linux学习笔记(26)firewalld防火墙

【1】firewalld 的安装与基本概念

FirewallD 是 CentOS 7 服务器上默认可用的防火墙管理工具。

基本上,它是 iptables 的封装,有图形配置工具 firewall-config 和命令行工具 firewall-cmd

使用 iptables 服务,每次改动都要求刷新旧规则,并且从 /etc/sysconfig/iptables 读取新规则,然而 firewalld 只应用改动了的不同部分。

Zone :名称 Zone 描述block :所有进入的网络连接都会被拒绝。对于 IPV4,回复 icmp-host-prohibited 消息。对于 IPV6,回复 icmp6-adm-prohibited 消息。只有由内部发起的网络连接可以通行。

dmz :对于在非军事区域的服务器,外部网络可以在受限制的情况下进入内网,只有特定的网络连接请求被接受。

drop :所有的进入的网络包都会被丢掉,并且没有任何的回应。只有向发起的连接请求可以被放行。

external :用于开始伪装的外部网络,特别是作为路由器。任务外部的网络会损坏你的计算机,只有特定的网络连接请求被接受。

home :在家使用,信任网络上的大多数计算机。只有特定的网络连接请求被接受。

internal :在内部网络使用,信任当前网络下其他的计算机。只有特定的网络连接请求被接受。

public :在公共网络使用,不信任网络上的其他计算机。只有特定的网络连接请求被接受。

trusted :所有的网络连接都会被接受。

work :在工作网络中使用,信任网络上的其他计算机。只有特定的网络连接请求被接受

我们可以根据服务的类型,端口号,协议号,源端口,接口,来源等等来设定防火墙的规则;

运行时:本次运行有效,防火墙重启后失效;

永久:永久有效; (-permanent)

使用 firewalld 配置的防火墙策略默认为运行时(Runtime)模式,随着系统的重启会失效。

如果想让配置一直存在,就需要使用永久(Permanent)模式,方法就是在用 firewall-cmd 命令时添加 –permanent 参数,设置之后需要执行 firewall-cmd –reload 命令重启,如下

【2】firewalld 常用命令

复杂规则配置案例:

【3】最佳实践

首先创建一个适当的区域名称(在我们的例子中,我们使用了mariadb access来允许访问MySQL数据库服务器)。

接下来,重新加载firewalld设置以应用新更改。如果跳过此步骤,则在尝试使用新区域名称时可能会出错。这一次,新区域应该出现在区域列表中,如下面的屏幕截图所示。

接下来,添加要在本地服务器上打开的源IP地址(10.24.96.5/20)和端口(3306),如图所示。然后重新加载防火墙设置以应用新更改。

或者,您可以允许从整个网络(10.24.96.0/20)到服务或端口的流量。

要确认新分区具有上面添加的所需设置,请使用以下命令检查其详细信息。

【4】小技巧

Original: https://www.cnblogs.com/gered/p/16494425.html
Author: 郭大侠1
Title: linux学习笔记(26)firewalld防火墙

原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/8513/

转载文章受原作者版权保护。转载请注明原作者出处!

(0)

大家都在看

免费咨询
免费咨询
扫码关注
扫码关注
联系站长

站长Johngo!

大数据和算法重度研究者!

持续产出大数据、算法、LeetCode干货,以及业界好资源!

2022012703491714

微信来撩,免费咨询:xiaozhu_tec

分享本页
返回顶部