Firewalld防火墙初识

一:iptables与firewalld

  1. centos7里面iptables和firewalld共存
  2. firewalld的底层调用的是iptables,建立在iptables之上
  3. firewalld在使用上比iptables更人性化
  4. firewalld使用区域管理的理念

九个区域文件位置:/usr/lib/firewalld/zones ; 默认使用的是public区域

block.xml drop.xml home.xml public.xml work.xml dmz.xml external.xml internal.xml trusted.xml

查看当前默认区域:

firewall-cmd --list-all

修改当前默认区域:

firewall-cmd --set-default-zone=home
//修改home为默认区域
firewall-cmd --get-active-zones
//查看当前激活的区域

二:firewalld中的区域和接口

  1. 一个网卡接口只能属于一个zone,不能同时属于多个zone
  2. 一个zone可以对应多个网卡接口
  3. 任何配置了一个网络接口的区域就是一个活跃区域

查看Linux服务器当前有多少网卡接口:

ip a

将网卡eth0添加给区域public

firewall-cmd --zone=public --change-interface=eth0
firewall-cmd --zone=public --add-interface=[etho]
//public区域添加网卡【eth0】
firewall-cmd --zone=public --remove-interface=[eth0]
//public区域移除网卡【eth0】

三:Firewalld防火墙添加端口白名单

  1. 从外访问服务器,内部如果没有添加规则默认是阻止的
  2. 从服务器内部访问外部默认是允许的
  3. 想让规则永久生效加入--permanent
  4. 每次更改规则后需执行firewall-cmd --reload(动态加载新规则)

使用 ss -lntp 查看本机有哪一些服务对应监听的哪一些端口

添加端口到默认区域中:

firewall-cmd --zone=public --add-port=21/tcp
//开放系统的21端口,允许外界访问本机的21端口
//这只是临时性的设置,使用firewall-cmd --reload(并不会中断已有的连接)之后就会发现规则并没有被写入到白名单中
//firewall-cmd --complete-reload(会中断已经存在的连接)
firewall-cmd --list-all
//查看21端口是否已经加入到默认区域的白名单中
firewall-cmd --zone=public --remove-port=21/tcp
//移除public区域白名单中的21端口
//如果规则已经测试通过了,我们希望将规则永远生效可以在最后加上--permanent
firewall-cmd --zone=public --add-port=80/tcp --permanent

Firewalld防火墙添加服务白名单

服务文件存储的位置如下:/usr/lib/firewalld/service/

firewall-cmd --zone=public --add-service=http
//将http服务添加到public区域的白名单中

多区域规则结合设置场景

阻塞区域(block):任何传入的网络数据包都将被阻止。

工作区域(work):相信网络上的其他计算机,不会损害你的计算机。

家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。

公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。

隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。

信任区域(trusted):所有的网络连接都可以接受。

丢弃区域(drop):任何传入的网络连接都被拒绝。

内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

活跃区域(active)通过添加网络接口或者原地址规则

Trust区域:设置为允许白名单IP访问

Drop区域:设置为默认区域

firewall-cmd --set-default-zone=drop//设置drop为默认区域
firewall-cmd --zone=drop --change-interface=eth0//网卡eth0给到区域drop
firewall-cmd --zone=trusted --add-source=192.168.0.7/24 //将主机192.168.0.7/24添加到网络白名单

THE END
分享
二维码
打赏
< <上一篇
下一篇>>