linux下防火墙的配置:firewalld的管理

Posted Tuki_a

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux下防火墙的配置:firewalld的管理相关的知识,希望对你有一定的参考价值。

什么是firewalld

防火墙基础知识:点击查看

在Linux上面我们使用内核内建了Netfilter 这个机制,Netfilter 利用一些数据包过滤的规则设置,来定义出什么数据可以接收,什么数据需要剔除,以达到保护主机的目的。
Netfilter 可以用iptables或者firewalld软件来进行管理。
也可以直接理解为firewalld就是一个防火墙

firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则。

为什么用firewalld/iptables?

firewalld管理方式更加简单,所有的火墙策略都用模块的形式体现出来了。
firewalld管理火墙不需要知道服务的太多细节,更加像windows,只需要知道服务的名称就能进行操作,对不熟悉防火墙的人来说比较友好,方便使用。
但自定义性很差,灵活性差,比如我们将http的端口改变后即使firwalld添加了这个服务也不能访问,因为firewalld模块里写好的东西都是固定的,而iptables的功能更加强大,可以添加更细节的设置。
上一篇文是写iptables的,点击查看

firewald的域的概念

域其实就是一些配置好策略的模板,我们可以根据我们的需要选择相应的域,不需要做太多设置。

域名适用场景
trusted接受所有的网络连接
home用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client
work工作网络 ssh ipp-client dhcp-client
public公共网络 ssh dhcp-client
dmz军级网络 ssh
block拒绝所有
drop丢弃 所有数据全部丢弃无任何回复
internal内部网络 ssh mdns ipp-client samba-client dhcp-client
externalipv4网络地址伪装转发 sshd

/etc/firewalld ##火墙配置目录
/lib/firewalld ##火墙模块目录

在/usr/lib/firewalld/zones下有使用各个域时的防火墙设定。
在/usr/lib/firewalld/services/下有各个服务模块,都是写好的,比如当我们开启http时需要设置什么等都已写在文件里,我们只需在设置时添加服务名称即可。


所有的设定都是在/etc/firewalld下,我们更改firewalld设定会更改目录下的相应文件。
/etc/firewalldfirewalld.conf是firewalld的主配置文件。
/etc/firewalldfirewalld.conf.old是原来的配置文件。

防火墙管理工具切换到fiewalld

firewalld---切换到--->iptables
dnf install iptables-services -y
systemctl stop firewalld
systemctl disable firewalld 
systemctl mask firewalld 			
systemctl enable --now iptables

iptales ---切换到---> fiewalld 
dnf install firewalld -y			#redhat8默认使用firewalld管理防火墙,如果你的版本没有firewalld,那么需要下载
systemctl stop iptables
systemctl disable iptables
systemctl mask iptables				#锁住iptables
systemctl unmask firewalld			#解锁firewalld
systemctl enable --now firewalld

firewalld的管理命令

firewall-cmd --state 				##查看火墙状态
firewall-cmd --get-active-zones 	##查看当前火墙中生效的域
firewall-cmd --get-default-zone 	##查看默认域
firewall-cmd --list-all 			##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work 		##查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted 	##设定默认域
##当我们更改域的时候,在/etc/firewalldfirewalld.conf可以看到更改

firewall-cmd --get-services 						##查看所有可以设定的服务,其实就是列出/usr/lib/firewalld/services/下的文件,有就列出,没有就不列出
firewall-cmd --permanent --remove-service=cockpit 	##移除服务
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block 		##指定数据来源访问指定域,即这个网段的人在访问主机的时候是走block这个域的
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block 	##删除自定域中的数据来源

以下设置可以让不同网卡走不同的域:
firewall-cmd --permanent --remove-interface=ens224 --zone=public 	##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block 		##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public 	##更改网络接口到指定域

--permanent参数会连同文件一起更改,不加该参数的话只是更改当前设定
可以根据自己的情况自行选择

firewall-cmd --reload 				#重启服务,设定完后要记得重启服务

以上是关于linux下防火墙的配置:firewalld的管理的主要内容,如果未能解决你的问题,请参考以下文章

Linux中netfilter火墙访问控制策略优化详解(下)—firewalld

Linux防火墙基础(Firewalld命令的使用)

Firewalld防火墙基础

linux 简单记录8 --iptables 与 firewalld 防火墙

Linux防火墙设置 FirewallD

Firewalld防火墙基础详解