centos7防火墙简单说明

防火墙是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。防火墙通常工作在网络层,也即IPv4或IPv6的IP包上。

是否允许包通过防火墙,取决于防火墙配置的规则。这些规则既可以是内建的,也可以是用户自定义的。每一个包要进出防火墙,均需要满足防火墙配置的规则。

每一条规则均有一个目标动作,具有相同动作的规则可以分组在一起。对于Linux系统,最常用的防火墙有:FirewallD或iptables。Linux的发行版种类极多,但是公认的仍然是这两种。

1、什么是FirewallD

FirewallD即Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器。FirewallD是一个服务,用于配置网络连接,从而哪些内外部网络的数据包可以允许穿过网络或阻止穿过网络。

FirewallD允许两种类型的配置:永久类型和运行时类型。运行时类型的配置在防火墙被重启后会丢失相应的规则配置;而永久类型的配置即使遇到系统重启,也会保留生效。

对应于上面两种类型的配置,FirewallD相应的有两个目录:针对运行时类型配置的目录/usr/lib/firewall;以及针对永久类型配置的目录/etc/firewall.在RHEL/CentOS 7或Fedora 18的默认服务可以看到。

防火墙栈的整体图如下:

2、什么是iptables

iptables是另一种服务,它可以决定是否允许、删除或返回IP数据包。iptables服务管理IPv4数据包,而ip6tables则管理IPv6数据包。此服务管理了一堆规则表,其中每个表分别用于维护不同的目的,比如过滤表(filter
table)为防火墙规则,NAT表供新连接查询使用,mangle表用于数据包的转换等。

更进一步,每个表还具有规则链,规则链可以是内建的或是用户自定义的,它表示适用于一个数据包的规则集合,从而决定数据包应该执行哪些目标动作,比如允许ALLOWED、阻塞BLOCKED或返回RETURNED。iptables服务在RHEL/CentOS
6/5、Fedora、ArchLinux、Ubuntu等Linux发行版中是系统默认的服务。

3、FirewallD服务的基本操作

对于CentOS/RHEL 7或Fedora 18以上版本的系统,要管理FirewallD服务,使用如下命令。

启动FirewallD服务

# systemctl firewalld start

停止FirewallD服务

# systemctl firewalld stop

检查FirewallD服务的状态

# systemctl status firewalld

检查FirewallD服务的状态

# firewall-cmd --state

可能会返回running,表示正在运行。

还可以禁用FirewallD服务,关闭那些规则。

禁用FirewallD服务

# systemctl disable firewalld

启用FirewallD服务

# systemctl enable firewalld

屏蔽FirewallD服务

# systemctl mask firewalld

还可以通过创建一个firewall.service到/dev/null的符号连接来屏蔽防火墙服务。

反屏蔽FirewallD服务

# systemctl unmask firewalld

这是反屏蔽FirewallD服务,它会移除屏蔽FirewallD服务时创建的符号链接,故能重新启用服务。

检查是否已安装防火墙

# yum install firewalld firewall-config

4、iptables服务的基本操作

在RHEL/CentOS 6/5/4系统和Fedora 12-18系统中,iptables是默认的防火墙,如果服务不存在,可以这样安装:

# yum install iptables-services

然后就可以对iptables服务进行启动、停止、重启等操作了。

启动iptables服务

# systemctl start iptables

# service iptables start

停止iptables服务

# systemctl stop iptables

# service iptables stop

禁用iptables服务

# systemctl disable iptables

# service iptables save
# service iptables stop

启用iptables服务

# systemctl enable iptables

# service iptables start

检查iptables服务的状态

# systemctl status iptables

# service iptables status

在Ubuntu及其它Linux发行版中,ufw是用于管理iptables防火墙服务的工具。ufw提供了一个简易的界面让用户可以很方便的处理iptables防火墙服务。

启用ufw iptables防火墙服务

$ sudo ufw enable

禁用ufw iptables防火墙服务

$ sudo ufw disable

检查ufw iptables防火墙服务的状态

$ sudo ufw status

但是,如果想列出iptables包含的所有规则链列表,应使用如下命令:

$ iptables -L -n -v

5、理解网络区

在CentOS/RHEL 7系统中,基于用户对网络中设备和通信所给与的信任程度,防火墙可用于将网络划分成不同的区域,区域类型如下:

  • drop(丢弃) 
    任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
  • block(限制) 
    任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
  • public(公共) 
    在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
  • external(外部) 
    特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
  • dmz(非军事区) 
    用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
  • work(工作) 
    用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
  • home(家庭) 
    用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
  • internal(内部) 
    用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
  • trusted(信任) 
    可接受所有的网络连接。

对于区域的修改,可使用网络管理器NetworkManager搞定。

5、理解直接接口

FirewallD包含了一个名为直接接口(direct

interface)的概念,意思是可以直接通过iptables、ip6tables和ebtables的规则。直接接口适用于应用程序,不适用于用户。如果不熟悉iptables,那么使用直接接口是很危险的,因为可能会导致防火墙被入侵。

FirewallD保持对所增加规则项的追踪,所以能质询FirewallD,发现由使用直接端口模式的程序造成的更改。要使用直接端口,增加–direct选项到firewall-cmd命令来使用。

6、改用iptables服务

在CentOS/RHEL 7系统中,要用iptables和ip6tables服务代替FirewallD服务,需要以root身份运行以下命令,先禁用FirewallD:

# systemctl disable firewalld
# systemctl stop firewalld

然后安装iptables-services程序包,以root身份输入以下命令:

# yum install iptables-services

iptables-services程序包包含了iptables和ip6tables服务。然后,以root身份运行iptables和ip6tables命令:

# systemctl start iptables
# systemctl start ip6tables
# systemctl enable iptables
# systemctl enable ip6tables

7、启动图形化防火墙设置工具

用命令行启动图形化防火墙配置工具,则以root用户身份输入以下命令:

# firewall-config

可以看到如下界面:

时间: 2024-11-09 05:48:58

centos7防火墙简单说明的相关文章

centos7 防火墙简单使用firewall

firewall-cmd --stat firewall-cmd --reload 增加规则 firewall-cmd --zone=public --add-port=3306/tcp --permanent#centos7启动防火墙systemctl start firewalld.service#centos7停止防火墙/关闭防火墙systemctl stop firewalld.service#centos7重启防火墙systemctl restart firewalld.service

CentOS6和CentOS7中简单web站点的配置步骤

一.CentOS6中简单的web站点的配置实例:1.安装httpd:~]# yum install -y httpd httpd-manual httpd-tools //安装httpd应用程序所需要的必要文档文件2.确保SElinux和iptables防火墙不会干扰httpd服务的提供:SElinux配置:~]# getenforce //查看SELinux状态Enforcing~]# setenforce 0 //设置SELinux为防火墙:~]# iptables -vnL //查看主机是

centos7防火墙

centos7防火墙配置CentOS7使用的是Linux Kernel 3.10.0的内核版本,新版的Kernel内核已经有了防火墙netfilter,并且firewalld的使用效能更高,稳定性更好.CentOS7配置防火墙的两种方法:一.使用xml配置文件的方式配置:方法一cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/firewall-cmd --reload二.使用命令的方式配置:方法二##Addfirewa

Linux下iptables防火墙简单配置

Linux下防火墙简单配置 作为一个网站服务器,只需要开放80端口和22端口即可.80用于web访问,22用于远程登录管理,可以把22端口改成其他的端口,这样更安全.一般来说 在创建访问规则时 都会将原有的规则清零 这是一个比较好的习惯,因为某些规则的存在会影响你建的规则. 基本语法:iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface]         [-p tcp,udp.icmp,all] [-s ip/nerwor

Centos7防火墙快速开放端口配置方法

▲这篇文章主要为大家详细介绍了Centos7防火墙开放端口的快速方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下! 例如安装Nagios后,要开放5666端口与服务器连接,命令如下 [[email protected] ~]# firewall-cmd --add-port=5666/tcp 即时打开,这里也可以是一个端口范围,如1000-2000/tcp success [[email protected] ~]# firewall-cmd --permanent --add-port=

linux firewalld 防火墙简单命令

linux firewalld 防火墙简单命令: firewall-cmd --get-default-zone  #查看当前默认区域 firewall-cmd –-set-default-zone=public  #设置public为默认接口区域 systemctl start firewalld  #启动 systemctl status firewalld  #或者firewall-cmd –state 查看状态 sytemctl disable firewalld  #停止并禁用开机启动

服务器安全设置Centos7 防火墙firewall与iptables

一.>>>>>>启用centos7 iptables防火墙Centos7 防火墙firewall设置方法 我们Sinesafe在处理客户服务器Linux Centos7 64位系统里配置防火墙安全设置需要选择2种方案其中之一,最后选择了iptables防火墙. 因为在Centos 7版本里默认的防火墙是firewall,所以首先用firewall防火墙的话,下面就是配置方法: **# firewall-cmd --zone=public --add-port=8080/

(三) Docker 常用操作与CentOS7 防火墙命令

参考并感谢 Docker 常用命令 https://docs.docker.com/engine/reference/commandline/docker/ Docker 登录docker账户 docker login -u 用户名 -p 密码 根据本地待上传镜像 修改新镜像,新镜像名称需要与hub中的repository保持一致 docker tag SOURCE_IMAGE[:TAG] TARGET_IMAGE[:TAG] 查看所有镜像 docker images 查看特定镜像 docker

CentOS7 防火墙设置

CentOS7 防火墙命令 最近在公司服务器上安装了oracle12c数据库,在用数据库客户端连接的时候,连接不了.最后查找资料的原因是因为oracle的服务端口未开放. 首先还是还是输入以往的开启某一端口的命令:/sbin/iptables -I INPUT -p tcp --dport 1521 -j ACCEPT 保存命令: /etc/rc.d/init.d/iptables save  当我输入完成后,提示: -bash: /etc/rc.d/init.d/iptables: 没有那个文