linux下防火墙的配置:firewalld的管理
Posted Tuki_a
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux下防火墙的配置:firewalld的管理相关的知识,希望对你有一定的参考价值。
什么是firewalld
防火墙基础知识:点击查看
在Linux上面我们使用内核内建了Netfilter 这个机制,Netfilter 利用一些数据包过滤的规则设置,来定义出什么数据可以接收,什么数据需要剔除,以达到保护主机的目的。
Netfilter 可以用iptables或者firewalld软件来进行管理。
也可以直接理解为firewalld就是一个防火墙。
firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则。
为什么用firewalld/iptables?
firewalld管理方式更加简单,所有的火墙策略都用模块的形式体现出来了。
firewalld管理火墙不需要知道服务的太多细节,更加像windows,只需要知道服务的名称就能进行操作,对不熟悉防火墙的人来说比较友好,方便使用。
但自定义性很差,灵活性差,比如我们将http的端口改变后即使firwalld添加了这个服务也不能访问,因为firewalld模块里写好的东西都是固定的,而iptables的功能更加强大,可以添加更细节的设置。
上一篇文是写iptables的,点击查看。
firewald的域的概念
域其实就是一些配置好策略的模板,我们可以根据我们的需要选择相应的域,不需要做太多设置。
域名 | 适用场景 |
---|---|
trusted | 接受所有的网络连接 |
home | 用于家庭网络,允许接受ssh mdns ipp-client samba-client dhcp-client |
work | 工作网络 ssh ipp-client dhcp-client |
public | 公共网络 ssh dhcp-client |
dmz | 军级网络 ssh |
block | 拒绝所有 |
drop | 丢弃 所有数据全部丢弃无任何回复 |
internal | 内部网络 ssh mdns ipp-client samba-client dhcp-client |
external | ipv4网络地址伪装转发 sshd |
/etc/firewalld ##火墙配置目录
/lib/firewalld ##火墙模块目录
在/usr/lib/firewalld/zones下有使用各个域时的防火墙设定。
在/usr/lib/firewalld/services/下有各个服务模块,都是写好的,比如当我们开启http时需要设置什么等都已写在文件里,我们只需在设置时添加服务名称即可。
所有的设定都是在/etc/firewalld下,我们更改firewalld设定会更改目录下的相应文件。
/etc/firewalldfirewalld.conf是firewalld的主配置文件。
/etc/firewalldfirewalld.conf.old是原来的配置文件。
防火墙管理工具切换到fiewalld
firewalld---切换到--->iptables
dnf install iptables-services -y
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
systemctl enable --now iptables
iptales ---切换到---> fiewalld
dnf install firewalld -y #redhat8默认使用firewalld管理防火墙,如果你的版本没有firewalld,那么需要下载
systemctl stop iptables
systemctl disable iptables
systemctl mask iptables #锁住iptables
systemctl unmask firewalld #解锁firewalld
systemctl enable --now firewalld
firewalld的管理命令
firewall-cmd --state ##查看火墙状态
firewall-cmd --get-active-zones ##查看当前火墙中生效的域
firewall-cmd --get-default-zone ##查看默认域
firewall-cmd --list-all ##查看默认域中的火墙策略
firewall-cmd --list-all --zone=work ##查看指定域的火墙策略
firewall-cmd --set-default-zone=trusted ##设定默认域
##当我们更改域的时候,在/etc/firewalldfirewalld.conf可以看到更改
firewall-cmd --get-services ##查看所有可以设定的服务,其实就是列出/usr/lib/firewalld/services/下的文件,有就列出,没有就不列出
firewall-cmd --permanent --remove-service=cockpit ##移除服务
firewall-cmd --permanent --add-source=172.25.254.0/24 --zone=block ##指定数据来源访问指定域,即这个网段的人在访问主机的时候是走block这个域的
firewall-cmd --permanent --remove-source=172.25.254.0/24 --zone=block ##删除自定域中的数据来源
以下设置可以让不同网卡走不同的域:
firewall-cmd --permanent --remove-interface=ens224 --zone=public ##删除指定域的网络接口
firewall-cmd --permanent --add-interface=ens224 --zone=block ##添加指定域的网络接口
firewall-cmd --permanent --change-interface=ens224 --zone=public ##更改网络接口到指定域
--permanent参数会连同文件一起更改,不加该参数的话只是更改当前设定
可以根据自己的情况自行选择
firewall-cmd --reload #重启服务,设定完后要记得重启服务
以上是关于linux下防火墙的配置:firewalld的管理的主要内容,如果未能解决你的问题,请参考以下文章
Linux中netfilter火墙访问控制策略优化详解(下)—firewalld