Centos7如何配置firewalld防火墙规则

简介: Centos7如何配置firewalld防火墙规则

博主介绍:Java领域优质创作者,博客之星城市赛道TOP20专注于前端流行技术框架、Java后端技术领域、项目实战运维以及GIS地理信息领域。

🍅文末获取源码下载地址🍅

👇🏻 精彩专栏推荐订阅👇🏻 欢迎点赞收藏评论拍砖........

【Docker Swarm总结】《容器技术 Docker+K8S专栏》

【uniapp+uinicloud多用户社区博客实战项目】《完整开发文档-从零到完整项目》

【Springcloud Alibaba微服务分布式架构 | Spring Cloud】《系列教程-更新完毕》

【SpringSecurity-从入门到精通】《学习完整笔记-附(完整demo源码)》

【从零开始Vue项目中使用MapboxGL开发三维地图教程】《系列教程-不定时更新》

【Vue.js学习详细课程系列】《共32节专栏收录内容》

感兴趣的可以先收藏起来相关问题都可以给我留言咨询,希望帮助更多的人。



一、简单介绍

Firewalld是CentOS系统自带的一种动态防火墙管理工具。是一个前端工具,用于管理Linux系统上的netfilter防火墙规则。Firewalld提供了一种简化和易于使用的方法来配置和管理防火墙。

二、特点和功能

2.1、区域(Zone)

Firewalld使用区域来定义不同的网络环境,如公共网络、内部网络和信任网络等。每个区域都有自己的防火墙规则集合,可以根据网络环境的不同选择适当的区域。预定义的区域包括公共(public)、私有(private)、可信(trusted)、工作(work)和家庭(home)。

2.2、运行时和永久配置

Firewalld支持运行时和永久配置。运行时配置的更改在重新启动后会被重置,而永久配置则会持久保存并在系统重新启动后生效。

2.3、服务和端口

Firewalld可以通过定义服务和端口来管理访问控制。服务是一组预定义的规则,用于允许或拒绝特定的网络服务。端口规则允许或拒绝特定的端口号。

2.4、动态更新

Firewalld支持动态更新防火墙规则,这意味着您可以在运行时添加、删除或修改规则,而无需重新加载整个防火墙配置。

2.5、连接跟踪

Firewalld使用连接跟踪来跟踪网络连接状态。它可以自动识别和允许与现有连接相关的回复流量。

2.6、D-Bus接口

Firewalld提供了一个D-Bus接口,允许其他应用程序通过API与其交互,从而实现更高级的防火墙配置和管理。

总体而言,Firewalld提供了一种灵活而强大的方式来管理CentOS系统上的防火墙。它使管理员能够轻松配置和调整防火墙规则,以保护系统免受未经授权的访问和网络攻击。

三、如何设置规则

例子:使用Firewalld设置防火墙规则,以限制对nginx服务器8088端口的访问,只允许IP为192.168.2.100的运维服务器访问,同时对其他端口不做任何限制。

3.1、启动防火墙服务

首先,确认防火墙服务已经启动并正在运行,如果服务未启动,请启动服务;

#检查防火墙状态
 
systemctl status firewalld
#启动防火墙服务
 
systemctl start firewalld
#检查是否设置开机启动
 
systemctl is-enabled firewalld
#设置开机启动
 
systemctl enable firewalld

3.2、新建防火墙规则

新建防火墙规则的服务,添加端口的TCP访问规则;

#创建一个名为 "nginxserver" 的新服务,并设置其描述为 "nginx Service"。
 
firewall-cmd --permanent --new-service=nginxserver --set-description="nginx Service"
#将端口8088/tcp 添加到 "nginxserver" 服务的防火墙规则中。这将允许通过8088端口进行TCP通信。
 
firewall-cmd --permanent --service=nginxserver --add-port=8088/tcp
#重新加载防火墙配置,以使新的服务和规则生效。
 
firewall-cmd --reload
#查询所有已定义的服务
 
firewall-cmd --get-services
#查询特定服务的具体信息
 
firewall-cmd --info-service=nginxserver
#删除特定服务的规则
 
firewall-cmd --permanent --delete-service=nginx-http
 
firewall-cmd --reload

3.3、新建防火墙区域

新建一个防火墙区域,将IP地址添加到区域的源地址列表中,将服务添加到区域的服务列表中;

#创建一个名为 "opsserver" 的新区域,并设置其描述为 "Ops Server Zone"。这将在防火墙中创建一个新的区域。
 
firewall-cmd --permanent --new-zone=opsserver --set-description="Ops Server Zone"
#将IP地址 192.168.2.100 添加到 "opsserver" 区域的源列表中。这意味着只有来自该IP地址的流量才能通过该区域。
 
firewall-cmd --permanent --zone=opsserver --add-source=192.168.2.100
#将"nginxserver" 服务添加到 "opsserver" 区域的源列表中
 
firewall-cmd --permanent --zone=opsserver --add-service=nginxserver
#重新加载firewalld配置,以使新的服务和规则生效。
 
firewall-cmd --reload
#查询已定义的区域
 
firewall-cmd --get-zones
#查询特定区域的具体信息
 
firewall-cmd --zone=opsserver --list-all

#删除特定区域的规则
 
firewall-cmd --permanent --delete-zone=
 
firewall-cmd --reload
#删除特定区域中的规则内容
 
firewall-cmd --zone=<区域名称> --remove-<规则类型>=<规则内容>

其中,将 <区域名称> 替换为要删除规则的区域名称,<规则类型> 替换为要删除的规则类型(例如rich-rule、service、port等),<规则内容> 替换为要删除的规则内容。

注意:

①确保你有足够的权限执行上述命令,否则可能需要使用 sudo

②以上命令中使用了 `--permanent` 选项,以确保规则在系统重启后仍然有效。如果您想要在不重启系统的情况下立即应用规则,请省略 `--permanent` 选项。

3.4、检验1

现在,只有来自 IP 地址为 192.168.2.100 的运维服务器的流量可以访问端口 8088,其他所有流量都将被阻止。对于其他端口,没有任何限制。

①当IP为192.168.2.100时,nginx访问正常,可以ping通,并且端口访问正常;

②当IP为192.168.2.13时,无法ping通nginx服务器,并且端口无法访问,但是其他端口不受限制,可以正常访问;

3.5、检验2

如果要设置仅可通过192.168.2.100访问nginx服务器的8088端口,而其他所有端口和IP都禁止访问,那么可以将默认的 Firewalld 区域设置为 "drop",在 "drop" 区域中,所有入站和出站的网络连接都将被丢弃,而不会给任何响应。

#将默认的防火墙区域设置为 "drop",即丢弃所有连接。
 
firewall-cmd --set-default-zone=drop
 
firewall-cmd --reload

如何需要限制其他端口和IP访问,只需要替换上面例子中的IP地址和端口号为你实际使用的值即可。

四、简单的规则设置

在上面的方法中,我们通过新建规则中的服务和区域实现对特定服务的访问控制,并根据网络环境的安全性要求来限制不同区域的访问权限。

当然,如果不需要复杂的控制也可直接在public区域中添加要限制的端口和IP地址就可以了。

4.1、检查默认区域

检查默认的区域,如果默认的Zone不是Public,则需切换到Public Zone;

#查询默认的区域
 
firewall-cmd --get-default-zone
#将默认区域设置为public
 
firewall-cmd --set-default-zone=public

4.2、添加限制端口及IP的规则

#添加允许访问端口8088的规则,只允许IP为192.168.2.100的访问
 
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.2.100" port protocol="tcp" port="8088" accept'
#重新加载防火墙配置:
 
firewall-cmd --reload

4.3、验证规则是否生效

firewall-cmd --list-all

通过以上步骤同样可以实现限制对端口8088的访问,只允许IP为192.168.2.100的运维服务器访问,并不对其他端口做任何限制。

五、查询防火墙配置

#查看当前生效的防火墙规则
 
firewall-cmd --list-all

这将显示当前活动区域的所有规则,包括允许的端口、源地址等信息。

#查看特定区域的规则
 
firewall-cmd --zone=--list-all

将``替换为你要查看规则的区域名称,例如`public`、`restricted`等。

#查看特定端口的规则
 
firewall-cmd --zone=--list-ports

将``替换为你要查看规则的区域名称。这将显示指定区域中允许的端口列表。

#查看特定服务的规则
 
firewall-cmd --zone=--list-services

将``替换为你要查看规则的区域名称。这将显示指定区域中允许的服务列表。

通过以上命令将显示与防火墙规则相关的信息,包括允许的端口、源地址、服务等。另外,也可以直接查看配置文件,Firewalld的配置目录为/etc/firewalld/。

目录
相关文章
|
5天前
|
Linux 网络安全 开发工具
Centos6.5安装并配置Telnet服务
该内容是一个关于如何安装配置Telnet服务的教程。首先,通过yum安装vim、xinetd、telnet和telnet-server。接着,修改/etc/xinetd.d/telnet配置文件,将disable改为no,并设置访问限制(如限定特定网段和时间)。关闭防火墙,重启服务。创建测试用户后,分别使用CentOS和Windows的Telnet客户端进行连接测试,显示成功,实验完成。
33 1
|
5天前
|
NoSQL Linux Redis
在CentOS上安装和配置Redis
在CentOS上安装和配置Redis
57 0
|
5天前
|
网络协议 Linux 网络安全
CentOS 7 防火墙指令
本文介绍了CentOS 7中管理防火墙`firewalld`的指令。
14 0
|
5天前
|
Linux
CentOS 7 配置yum阿里源 (三步即可)
CentOS 7 配置yum阿里源 (三步即可)
189 1
|
5天前
|
弹性计算 运维 Shell
自动添加防火墙规则
【4月更文挑战第29天】
7 0
|
5天前
|
弹性计算 运维 Shell
|
5天前
|
XML 安全 Linux
【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
【Linux】深入探究CentOS防火墙(Firewalld):基础概念、常用命令及实例操作
|
5天前
|
网络协议 Java 应用服务中间件
记录_centos7离线环境和虚拟机共享文件安装jdk和tomcat(配置环境变量)
记录_centos7离线环境和虚拟机共享文件安装jdk和tomcat(配置环境变量)
11 0
|
5天前
|
Linux 网络安全 开发工具
Centos7 sendmail服务安装与配置
该文本描述了在Linux系统中设置邮件服务的步骤。首先,启用httpd的邮件发送功能,然后安装sendmail、sendmail-cf和dovecot。接着配置/sendmail.mc,设定IP和邮件域名。在dovecot配置文件中启用imap、pop3和lmtp协议,取消明文认证限制,设定mail_location,并开启SSL。创建用户mail3和mail4,给予相应权限。停止postfix服务,编辑访问控制、提交配置、本地主机名等文件。最后,重置sendmail、dovecot和saslauthd服务。
65 0
|
5天前
|
运维 网络协议 Linux
【运维系列】Centos7安装并配置PXE服务
PXE是Intel开发的预启动执行环境,允许工作站通过网络从远程服务器启动操作系统。它依赖DHCP分配IP,DNS服务分配主机名,TFTP提供引导程序,HTTP/FTP/NFS提供安装源。要部署PXE服务器,需关闭selinux和防火墙,安装dhcpd、httpd、tftp、xinetd及相关服务,配置引导文件和Centos7安装源。最后,通过syslinux安装引导文件,并创建pxelinux.cfg/default配置文件来定义启动参数。
65 0