cenots7下使用firewall

一、引入firewalld

1、firewalld简介

FirewallD 提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6 防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。 以前的 system-config-firewall/lokkit 防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter 防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。

相反,firewall daemon 动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon 就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon 无法解析由 ip*tables 和 ebtables 命令行工具添加的防火墙规则。

守护进程通过 D-BUS 提供当前激活的防火墙设置信息,也通过 D-BUS 接受使用 PolicyKit 认证方式做的更改。

2、守护进程名模式
      应用程序、守护进程和用户可以通过 D-BUS 请求启用一个防火墙特性。特性可以是预定义的防火墙功能,如:服务、端口和协议的组合、端口/数据报转发、伪装、ICMP 拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。

通过所谓的直接接口,其他的服务(例如 libvirt )能够通过 iptables 变元(arguments)和参数(parameters)增加自己的规则。

amanda 、ftp 、samba 和 tftp 服务的 netfilter 防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而,跟踪连接信息很重要,需要列入考虑范围。

3、静态防火墙(system-config-firewall/lokkit)
       使用 system-config-firewall 和 lokkit 的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。

在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。

4、firewalld增加了zone的概念

drop (immutable)            Deny all incoming connections, outgoing ones are accepted.

任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。

block (immutable)           Deny all incoming connections, with ICMP host prohibited messages issued.

任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。

trusted (immutable)        Allow all network connections

接受所有网络链接

public               Public areas, do not trust other computers

在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。

external            For computers with masquerading enabled, protecting a local network

特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。

dmz                  For computers publicly accessible with restricted access.

用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。

work                 For trusted work areas

接受工作内的网络链接

home                For trusted home network connections

接受家庭网络的链接

internal             For internal network, restrict incoming connections

接受内部网络的链接

此处以work的zone为例,包括如下内容(已经很清楚,不需要逐个解释)

work

interfaces:

sources:

services: dhcpv6-client ipp-client ssh

ports:

masquerade: no

forward-ports:

icmp-blocks:

rich rules:

二、

注意:firewall daemon 独立于 system-config-firewall,但二者不能同时使用。

二、

时间: 2024-10-16 18:23:33

cenots7下使用firewall的相关文章

CentOS 7 下的 Firewall

CentOS 7 默认实用的用Firewalld作为防火墙,摒弃了原先的iptables.但是内核还是使用iptable作为管理 参考文档 https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html http://www.myhome.net.tw/2015_02/p10.htm firewall的启动和关闭命令 #sys

CentOS7 下使用 Firewall防火墙系统封禁允许IP和端口的访问 端口转发 IP转发方法

CENTOS7的防火墙系统默认已经从iptable改成了firewall,使用方法也有所不同,下面是详细介绍 一.管理端口 列出 dmz 级别的被允许的进入端口 # firewall-cmd --zone=dmz --list-ports 允许 tcp 端口 8080 至 dmz 级别 # firewall-cmd --zone=dmz --add-port=8080/tcp 允许某范围的 udp 端口至 public 级别,并永久生效 # firewall-cmd --zone=public 

cenots7下vim7.4升级到vim8.2

vim升级步骤,这里记录下,方便后面遇到vim兼容性方面的问题时更好的修复. #centos7默认时vim7.4版本 [[email protected] ~]# vim --V VIM - Vi IMproved 7.4 (2013 Aug 10, compiled Apr 10 2018 23:54:40) 未知的选项参数: "--V" 更多信息请见: "vim -h" #因为系统自带的用yum命令直接卸载即可 [[email protected] src]#

云计算之OpenStack实战记(二)与埋坑填坑

3.6 Nova控制节点的部署 创建nova用户,并加入到service项目中,赋予admin权限 [[email protected] ~]# source admin-openrc.sh [[email protected] ~]# openstack user create --domain default --password=nova nova +-----------+----------------------------------+ | Field     | Value   

RHEL7-Firewall

1.简介 Linux服务器的功能是非常强大的.不仅可以作为正常的服务器.路由器,也可以作为防火墙使用.在RHEL7之前的系统中,防火墙一般指的就是iptables,防火墙的功能是通过iptables调用//lib/modules/2.6.32-358.el6.x86_64/kernel/net/netfilter来实现的.但是在RHEL7中,有三个能实现防火墙功能的"防火墙":iptables.firewall.ebtables. 在RHEL7系统中,Redhat建议使用的是firew

分布式架构学习-Consul相关

简介 之前公司用的是Consul进行服务发现以及服务管理,自己一直以来只是用一下,但是没有具体的深入,觉得学习不可以这样,所以稍微研究了一下. 网上有很多关于Consul的介绍和对比,我这里也不嫌丑了,大家搜索的时候可能会经常看到这么一个表格,此表格采摘自:https://luyiisme.github.io/2017/04/22/spring-cloud-service-discovery-products/ Feature Consul zookeeper etcd euerka 服务健康检

openwrt MT7628 源码更改为DHCP,root 密码、ssid、时区、主机名

一.设置为DHCP动态获取ip地址 在:/home/OpenWrt/openwrt_CC_mt76xx_zhuotk_source/ 目录下,新建文件名/files/etc/config. 将配置好的network和firewall 拷贝到 zqk:/home/OpenWrt/openwrt_CC_mt76xx_zhuotk_source/files/etc/config目录下. firewall 是修改防火墙配置. network 是配置WAN,LAN. config interface 'l

Linux关闭防火墙命令red hat/CentOs7

一.下面是red hat/CentOs7关闭防火墙的命令! 1:查看防火状态 systemctl status firewalld service  iptables status 2:暂时关闭防火墙 systemctl stop firewalld service  iptables stop 3:永久关闭防火墙 systemctl disable firewalld chkconfig iptables off 4:重启防火墙 systemctl enable firewalld servi

CentOS7下Firewall防火墙配置用法详解

官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html#sec-Introduction_to_firewalld1 修改防火墙配置文件之前,需要对之前防火墙做好备份 重启防火墙后,需要确认防火墙状态和防火墙规则是否加载,若重启失败或规则加载失败,则所有请求都会被防火墙拦截 1 2 3 4 5 6 7