linux防火牆之firewalld

2022-09-09 10:15:16 字數 4080 閱讀 3825

iptables主要是基於介面,來設定規則,從而判斷網路的安全性。

firewalld是基於區域,根據不同的區域來設定不同的規則,從而保證網路的安全。與硬體防火牆的設定相類似。

iptables在 /etc/sysconfig/iptables 中儲存配置

firewalld將配置儲存在 /etc/firewalld/ (優先載入) 和 /usr/lib/firewalld/ (預設的配置檔案) 中的各種xml檔案裡。

使用iptables每乙個單獨更改意味著清除所有舊有的規則和從 /etc/sysconfig/iptables 裡讀取所有新的規則。

使用firewalld卻不會再建立任何新的規則,僅僅執行規則中的不同之處。因此firewalld可以在執行時間內,改變設定而不丟失現行連線。

iptables防火牆型別為靜態防火牆

firewalld防火牆型別為動態防火牆

firewalld防火牆為了簡化管理,將所有網路流量分為多個區域(zone) 。然後根據資料報的源ip位址或傳入的網路介面等條件將流量傳入相應區域。每個區域都定義了自己開啟或者關閉的埠和服務列表。

最終乙個區域的安全程度是取決於管理員在此區域中設定的規則。

區域如同進入主機的安全門,每個區域都具有不同限制程度的規則,只會允許符合規則的流量傳入。

可以根據網路規模,使用乙個或多個區域,但是任何乙個 活躍區域 至少需要關聯 源位址或介面。

預設情況下,public區域是預設區域,包含所有介面(網絡卡)

firewalld對於進入系統的資料報,會根據資料報的源ip位址或傳入的網路介面等條件,將資料流量轉入相應區域的防火牆規則。對於進入系統的資料報,首先檢查的就是其源位址。

--get-default-zone :顯示當前預設區域


--set-default-zone=


<


zone


>


:設定預設區域


–get-active-zones :顯示當前正在使用的區域及其對應的網絡卡介面


–get-zones :顯示所有可用的區域


–get-zone-of-inte***ce=


<


inte***ce


>


:顯示指定介面繫結的區域


–zone=


<


zone


> --add-inte***ce=<


inte***ce


>


:為指定介面繫結區域


–zone=


<


zone


> --change-inte***ce=<


inte***ce


>


:為指定的區域更改繫結的網路介面


–zone=


<


zone


> --remove-inte***ce=<


inte***ce


>


:為指定的區域刪除繫結的網路介面


–list-all-zones :顯示所有區域及其規則


[–zone=


<


zone


>] --list-all :顯示所有指定區域的所有規則,省略–zone=<


zone


>


時表示僅對預設區域操作


[–zone=


<


zone


>


] --list-services :顯示指定區域內允許訪問的所有服務


[–zone=


<


zone


>] --add-service=<


service


>


:為指定區域設定允許訪問的某項服務


[–zone=


<


zone


>] --remove-service=<


service


>


:刪除指定區域已設定的允許訪問的某項服務


[–zone=


<


zone


>


] --list-ports :顯示指定區域內允許訪問的所有埠號


[–zone=


<


zone


>] --add-port=<


portid


>[-<


portid


>]/<


protocol


>


:為指定區域設定允許訪問的某個/某段埠號(包括協議名)


[–zone=


<


zone


>] --remove-port=<


portid


>[-<


portid


>]/<


protocol


>


:刪除指定區域已設定的允許訪問的埠號(包括協議名)


[–zone=


<


zone


>


] --list-icmp-blocks :顯示指定區域內拒絕訪問的所有 icmp 型別


[–zone=


<


zone


>] --add-icmp-block=<


icmptype


>


:為指定區域設定拒絕訪問的某項 icmp 型別


[–zone=


<


zone


>] --remove-icmp-block=<


icmptype


>


:刪除指定區域已設定的拒絕訪問的某項icmp型別


firewall-cmd --get-icmptypes :顯示所有 icmp 型別
顯示當前系統中的預設區域firewall-cmd --get-default-zone

顯示預設區域的所有規則

firewall-cmd --list-all

顯示當前正在使用的區域及其對應的網絡卡介面

firewall-cmd --get-active-zones

設定預設區域

檢視預設區域內允許訪問的所有服務

firewall-cmd --list-service

新增httpd 服務到public 區域

檢視public區域已配置規則

firewall-cmd --list-all --zone=public

刪除public區域的httpd服務

同時新增httpd、https服務到預設區域,設定成永久生效允許tcp的443埠到internal區域

firewall-cmd --zone=internal --add-port=443/tcp

firewall-cmd --list-all --zone=internal

從internal區域將tcp的443埠移除

firewall-cmd --zone=internal --remove-port=443/tcp

允許udp的2048-2050埠到預設區域

linux防火牆之iptables

linux防火牆基礎 linux系統的防火牆體系基於核心編碼實現,具有非常穩定的效能和極高的效率。通常net filter和iptables都是用來指linux防火牆。兩者的區別 net filter屬於 核心態 的防火牆體系 iptables屬於 使用者態 的防火牆管理體系 iptables的表,...

linux防火牆之firewalld

3 firewalld 區域的概念 4 firewalld資料處理流程 二 firewalld防火牆的配置 4 服務管理 5 埠管理 firewalld和iptables都是用來管理防火牆的工具 屬於使用者態 來定義防火牆的各種規則功能 firewalld提供了支援網路區域所定義的網路鏈結以及介面安...

linux防火牆之firewalld

firewalld防火牆為了簡化管理,將所有網路流量分為多個區域 zone 然後根據資料報的源ip位址或傳入的網路介面等條件將流量傳入相應區域。每個區域都定義了自己開啟或者關閉的埠和服務列表。區域作用 trusted 信任區域 允許所有的傳入流量 一般用於內網之中 public 公共區域 允許與ss...