入职必会-开发环境搭建39-Linux常用操作-Linux防火墙操作

本文涉及的产品
云防火墙,500元 1000GB
简介: 在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。

防火墙操作

防火墙基本操作

在CentOS 7中,新引入了firewalld服务(防火墙),取代了CentOS 6之前的iptables服务(防火墙)。

命令

作用

systemctl status firewalld

查看防火墙状态

systemctl start firewalld

开启防火墙

systemctl stop firewalld

关闭防火墙

systemctl enable firewalld

开机启动防火墙

systemctl disable firewalld

开机不启动防火墙

操作步骤

  1. 查看防火墙状态
  2. 关闭防火墙
  3. 查看防火墙状态
  4. 开启防火墙
  5. 再次查看防火墙状态

效果如下图:

firewall-cmd操作

firewall-cmd是Linux中专门用于控制防火墙的命令。firewall引入了防火墙的zone概念,即事先准备好的若干套防火墙策略模板,一般默认使用公共(public)区域。

将所有网络流量分为多个区域(zone),然后根据数据包的源IP地址或传入的网络接口等条件将流量传入相应区域,每个区域都定义了自己打开或者关闭的端口和服务列表。

[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
  1. 丢弃(drop):如果使用丢弃区域,任何进入的数据包将被丢弃。这个类似与我们之前使用 iptables -j drop。使用丢弃规则意味着将不存在响应。
  2. 阻塞(block):阻塞区域会拒绝进入的网络连接,返回 icmp-host-prohibited,只有服务器已经建立的连接会被通过即只允许由该系统初始化的网络连接。
  3. 公共(public):只接受那些被选中的连接,默认只允许 ssh 和 dhcpv6-client。这个 zone 是缺省 zone。
  4. 外部(external):这个区域相当于路由器的启用伪装(masquerading)选项。只有指定的连接会被接受,即 ssh,而其它的连接将被丢弃或者不被接受。
  5. 隔离(dmz):如果想要只允许给部分服务能被外部访问,可以在 dmz 区域中定义。它也拥有只通过被选中连接的特性,即 ssh。
  6. 工作(work):在这个区域,我们只能定义内部网络。比如私有网络通信才被允许,只允许 ssh,ipp-client 和 dhcpv6-client。
  7. 家庭(home):这个区域专门用于家庭环境。它同样只允许被选中的连接,即 ssh,ipp-client,mdns,samba-client 和 dhcpv6-client。
  8. 内部(internal):这个区域和工作区域(work)类似,只有通过被选中的连接,和 home 区域一样。
  9. 信任(trusted):信任区域允许所有网络通信通过。记住:因为 trusted 是最被信任的,即使没有设置任何的服务,那么也是被允许的,因为 trusted 是允许所有连接的。

firewall-cmd

参数说明

--zone=public

开放哪个网络,默认是public

--list-all

显示现有的规则

--add-port=端口/tcp

添加到防火墙中端口号,对外是打开的

--remove-port=端口/tcp

从防火墙的规则中删除端口号

--permanent

永久添加规则

--reload

重新加载规则,让新加的端口号起作用

操作步骤

  1. 显示现有的规则
  2. 永久开放443端口,添加到public区域,允许外部连接
  3. 重新加载防火墙的规则
  4. 重新显示现有的规则
  5. 从public区域中,永久移除443端口,不允许外部连接
  6. 重新加载防火墙的规则
  7. 重新显示现有的规则

操作命令

# 显示现有的规则
firewall-cmd --list-all
# 永久开放443端口,添加到public区域,允许外部连接
firewall-cmd --zone=public --add-port=443/tcp --permanent
# 重新加载防火墙的规则
firewall-cmd --reload
# 重新显示现有的规则
firewall-cmd --list-all
# 从public区域中,永久移除443端口,不允许外部连接
firewall-cmd --zone=public --remove-port=443/tcp --permanent
# 重新加载防火墙的规则
firewall-cmd --reload
# 重新显示现有的规则
firewall-cmd --list-all

效果如下图:

相关文章
|
19天前
|
安全 Linux 应用服务中间件
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
在Linux中,包过滤防火墙与代理应用防火墙有什么区别?有哪些相应的产品?
|
9天前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
165 73
|
13天前
|
Linux 网络安全
linux关闭方防火墙的命令
linux关闭方防火墙的命令
27 2
|
19天前
|
Linux 网络安全
在Linux中,如何设置防火墙规则?
在Linux中,如何设置防火墙规则?
|
19天前
|
安全 Linux 测试技术
在Linux中,如何配置防火墙和安全规则?
在Linux中,如何配置防火墙和安全规则?
|
21天前
|
Linux 网络安全
在Linux中,iptables和firewalld两种防火墙如何使用?
在Linux中,iptables和firewalld两种防火墙如何使用?
|
19天前
|
监控 安全 Linux
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?
在Linux中,什么是入侵检测系统(IDS)和入侵防御系统(IPS)?
|
20天前
|
前端开发 Linux 网络安全
在Linux中,如何配置防火墙?
在Linux中,如何配置防火墙?
|
21天前
|
监控 安全 Linux
在Linux中,如何使用Snort进行入侵检测和防御?
在Linux中,如何使用Snort进行入侵检测和防御?
|
22天前
|
网络协议 安全 Linux
下一篇
DDNS