centos7之firewalld防火墙的配置与使用

firewalld是centos7开始提供的管理防火墙工具,提供了一个动态管理的防火墙,当然低层仍然调用的是 netfilter 。

一、区域(zone)
firewalld将网卡对应到不同的区域(zone),zone默认共有9个,block,dmz,drop,external,home,internal,public,trusted,work。

二、服务(services)
/usr/lib/firewalld/services目录中,保存了另一类配置文件,每个文件对应一项具体的网络服务,如 ssh 服务。
对应的配置文件中记录了各项服务所使用的 tcp/udp 端口,最新的 firewalld 中默认已经定义了 70 多种服务供我们使用。

修改服务的配置只需将/usr/lib/firewalld/services中的配置文件复制到/etc/firewalld/services中修改即可。

三、firewalld常用命令

安装

yum install firewalld

启动

systemctl start firewalld

停止

systemctl stop firewalld

查看版本

firewall-cmd --version

查看状态

firewall-cmd --state

重新载入

firewall-cmd --reload

查看firewalld支持的service

firewall-cmd --get-services

查看当前zone加载的service

firewall-cmd --list-services

查看区域信息

firewall-cmd --get-active-zone

查看活动的区域

firewall-cmd --get-active-zones

查看指定接口所属区域

firewall-cmd --get-zone-of-interface=ens33

查看默认区域

firewall-cmd --get-default-zone

设置默认区域

firewall-cmd --set-default-zone public

获取所有的区域

firewall-cmd --get-zones

拒绝所有包

firewall-cmd --panic-on

取消拒绝状态

firewall-cmd --panic-off

查看是否拒绝

firewall-cmd --query-panic

将接口添加到区域

firewall-cmd --zone=public --add-interface=eth0

将接口从区域中删除

firewall-cmd --zone=public --remove-interface=eth0

修改接口所属区域

firewall-cmd --zone=dmz --change-interface=eth0

查询区域中是否包含某接口

firewall-cmd --zone=public --query-interface=eth0

  

四、打开端口 (最常用)

查看区域打开的所有端口

firewall-cmd --zone=public --list-ports

加入一个端口到区域

firewall-cmd --zone=public --add-port=8080/tcp

从区域中删除一个端口

firewall-cmd --zone=public --remove-port=8080/tcp

永久生效加上 --permanent 然后 reload 防火墙
注意,如果加上 --permanent 参数后,会把该配置写入到指定的区域配置文件中,比如:/etc/firewalld/zones/public.xml

五、如何打开一个服务

打开一个服务,类似端口可视化,服务需要在配置文件中添加,/etc/firewalld/services目录下。

查询区域中启用的服务

firewall-cmd --zone=public --list-services

将ssh服务添加到public区域

firewall-cmd --zone=public --add-service=ssh

移除服务

firewall-cmd --zone=public --remove-service=ssh

  

六、如何设置端口转发

要使用端口转发,需开启防火墙伪装

firewall-cmd --add-masquerade --permanent

如:我们想把访问本机192.168.1.222的3306端口转发到192.168.1.111主机的3306端口上

1、先把本机的3306端口放开

firewall-cmd --permanent --zone=public --add-port=3306/tcp

2、把访问本地3306端口的请求转发到192.168.1.111主机的3306上

firewall-cmd --permanent --zone=public --add-forward-port=port=3306:proto=tcp:toaddr=192.168.1.111:toport=3306

这样当我们访问222主机的3306端口时,实际访问的是111主机的3306端口。

原文地址:https://www.cnblogs.com/jkko123/p/11621958.html

时间: 2024-11-09 06:19:16

centos7之firewalld防火墙的配置与使用的相关文章

firewalld防火墙的配置及应用

            防火墙(centos7)的配置及应用 1:防火墙有基本的三类 iptables.firewalld.ip6tables Systemctl   status   {firewalld,iptables,ip6tables}  查看三类的状态,这里主要介绍firewalld防火墙的配置以及基本应用功能 2:firewalld提供支持区域定义网络连接的防火墙 3:拥有运行时配置和永久性配置(临时和永久性配置) 4:之前是静态,现在是动态,不用重新启动防火墙,不用卸载防火墙的模

Centos7 iptables firewalld防火墙与selinux配置

一.iptables防火墙 1.基本操作 # 查看防火墙状态 service iptables status # 停止防火墙 service iptables stop # 启动防火墙 service iptables start # 重启防火墙 service iptables restart # 永久关闭防火墙 chkconfig iptables off # 永久关闭后重启 chkconfig iptables on 2.开启80端口 vim /etc/sysconfig/iptables

firewalld防火墙基础配置

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙. Linux防火墙是如何检查数据流量的? 对于进入系统的数据包,首先检查的就是其源地址: 若源地址关联到特定的区域,则执行该区域所制定的规则:若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则.若网络接口未关联到特定的区域,那么就使用默认区域并执行该区域所制定的规则.默认区域并不是单独的区域,而是指向系统上定义的某个其他区域.默认情况下,默认区域是public,但是也可

CentOS7 OpenVPN Firewalld防火墙配置(1)

接口处于Public区域,网卡名称为ens33 firewall-cmd --list-all查看所有信息 public (active)  target: default  icmp-block-inversion: no  interfaces: ens33  sources: 10.8.0.0  services: dhcpv6-client ftp openvpn ssh  ports: 9002/tcp 1194/udp 1194/tcp 9005/tcp 9004/tcp 9001/

Firewalld防火墙高级配置——(实战篇!!)

实验拓扑图 实验需求 1.公司内网用户需要通过网关服务器共享上网2.互联网用户需要访问网站服务器3.只允许192.168.10 .0/24ping网关和服务器4.网站服务器和网关服务器均通过SSH来远程管理,为了安全,将SSH默认端口改为12345,只允许192.168.10.10主机SSH网关和服务器,允许互联网SSH内部服务器 实验环境 1.网关服务器:Centos7 -12.企业内网测试机:Centos7 -23.网站服务器:Centos7 -34.Internet测试机:Centos7

firewalld防火墙详细配置

--permanent # 永久开放--timeout=60 # 时间开放--zone= # 设置的域noaddthen默认 --add --remove --query # 添加与取消与查询 firewall-cmd --get-default-zone # 查看默认的域 firewall-cmd --get-active-zones # 查看全部的域 firewall-cmd --set-default-zone=drop # 设置默认区域 firewall-cmd --zone=publi

firewalld防火墙基础

TIP:linux7.0比6.0多了个firewalld工具,大大简化了操作 7.0既可以用iptables和firewalld,firewalld效率更高.更简便 一.firewalld概述 1.支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 2.支持IPv4.IPv6防火墙 3.支持服务或应用程序直接添加防火墙规则接口 4.拥有两种配置模式 (1)运行时配置 (2)永久配置 二.firewalld和iptables的关系 1.netfilter (1)位于Linux内核中的

Firewalld防火墙(CentOS 7)

Firewalld简介 1.支持网络区域所定义的网络连接以及接口安全的动态防火墙管理工具.2.支持IPv4.IPv6防火墙设置以及以太网桥接3.支持服务或应运程序直接添加防火墙规则口4.拥有两种配置模式运行时配置永久配置 Firewalld与iptables的关系 netfilter 1.位于linux内核中的包过滤功能体系2.称为Linux防火墙的"内核态" Firewalld/iptables 1.Centos7默认的管理防火墙规则的工具(Firewalld)2.称为linux防火

详述CentOS 7中Firewalld防火墙基础

Firewalld概述 Firewalld简介 支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具 支持IPv4.IPv6防火 墙设置以及以太网桥 支持服务或应用程序直接添加防火墙规则接口 拥有两种配置模式 运行时配置 永久配置 Firewalld和iptables的关系 netfilter netfilter是Linux2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统 netfilter采用模块化设计,具有良好的可扩充性 位于Linux内核中的包过滤功能体