Centos7的Firewalld防火墻基礎命令詳解

2024-07-09 22:41:56

字體：大中小

來源：轉載

供稿：網友

一、Linux防火墻的基礎

Linux的防火墻體系主要工作在網絡層，針對TCP/IP數據包實時過濾和限制，屬于典型的包過濾防火墻（或稱為網絡層防火墻）。Linux系統的防火墻體系基于內核共存：firewalld、iptables、ebtables，默認使用firewalld來管理netfilter子系統。

netfilter：指的是Linux內核中實現包過濾防火墻的內部結構，不以程序或文件的形式存在，屬于“內核態”的防火墻功能體系； firewalld：指用來管理Linux防護墻的命令程序，屬于“用戶態”的防火墻管理體系；

1、firewalld概述

firewalld的作用是為包過濾機制提供匹配規則（或稱為策略），通過各種不同的規則，告訴netfilter對來自指定源，前往指定目的或具有某些協議特征的數據包采取何種處理方式。為了更加方便地組織和管理防火墻，firewalld提供了支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火墻管理工具。支持IPv4、IPv6防火墻設置以及以太網橋，并且擁有兩種配置模式：

運行配置永久配置

還支持服務或應用程序直接添加防火墻規則接口。

2、firewalld網絡區域

firewalld將所有的網絡數據流量劃分為多個區域，從而簡化防火墻管理。根據數據包的源IP地址或傳入網絡接口等條件，將數據流量轉入相應區域的防火墻規則。

對于進入系統的數據包，首先檢查的就是其源地址：

若源地址關聯到特定的區域，則執行該區域所制定的規則；若源地址未關聯到特定的區域，則使用傳入網絡接口的區域并執行該區域所制定的規則；若網絡接口未關聯到特定的區域，則使用默認區域并執行該區域所制定的規則；

默認區域不是單獨的區域，而是指向系統上定義的某個其他區域。默認情況下，默認區域是public，但是也可以更改默認區域。以上匹配規則，按照先后順序，第一個匹配的規則勝出。在每個區域中都可以配置其要打開或者關閉的一系列服務或端口，firewalld的每個預定義的區域都設置了默認打開的服務。

3、firewalld預定義區域說明

trusted（信任區域）：可接收所有的網絡連接； public：（公共區域）：除非與傳出流量相關，或與ssh或dhcpv6-client預定義服務匹配，否則拒絕流量傳入； work（工作區域）：除非與傳出流量相關，或與ssh、ipp-client、dhcpv6-client預定義服務匹配，否則拒絕流量傳入，用于工作區； home（家庭區域）：除非與傳出流量相關，或與ssh、ipp-client、mdns、samba-client、dhcpv6-client預定義服務匹配，否則拒絕流量傳入，用于家庭網絡； internal（內部區域）：除非與傳出流量相關，或與ssh、ipp-client、mdns、samba-client、dhcpv6-client預定義服務匹配，否則拒絕流量傳入，用于內部網絡； external（外部區域）：除非與傳出流量相關，或與ssh預定義服務匹配，否則拒絕流量傳入； dmz（隔離區域也稱為非軍事化區域）：除非和傳出的流量相關，或與ssh預定義服務匹配，否則拒絕流量傳入； blocak（限制區域）：除非與傳出流量相關，否則拒絕所有傳入流量； drop（丟棄區域）：除非與傳出流量相關，否則丟棄所有傳入流量，并且不產生包含ICMP的錯誤響應；

二、firewalld防火墻的配置方法

在Centos 7系統中，可以使用三種方式配置firewalld防火墻：

firewalld-config圖形化工具； firewalld-cmd命令行工具； /etc/firewalld/中的配置文件；

一般情況下，不建議直接編輯配置文件；

1、firewalld-cmd的基礎命令

[root@centos01 ~]# systemctl start firewalld  <!--啟動firewalld-->[root@centos01 ~]# systemctl enable firewalld<!--設置開機自動啟動firewalld-->[root@centos01 ~]# systemctl status firewalld <!--查看防火墻運行狀態-->[root@localhost ~]# firewall-cmd --state <!--查看防火墻允許狀態-->running[root@centos01 ~]# systemctl stop firewalld<!--停止firewalld-->[root@centos01 ~]# systemctl disable firewalld<!--設置開機不自動啟動firewalld-->[root@centos01 ~]# firewall-cmd --get-zones <!--查看防火墻預定義的區域-->[root@centos01 ~]# firewall-cmd --get-service <!--查看防火墻支持的預定義服務類型-->[root@centos01 ~]# firewall-cmd --get-default-zone <!--查看系統的默認區域 -->[root@localhost /]# firewall-cmd --reload   <!--重載防火墻-->[root@centos01 ~]# firewall-cmd --get-active-zones <!--查看激活的區域-->[root@centos01 ~]# firewall-cmd --get-icmptypes <!--顯示預定義的ICMP類型-->address-unreachable bad-header communication-prohibited destination-unreachable echo-reply echo-request fragmentation-needed host-precedence-violation host-prohibitedhost-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisementneighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachableprecedence-cutoff protocol-unreachable redirect required-option-missingrouter-advertisement router-solicitation source-quench source-route-failed time-exceededtimestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option

上一篇：對squid中refresh

下一篇：基于C語言實現點菜系統