日常运维

Posted 2020-10-26

CentOS 7

firewalled

1. 打开firewalled

    systemctl disable iptables     #关闭服务
    systemctl stop iptables         #停止运行的服务
    systemctl enable firewalld    #开启firewalld服务
    systemctl start firewalld        #打开firewalld服务

firewalld默认有9个zone （zone是个单位）
默认zone 为public
每个zone是一个规则集

firewall-cmd --get-zones      ##查看所有zone
firewall-cmd --get-default-zone    ##查看默认zone

9个zone、

 drop、 block、 public、 external、 dmz、 work、 home、 internal、trusted  

drop( 丢弃),任何接收的网络数据包都被丢弃，没有任何回复。
仅能有发送出去的网络连接。

block( 限制) 任何接收的网络连接都被PV4 的icmp-host-prohibited信息和PV6 的icmp6-adm-prohibited 信息所拒绝

public (公共)在公共区域内使用，
不能相信网络内的其他计算机不会对你的计算机造成危害，只能接收经过选取的连接。

external (外部)特别是为路由器启用了伪装功能的外部网。
你不能信任来自网络的其他计算，不能相信它们不会对你的计算机造成危害，只能接收经过选择的连接。

dmz (非军事区)用于你的非军事区内的电脑，
此区域内可公开访问，可以有限地进入你的内部网络，仅仅接收经过选择的连接。

work( 工作) 用于工作区。
你可以基本相信网络内的其他电脑不会危害你的电脑。仅仅接收经过选择的连接。

home (家庭)用于家庭网络。
你可以基本信任网络内的其他计算机不会危害你的计算机。仅仅接收经过选择的连接。

internal (内部) 用于内部网络。
你可以基本上信任网络内的其他计算机不会威胁你的计算机。仅仅接受经过选择的连接。

trusted (信任)可接受所有的网络连接。

关于zone的操作

firewall-cmd --set-default-zone=work  #设定默认zone
firewall-cmd --get-zone-of-interface=ens37  #查找指定的网卡
firewall-cmd --zone=public --add-interface=lo #给指定网卡设置zone
firewall-cmd --zone=dmz --change-interface=lo #针对网卡更改zone
firewall-cmd --zone=dmz --remove-interface=lo #针对网卡删除zone
firewall-cmd --get-active-zones  #查看系统所有网卡所在的zone

[[email protected] ~]$ firewall-cmd --get-zone-of-interface=ens37
no zone
#需要手动关闭systemctl stop NetworkManager 服务  

[[email protected] ~]$ firewall-cmd --zone=work --add-interface=ens37
    success
[[email protected] ~]$ firewall-cmd --get-zone-of-interface=ens37  
work

services 概念

zone下面的一个单元，或者说是一个指定的端口

firewall-cmd --get-service    //查看所有的service
firewall-cmd --list-service     //查看当前zone下面有哪些service
firewall-cmd --zone=public --add-service=http      //把http增加到public zone下面
firewall-cmd --zone=public --remove-service=http    //在public zone中删除

ls /usr/lib/firewalld/zones/ zone的配置文件模板

firewall-cmd --zone=public --add-service=http --permanent 更改配置文件，之后会在/etc/firewalld/zones目录下面生成配置文件

#需求：ftp服务自定端口1121，需要在work zone下面放行ftp

cp /usr/lib/firewalld/services/ftp.xml  /etc/firewalld/services
vi /etc/firewalld/service/ftp.xml    把21端口改成1121
cp /usr/lib/firewalld/zones/work.xml  /etc/firwalld/zones/
vi /etc/firewalld/zones/work.xml    增加一行
    <service name="ftp"/>
firewall-cmd --reload    重新加载
firewall-cmd --zone=work --list-services

firewalld zone 规则集合每个zone都有iptables规则

每个zone下面都有 service，如果有service 就作为白名单放行，把服务增加到配置文件里去然后reload就行