Linux運維筆記-文檔總結-Firewalld服務

原創 大猩猩Bigstar 2020-02-21 05:47

以下所有操作都是在Red-hat 7.0上

Firewalld概述

動態防火牆後臺程序 firewalld 提供了一個 動態管理的防火牆,用以支持網絡 “zones” ,以分配對一個網絡及其相關鏈接和界面一定程度的信任。它具備對 IP v4 和 IP v6 防火牆設置的支持。它支持以太網橋,並有分離運行時間和永久性配置選擇。它還具備一個通向服務或者應用程序以直接增加防火牆規則的接口。

系統提供了圖像化的配置工具firewall-config、system-config-firewall, 提供命令行客戶端firewall-cmd, 用於配置 firewalld永久性或非永久性運行時間的改變:它依次用 iptables工具與執行數據包篩選的內核中的 Netfilter通信。

Firewalld和iptables service 之間最本質的不同是:

• iptables service 在 /etc/sysconfig/iptables 中儲存配置,而 firewalld將配置儲存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各種XML文件裏.

• 使用 iptables service每一個單獨更改意味着清除所有舊有的規則和從/etc/sysconfig/iptables裏讀取所有新的規則,然而使用 firewalld卻不會再創建任何新的規則;僅僅運行規則中的不同之處。因此,firewalld可以在運行時間內,改變設置而不丟失現行連接。

• iptables通過控制端口來控制服務,而firewalld則是通過控制協議來控制端口

這裏寫圖片描述

使用命令行接口配置防火牆(firewall-cmd)

firewall-cmd –state ##查看當前活動的區域,並附帶一個目前分配給它們的接口列表

firewall-cmd –get-active-zones ##查看默認區域:

firewall-cmd –get-default-zone ##查看所有可用區域:

firewall-cmd –zone=public –list-all ##列出所有預設服務

firewall-cmd –get-services ##列出全部服務

firewall-cmd –list-all-zones ##列出所有區域的設置

firewall-cmd –permanent –zone=internal –add-source=172.25.0.0/24 ##(–permanent參數表示永久生效設置,如果沒有指定–zone參數,那麼會加入默認區域)

添加、改變、刪除網絡接口:

firewall-cmd –permanent –zone=internal –add-interface=eth0

firewall-cmd –permanent –zone=internal –change-interface=eth0

firewall-cmd –permanent –zone=internal –remove-interface=eth0

添加、刪除服務:

firewall-cmd –permanent –zone=public –add-service=smtp

firewall-cmd –permanent –zone=public –remove-service=smtp

列出、添加、刪除端口:

firewall-cmd –zone=public –list-ports

firewall-cmd –permanent –zone=public –add-port=8080/tcp

firewall-cmd –permanent –zone=public –remove-port=8080/tcp

重載防火牆:

firewall-cmd –reload

(注意:這並不會中斷已經建立的連接,如果打算中斷,可以使用 –complete-reload選項)

這裏寫圖片描述
這裏寫圖片描述
這裏寫圖片描述
這裏寫圖片描述

Direct Rules

通過 firewall-cmd 工具,可以使用 –direct 選項在運行時間裏增加或者移除鏈。如果不熟悉 iptables ,使用直接接口非常危險,因爲您可能無意間導致防火牆被入侵。

直接端口模式適用於服務或者程序,以便在運行時間內增加特定的防火牆規則。

直接端口模式添加的規則優先應用。

firewall-cmd –direct –get-all-rules ##列出規則

firewall-cmd –direct –add-rule ipv4 filter INPUT 0 ! -s 172.25.254.19 -p tcp –dport 80 -j ACCEPT ##添加規則

firewall-cmd –direct –remove-rule ipv4 filter INPUT 0 ! -s 172.25.254.19 -p tcp –dport 80 -j ACCEPT ##刪除規則

這裏寫圖片描述

端口轉發和地址僞裝

firewall-cmd –permanent –zone=< ZONE > –add-masquerade ##在做僞裝的時候,一定要先打開僞裝選項(masquerade )

firewall-cmd –permanent –zone=< ZONE > –add-rich-rule=’rule family=ipv4 source addres=172.25.0.0/24 masquerade’ ##在

firewall-cmd –permanent –zone=< ZONE > –add-forward-port=port=80:proto=tcp:toport=8080:toaddr=172.25.0.10 ##端口轉發

這裏寫圖片描述
這裏寫圖片描述
這裏寫圖片描述

測試:

這裏寫圖片描述
這裏寫圖片描述

The End

大猩猩Bigstar
發佈了86 篇原創文章 · 獲贊 102 · 訪問量 12萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

個人開發者如何入門 Java 異步編程

標題:《從零開始:一份詳盡的Linux安裝教程》 引言: 在數字化的世界裏,Linux操作系統以其開源的特性、高度的安全性和穩定性,成爲了服務器和個人電腦的熱門選擇。無論是開發者、系統管理員還是技術愛好者,掌握Linux的安裝與配置都是一項

原創 2024-05-17 01:49:09

在Linux操作系統的安裝過程中,如何選擇合適的發行版

【關鍵詞】{{linux安裝}} 【提問】{{question}} 在Linux操作系統的安裝過程中,如何選擇合適的發行版,並確保安裝過程順利進行?此外,對於不同硬件配置的用戶,有哪些特定的安裝注意事項和優化策略? 【文章】{{Linux操

原創 2024-05-17 01:49:06

流水線 YAML 高級用法來了!大幅降低重複代碼、靈活編排多任務

作者:木煙 在 YAML 化配置流水線時,你是否會遇到以下問題? 單流水線中批量執行類似任務場景時,YAML 中需要定義多個類似邏輯的 Job,Job 越多,流水線 YAML 配置的越長,YAML 中的重複代碼越多,代碼複用性低,可讀性差

原創 2024-05-16 21:13:44

高效調度新篇章:詳解DolphinScheduler 3.2.0生產級集羣搭建

轉載自tuoluzhe8521 導讀:通過簡化複雜的任務依賴關係, DolphinScheduler爲數據工程師提供了強大的工作流程管理和調度能力。在3.2.0版本中,DolphinScheduler帶來了一系列新功能和改進,使其在生產環

原創 2024-05-15 21:22:54

Spring 按條件裝配使用方法

條件註冊 Spring 4.0 引入條件註冊機制,暴露給用戶的API是@Conditional和Condition接口,把@Conditional聲明在一個 @Component類上,並接受一組條件(Condition實現),容器初始化期間

原創 2024-05-15 11:50:12

界面組件DevExpress Reporting v24.1預覽版 - 擁有原生Angular報表查看器

DevExpress Reporting是.NET Framework下功能完善的報表平臺,它附帶了易於使用的Visual Studio報表設計器和豐富的報表控件集,包括數據透視表、圖表,因此您可以構建無與倫比、信息清晰的報表。 下一個主要

原創 2024-05-14 12:21:34

利用pyinstaller打包Python程序爲一個可執行文件

有時,Python發佈的程序需要被打包爲一個文件夾、甚至一個文件發佈。 目前(2020)最佳的策略是使用pyinstaller。 pyinstaller不僅支持打包整個運行環境到一個可執行文件,而且還支持加密。 但唯一的問題是,必須依賴

osc_hwc3munb 2024-05-14 02:04:34

FA的linux基礎01

vim常用功能 set nu   :200  set nonu  G 最後一行   gg跳到第一行 dd 刪除光標所在行      5dd 從光標所在行開始,刪除5行 p粘貼 yy 複製光標所在行  p粘貼 5yy  u 撤銷之前的操

osc_hzf6peqc 2024-05-14 01:40:14

Android內存管理機制官方詳解文檔

很早之前寫過一篇《Android內存管理機制詳解》點擊量已7萬+,現把Google官方文檔整理輸出一下,供各位參考。 一、內存管理概覽 Android 運行時 (ART) 和 Dalvik 虛擬機使用分頁和內存映射來管理內存。這意味着應用

osc_51airx3z 2024-05-14 00:37:42

raid添加新的硬盤問題

linux平臺下: 在raid5已經做好的時候,不能添加新硬盤的raid5的陣列組裏,添加的只能變爲spare盤。 比如:用4塊磁盤做的raid5,再往這麼陣列組中添加硬盤變成5塊硬盤的陣列是錯誤的做法,原因是raid是橫向條帶化的。

osc_61miaq6u 2024-05-13 22:58:18

BlackHat ASIA 議題解讀 | 安卓Netlink內核模塊中隱藏的“傳送門”

作者:百度安全-AIoT安全團隊 Chao Ma, Han Yan, Tim Xia 隨着安卓系統的流行,Netlink作爲Linux內核與用戶態進程之間的一種通信機制,被廣泛應用在安卓操作系統內核模塊中,但其使用的安全性卻未得到足夠

百度安全 2024-05-13 21:42:48

Linux下BMP圖片添加水印

Linux下BMP圖片添加水印   BMP是英文Bitmap(位圖)的簡寫,它是Windows操作系統中的標準圖像文件格式,能夠被多種Windows應用程序所支持。隨着Windows操作系統的流行與豐富的Windows應用程序的開發,BM

osc_m6gaz63w 2024-05-13 21:33:54

linux-vim編輯器、條件表達式

osc_bv96h8zs 2024-05-13 21:17:32

Linux 服務器配置-安裝portainer-ce社區版

操作系統Debian12 1. portainer 簡介 Portainer 是一個開源的輕量級容器管理工具,主要用於 Docker 和 Swarm 環境的可視化管理和操作。通過 Portainer,用戶可以通過簡潔易用的 Web UI

原創 2024-05-13 13:22:00

Linux服務器配置-安裝docker-ce社區版

1.查看linux內核版本和系統版本 docker的安裝和運行對linux版本和系統是有要求的。 查看linux內核版本 uname -a root@server88:~# uname -a Linux server88 6.1.0-18-

原創 2024-05-13 13:21:57