centos7 firewalld基本配置方法

说明:此规范分为两部分:一是,常规配置方法;二是集合配置方法
常规的配置方法是指对于端口,服务及源地址的限制方法
集合配置方法是针对于源地址和端口组合限制,但源地址是一个IP地址集合,此集合中可以任意添加IP地址及网段

一、常规配置方法:
1、端口限制

1)放开UDP 161/162端口
firewall-cmd --permanent --zone=public --add-port=161/udp
firewall-cmd --permanent --zone=public --add-port=162/udp
--permanent 永久生效
firewall-cmd --reload //更新防火墙规则

2)禁用UDP 161/162端口
firewall-cmd --permanent --zone=public --remove-port=161/udp
firewall-cmd --permanent --zone=public --remove-port=162/udp
firewall-cmd --reload

3)放行连续的端口(1000-2000)
firewall-cmd --permanent --zone=public --add-port=1000-2000/tcp
firewall-cmd --reload

4)放行不连续的端口(9000,9001)
firewall-cmd --permanent --zone=public --add-port=9000/tcp --add-port=9001/tcp
firewall-cmd --reload

2、服务限制,如:ssh服务
firewall-cmd --permanent --zone=public --add-service=ssh
firewall-cmd --reload

3、源地址和端口限制
1)放行IP地址及端口
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="111.13.124.226/32" port protocol="tcp" port="4505" accept"
firewall-cmd --reload

2)禁用放行IP地址及端口
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="111.13.124.226/32" port port="4505" protocol="tcp" accept"
firewall-cmd --reload

3)放行IP地址及连续的端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.81.190/32" port port="8080-8081" protocol="tcp" accept"
firewall-cmd --reload

4)禁用放行IP地址及连续的端口
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.81.190/32" port port="8080-8081" protocol="tcp" accept"
firewall-cmd --reload

4、查看开启的端口和服务
1)查看服务 例如 dhcpv6-client https ssh
firewall-cmd --permanent --zone=public --list-services

2)查看端口 例如 8080-8081/tcp 8388/tcp 80/tcp
firewall-cmd --permanent --zone=public --list-ports

3)查看服务是否生效(例:添加的端口为8080)
firewall-cmd --zone=public --query-port=8080/tcp

4)查看所有富规则(rich rules)
firewall-cmd --list-rich-rules

5)查看默认域下的所有规则
firewall-cmd --list-all

6)加载配置
firewall-cmd --reload

二、ipset集合配置方法:
配置逻辑说明:
1)手动创建ipset配置文件
2)根据模板配置规则地址
3)将ipset应用到策略中
4)新增、删除IP地址规则

1、手动创建ipset配置文件
注意:集合命名规范:permit_端口_input
系统默认没有ipset配置文件,需要手动创建ipset配置文件
mkdir -p /etc/firewalld/ipsets/permit_22_input.xml permit_22_input就是ipset名称
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:net">
<short>white-list</short>
<entry>192.168.1.1</entry>
<entry>192.168.1.2</entry>
</ipset>

2、将ipset应用到策略中
firewall-cmd --permanent --add-rich-rule ‘rule family="ipv4" source ipset="permit_22_input" port port=22 protocol=tcp accept‘
firewall-cmd --reload

3、新增,删除IP地址
firewall-cmd --permanent --ipset=permit_22_input --add-entry="192.168.81.190"
firewall-cmd --permanent --ipset=permit_22_input --remove-entry="192.168.81.190"
firewall-cmd --reload
注:此方法新增,删除是ipset配置文件配置项

查看ipset集合中的地址
firewall-cmd --permanent --ipset=permit_22_input --get-entries

4、清除或删除ipset
清除ipset的xml配置文件信息
firewall-cmd --permanent --delete-ipset=permit_22_input

清除ipset list信息
ipset destroy permit_22_input

5、查看ipset信息
1)查看ipset名称
firewall-cmd --get-ipsets

2)查看ipset详细信息
firewall-cmd --info-ipset permit_22_input

原文地址:http://blog.51cto.com/bjdongpengfei/2160221

时间: 2024-11-08 04:01:03

centos7 firewalld基本配置方法的相关文章

CentOS7 firewalld防火墙配置

[[email protected] ~]# firewall-cmd --version       //查看版本0.3.9 [[email protected] ~]# firewall-cmd --state        //查看状态running[[email protected] ~]# [[email protected] ~]# firewall-cmd --zone=public --list-ports  //查看所有打开的端口445/tcp 443/tcp 1080/tcp

Linux系统下如何配置SSH_Centos7 ssh连接配置 CentOS7下安全配置

转自:http://www.linuxdown.net/install/config/2016/0611/5853.html Linux系统下如何配置SSH_Centos7 ssh连接配置 CentOS7下安全配置SSH 时间:2016-06-11 11:13来源:未知 作者:Linux先生 举报 点击:1804次 SSH 通常是我们进入新伺服器的第一个应用程式,它也取代了telnet 和rsh 成为管理伺服器的最主要介面. SSH 通常是我们进入新伺服器的第一个应用程式,它也取代了telnet

Centos7 Firewalld使用

在CentOS7开始,默认是没有iptables的,而是使用了firewall防火墙.与时俱进,简单的整理了一下firewall的使用方法.关于详细的介绍参考官网,就不搬字了.这个网站有中文选项.可以直接看中文.关于CentOS7 非常多是资料这里面都能找到.官方文档地址: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls

Linux的CentOS7系统下配置LNMP

友情提示:在执行以下操作之前,请确保您已经安装了centos7,因为以下所有操作均是在centos7下操作完成的. 1.首先要停掉本机自带的防火墙,再配置iptables,开放21/22/80/8080/3306端口,具体配置方法可以参考我关于如何配置centos7防火墙那篇博客: 2.链接xshell操作服务器配置xftp传输文件(因为在生产环境下Linux系统是不可能装在本地的,基本上都是远程服务器,所以这时候就需要使用远程控制) (1)连接xshell:这个是傻瓜式的终端器,只要输入服务器

yum源包管理器配置方法的详细总结

yum是红帽软件包管理器,可以查询有关可用的软件包的信息,使用来自yum仓库的rpm包,安装和卸载,并更新整个系统的最新版本.yum执行自动依赖解析更新时,安装或删除软件包,从而能够自动判断.获取和安装所有可用的依赖包. yum可以配置新的,额外的yum仓库或者包的来源,也提供了很多插件,增强和扩展其功能.同时yum还能够执行许多rpm包管理软件能够执行的工作:此外,许多命令行选项是相似的.yum是容易简单的包管理器在单一的机器. 下面的部分假设您的系统在安装过程中注册了红帽订阅管理,如红帽企业

CentOS6.5下网络启动服务器安装和配置方法(pxe+tftp+dhcpd+kickstart)

背景: 在大规模安装服务器时,需要批量自动化方法来安装服务器,来减少日常的工作量,但是批量自动化安装服务器的基础是网络启动服务器(bootserver),下面就是网络启动服务器的安装和配置方法,供大家参考! Centos7以前的操作系统因为xinetd和TFTP版本的问题(版本过低)在安装后在PXE装机时会出现无法连接TFTP服务器的问题,建议安装TFTP4.0以上的版本可完成本实验 Centos7以下版本可以完成本实验,Centos7及以上版本配置环境同以往版本不同,另见博客. 术语解释: P

CentOS下bond的配置方法

博文目录 简介 这里介绍一下Centos6网卡的bond配置方法,由于CentOS6.和CentOS7配置bond的方法不太一样,所以这里单独的介绍一下Centos6bond配置的方法,当然这种方法也适用于CentOS7只不过CentOS7配置的方法要更高效,以后会再对CentOS7bond的配置方法. 一.概念 bond,就是网卡绑定啦,对于大型的机房来讲,是要有冗余机制的,bond便是一种网卡冗余机制,用来增加可靠性,防止单个网卡损坏出现的网络不通的情况,当然也可以提高可用性,让两张网卡同事

YARN环境搭建 之 二:CentOS7.0 JDK配置

Hadoop是Java写的,他无法使用Linux预安装的OpenJDK,因此安装hadoop前需要先安装JDK(1.6以上)   原材料:在Oracle官网下载的32位JDK:     说明: 1.CentOS 7.0系统现在只有64位的,但是,Hadoop一般支持32位的,在64位环境下有事会有Warning出现,避免真的有神马问题,选择i586的JDK(即32位的),当然,64位的CentOS 7 肯定是兼容32位JDK的,记住:64位系统肯定兼容32位的软件,32位系统不能兼容64位软件.

CentOS7.6 安装配置

CentOS7.6 安装配置 目录 CentOS7.6 安装配置 1.下载安装CentOS 2.网络配置 3.配置安装地址为阿里云镜像 1. 备份原来的yum源 2.设置aliyun的yum源 3.添加EPEL源 4.清理缓存并生成新的缓存 4.安装配置基础软件 1.vim安装配置 2.安装配置ssh 1.下载安装CentOS 从阿里云镜像网站下载对应的CentOS版本,笔者本人下载的为CentOS7.6 mini版本 阿里云镜像网站 CentOS7.6 2.网络配置 使用这个命令查看情况 ip