2、firewalld是基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
1、区域如同进入主机的安全门,每个区域都具有不同限制程度的规则,只会允许符合规则的流量传入。
2、可以根据网络规模,使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口。
3、默认情况下,public区域是默认区域,包含所有接口(网卡)。
最终一个区域的安全程度是取决于管理员在此区域中设置的规则。
4、家庭区域home:默认允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。
5、内部区域internal:默认值时与home区域功能相同。
8、限制区域block:拒绝所有传入流量。
1、若源地址关联到特定的区域(即源地址或接口绑定的区域有冲突),则执行该区域所制定的规则。
2、若源地址未关联到特定的区域(即源地址或接口绑定的区域没有冲突〉,则使用传入网络接口的区域并执行该区域所制定的规则。
3、若网络接口也未关联到特定的区域(即源地址或接口都没有绑定特定的某个区域),则使用默认区域并执行该区域所制定的规则。
yum install firewalld firewall-config
systemctl start firewalld
systemctl stop firewalld
4、将firewalld设置为开机自启动
systemctl enable firewalld
5、将firewalld禁用开机自启动
systemctl disable firewalld
6、查看firewalld工作状态
systemctl status firewalld
或
firewall-cmd --state
firewall-cmd
-h, --help # 显示帮助信息;
-V, --version # 显示版本信息. (这个选项不能与其他选项组合);
-q, --quiet # 不打印状态消息;
--state # 显示firewalld的状态;
--reload # 不中断服务的重新加载;
--complete-reload # 中断所有连接的重新加载;
--runtime-to-permanent # 将当前防火墙的规则永久保存;
--check-config # 检查配置正确性;
--get-log-denied # 获取记录被拒绝的日志;
--set-log-denied=<value> # 设置记录被拒绝的日志,只能为 'all','unicast','broadcast','multicast','off' 其中的一个;
1、-h,–help:显示帮助信息;
[--zone=<zone>] --add-port=<portid>[-<portid>]/<protocol>
[--zone=<zone>] --remove-port=<portid>[-<portid>]/<protocol>
六、firewalld配置常用命令列举
以下罗列出平时运维工作常用的一些规则添加命令,方便大家参考学习。这里需要注意点;
firewalld可以通过两种方式控制端口的开放,一种是通过指定端口号,另一种是指定服务名。例如开放mysql服务就是开放了对应3306端口,但是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp还是udp。
1、查看firewalld版本号信息
firewall-cmd --version
2、查看firewalld命令使用帮助信息
firewall-cmd --help
firewall-cmd --state
4、查看firewalld区域信息
firewall-cmd --get-active-zones
5、查看指定接口所属区域
firewall-cmd --get-zone-of-interface=ens33
6、拒绝所有包
firewall-cmd --panic-on
7、查看是否拒绝
firewall-cmd --query-panic
8、取消拒绝状态
firewall-cmd --panic-off
9、将接口添加到区域,默认接口都在public
firewall-cmd --zone=public --add-interface=ens33
10、加入一个端口到指定区域
firewall-cmd --zone=dmz --add-port=8080/tcp
11、更新防火墙规则
firewall-cmd --reload
firewall-cmd --complete-reload
12、设置默认接口区域,立即生效无需重启
firewall-cmd --set-default-zone=public
13、设置为家庭区域
firewall-cmd --set-default-zone=home
14、查看所有打开的端口
firewall-cmd --zone=dmz --list-ports
15、显示支持的区域列表
firewall-cmd --get-zones
16、查看显示当前正在使用的区域及其对应的网卡接口
firewall-cmd --get-active-zones
17、设置当前区域的接口
firewall-cmd --get-zone-of-interface=ens33
18、显示所有公共区域(public)
firewall-cmd --zone=public --list-all
19、临时修改网络接口ens33为内部区域(internal);
firewall-cmd --zone=internal --change-interface=ens33
20、永久修改网络接口ens33为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=ens33
21、显示服务列表
firewall-cmd --get-services
22、禁止ssh服务通过
firewall-cmd --delete-service=ssh
23、开放ssh服务通过
firewall-cmd --new-service=ssh
24、查看显示当前服务
firewall-cmd --list-services
25、添加http服务到内部区域(internal)
firewall-cmd --permanent --zone=internal --add-service=http
26、打开tcp的8090端口
firewall-cmd --enable ports=8090/tcp
27、临时允许Samba服务通过300秒
firewall-cmd --enable service=samba --timeout=300
28、打开8090/TCP端口
firewall-cmd --add-port=8090/tcp
29、永久打开8090/TCP端口
firewall-cmd --permanent --add-port=8090/tcp
30、开放mysql服务对应的端口
firewall-cmd --add-service=mysql
31、阻止mysql服务对应的端口
firewall-cmd --remove-service=mysql
32、开放通过tcp访问3306端口
firewall-cmd --add-port=3306/tcp
33、开放通过udp访问234端口
firewall-cmd --add-port=234/udp
34、查看开放的端口
firewall-cmd --list-ports
35、阻止通过tcp访问3306端口
firewall-cmd --remove-port=3306/tcp
36、显示所有的icmp类型
firewall-cmd --get-icmptypes
37、为指定区域设置拒绝访问的某项icmp 类型
firewall-cmd --add-icmp-block=echo-request
38、显示指定区域内拒绝访问的所有 icmp 类型
firewall-cmd --list-icmp-blocks
39、为指定区域设置拒绝访问的某项 icmp 类型
firewall-cmd --add-icmp-block=destination-unreachable
40、删除指定区域已设置的拒绝访问的某项icmp类型
firewall-cmd --remove-icmp-block=destination-unreachable
41、检查是否允许伪装IP
firewall-cmd --query-masquerade
42、允许防火墙伪装IP
firewall-cmd --add-masquerade
43、禁止防火墙伪装IP
firewall-cmd --remove-masquerade
44、将8888端口的流量转发至80端口
firewall-cmd --add-forward-port=port=8888:proto=tcp:toport=80
45、将8888端口的流量转发至192.168.20.232的80端口
firewal-cmd --add-forward-port=port=8888: proto=tcp:toaddr=192.168.20.232:toport=80
46、将8888端口的流量转发至192.168.20.232
firewall-cmd --add-forward-port=port=8888:proto=tcp:toaddr=192.168.20.232
七、总结
大家都知道,防火墙规则众多并且繁杂,我们不可能罗列完它的每一条添加命令,更不可能死记硬背它的每一条规则。但是我们可以通过掌握其添加规则语法,用到时方便查阅添加即可。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/77747.html