洞攻击,显示特定网络服务的访问

    3.linux防火墙分类

    Centos7->防火墙-》firewalld防火墙

    4.firewalled防火墙

    (1)防火墙服务管理

    启动防火墙
    # systemctl start firewalld
    停止防火墙
    # systemctl stop firewalld
    重启防火墙
    # systemctl restart firewalld
    查看防火墙状态
    # systemctl status firewalld
    设置开机启动
    # systemctl enable firewalld
    设置开机不启动
    # systemctl disable firewalld
    重载防火墙
    # systemctl reload firewalld

    (2)防火墙zone的概念

    trusted,home,internal,public,external,dmz,block,drop

    对应配置文件位置
    # ll /lib/firewalld/zones/

    5.防火墙策略命令及策略

    (1)firewall-cmd工具常用命令

    查看防火墙状态#systemctl status firewalld #firewall-cmd --state

    查看当前活动#firewall-cmd --get-active-zones

    查看默认的zone#firewall-cmd --get-default-zone

    设置默认的zone#firewall-cmd --set-default-zone

    查看指定zone的详细信息#firewall-cmd --info-zone

    查看当前可用zone服务#firewall-cmd --list-service

    查看当前所有 zone 名称 # firewall-cmd --get-zones
    查看现有的规则 # firewall-cmd --list-all
    重新加载防火墙规则 # firewall-cmd --reload

    (2)基于服务配置firewalld策略,永久生效加 --permanent

    firewalld-cmd --add-service=service_name
    firewalld-cmd --reload
    会出现无法访问

    配置firewall规则

    先查看现有的规则#firewall-cmd --list-all

    添加http服务#firewall-cmd --add-service=http

    服务必须在/usr/lib/firewalld/services目录中

    查找http服务#ll /usr/lib/firewalld/services | grep http

    firewall-cmd --reload

    firewall-cmd --list-all

    (3)基于服务删除策略

    临时修改:#firewall-cmd --remove-service=service_name

    永久修改:#firewall-cmd --remove-service=service_name --permanent

    #firewall-cmd --reload

    加--permanent之后需要重载后才能生效

    (4)基于端口配置firewalld策略

    临时:#firewall-cmd --add-port/protocol

    永久:--permanent

    (5)基于端口删除策略

    临时:#firewall-cmd --remove-port=port/protocol

    永久:--permanent

    (6)基于规则配置firewalld策略(扩展)

    临时:firewall-cmd --add-rich-rule='rule 规则明细 action'

    永久:firewall-cmd --add-rich-rule='rule 规则明细 action'  --permanent

    action 对添加的策略实现的动作

    三种规则

    Reject:拒绝

    Accept:接收

    Drop:丢弃

    使用Firewalld 和rich rule常见的网络访问控制场景

    允许特定网段地址的访问:firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.211.0/24 accept'

    允许特定ip地址访问:firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.211.146 accept'

    服务过滤:允许特定服务访问

    #firewall-cmd --add-rich-rule='rule family=ipv4 service name=http accep'

    协议过滤:允许特定协议的访问

    #fiewall-cmd --add-rich-rule='rule family=ipv4 protocol value=icmp accept'

    源和目标端口过滤:允许特定端口访问特定目标端口

    #firewall-cmd --add-rich-rule family=ipv4 service name=ssh source port=1024-65535 destinationn port=22 accept'

    高级条件过滤:限制特定ip地址的访问速率

    网络地址转换和端口转发:启用源地址转换

    (7)基于规则删除策略

    #firewall-cmd --remove-rich-rule='rule= 规则明细 action'

    永久删除 --permanent

    #firewall-cmd --remove-rich-rule='fule family=ipv4 source address"192.168.211.0/24 port port="80" protocol="tcp" accept'

  • 相关阅读:
    机器视觉(二):机器视觉硬件技术
    星松云新品边缘计算路由器,上网收益两不误
    【Python合集系列】也许每个人的童年里都有过这样一个梦:“书桌会被推开钻出来一个哆啦A梦”。(源码合集)
    [linux] socket 非阻塞模式使用注意事项
    【考研复试】计算机专业考研复试英语常见问题五(兴趣爱好/实践经历篇)
    内网穿透工具 Cpolar 帮您实现用友U8 Cloud 的外网部署,一键畅享云端ERP
    【无标题】
    MT9632音频功率调试
    JS生成随机字符串的多种方法
    【目标检测】46、YOLOv4 | AlexeyAB大神接棒 引入其他模块来实现更快更好的 YOLO 网络
  • 原文地址:https://blog.csdn.net/weixin_61252283/article/details/140358292