linux防火牆firewall詳細講解

2021-10-11 00:22:34 字數 3091 閱讀 8636

1、centos7 預設的防火牆是 firewall,替代了以前的 iptables

2、firewall 使用更加方便、功能也更加強大一些

3、firewalld與iptables對比

​ - firewalld 是 iptables 的前端控制器

​ - iptables 靜態防火牆 任一策略變更需要reload所有策略,丟失現有鏈結

​ - firewalld 動態防火牆 任一策略變更不需要reload所有策略 將變更部分儲存到iptables,不丟失現有鏈結

​ - firewalld 提供乙個daemon和service 底層使用iptables

​ - 基於核心的netfilter

2.1 zone

drop 	拒絕所有的連線


block 拒絕所有的連線


public 只允許指定的連線 (預設區域)


external 只允許指定的連線


dmz 只允許指定的連線


work 只允許指定的連線


home 只允許指定的連線


internal 只允許指定的連線


trusted 允許所有的連線
2.2 執行時配置和永久配置
–-permanent    永久配置 //需要--reload 重啟才能生效


–-runtime 執行時配置(預設)
centos 預設自帶firewall,如果沒有則需要自行安裝

#yum -y install firewalld firewall-config
systemctl 選項 firewalld


選項: stop:關閉


start:開啟


restart:重啟


status:狀態


is-enabled:檢視是否開機自啟


enable: 開機自啟


disable: 關閉開機自啟
firewall 可以看成整個防火牆服務,而 firewall-cmd 可以看成是其中的乙個功能,可用來管理埠

3.1 域操作

--get-zones 				檢視所有可用區域


--get-default-zone 顯示網路介面的預設區域


--set-default-zone 設定網路介面的預設區域


--get-active-zones 顯示已啟用的所有區域


--get-zone-of-inte***ce 顯示指定介面繫結的區域


[–-zone=區域型別] --add-inte***ce=介面(網絡卡) 為指定介面繫結區域


[–-zone=區域型別] --change-inte***ce=介面(網絡卡) 為指定的區域更改繫結的網路介面


[–-zone=區域型別] --remove-inte***ce=介面(網絡卡) 為指定的區域刪除繫結的網路介面


–query-inte***ce=介面(網絡卡) 查詢區域中是否包含某介面


--list-all-zones 顯示所有區域及其規則


[–-zone=區域型別] --list-all 顯示所有指定區域的所有規則
eg:

#為指定介面繫結區域(為ens33繫結work區域)


firewall-cmd --zone=work --add-inte***ce=ens33
3.2 服務操作
[–-zone=區域型別] --list-services			顯示指定區域內允許訪問的所有服務


[–-zone=區域型別] --add-service 為指定區域設定允許訪問的某項服務


[–-zone=區域型別] --remove-service 刪除指定區域已設定的允許訪問的某項服務


[–-zone=區域型別] --query-service 查詢指定區域中是否啟用了某項服務
eg:

要啟用或禁用 http 服務:


firewall-cmd --reload
注意:開啟服務等同於開放服務的埠,兩者可選其一

3.3 埠/協議 操作

--list-ports       顯示指定區域內允許訪問的所有埠


--add-port 為指定區域設定允許訪問的埠號


--remove-port 刪除指定區域已設定的允許訪問埠號
eg:

允許或者禁用 12345 埠的 tcp 流量。


firewall-cmd --zone=public --add-port=12345/tcp --permanent


firewall-cmd --zone=public --remove-port=12345/tcp --permanent


firewall-cmd --reload
3.4 埠**
--query-masquerade     檢查是否允許 nat **


--add-masquerade 開啟 nat **


--remove-masquerade 禁止防火牆 nat ** 


--add-forward-port 增加nat埠**規則


--remove-forward-port 刪除nat埠**規則\


語法:port=portid : proto=protocol : toport=portid : [toaddr=address[/mask]]
eg:

#將本機80埠**到192.168.1.1的8080埠上


firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.1 --permanent

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...

linux防火牆新增埠並開閉防火牆

安裝 yum install firewalld 啟動 systemctl start firewalld 檢視狀態 systemctl status firewalld 禁用,禁止開機啟動 systemctl disable firewalld 開機啟用 systemctl enable fire...

Linux防火牆配置

重啟後生效 開啟 chkconfig iptables on 關閉 chkconfig iptables off 2 即時生效,重啟後失效 開啟 service iptables start 關閉 service iptables stop 需要說明的是對於linux下的其它服務都可以用以上命令執行...