【Linux】firewall-cmd之防火墙简介及命令详解+实例
文章目录
本文简介
firewalld与iptables相比的两大好处
firewalld与iptables相比的两大好处:
firewalld配置的防火墙策略
firewalld配置的防火墙策略,分为:运行时(Runtime)模式、永久(Permanent)模式两种;
1. 默认的是运行时(Runtime)模式,配置的策略便会立即生效,但是,系统一旦重启就会失效。
2. 永久生效(Permanent)模式,可以使firewalld配置永久生效,但是,此模式需要重启系统,或者手动执行firewall-cmd –reload命令,配置的策略才会立即生效。
firewall-cmd命令详解
CentOS 7中,默认预装了firewalld、firewall-config命令,如果没有可以通过yum手动安装或更新至最新版本。
[root@firewall-cmd ~]# yum list firewalld firewall-config [root@firewall-cmd ~]# yum -y install firewalld firewall-config 语法格式
firewall-cmd [选项 ... ] 常用参数/选项
| 选项分类 | 参数/选项 | 解析 |
|---|---|---|
| 通用选项 | -h, –help | 显示帮助信息 |
| -V, –version | 显示版本信息 | |
| -q, –quiet | 不打印状态消息 | |
| 状态选项 | –state | 显示firewalld的状态 |
| –permanent | 设置永久的规则 | |
| –reload | 不中断服务的重新加载 | |
| –complete-reload | 中断所有连接的重新加载 | |
| –runtime-to-permanent | 将当前防火墙的规则永久保存 | |
| –zone= | 指定区域 | |
| –get-active-zone | 查看区域信息 | |
| –get-zone-of-interface= | 查看指定接口所属区域 | |
| –check-config | 检查配置正确性 | |
| –panic-on | 拒绝所有包 | |
| –panic-off | 取消拒绝状态 | |
| –query-panic | 查看是否拒绝 | |
| 日志选项 | –get-log-denied | 获取记录被拒绝的日志 |
| –set-log-denied=[value] | 设置记录被拒绝的日志,只能为 ‘all’,’unicast’,’broadcast’,’multicast’,’off’ 其中的一个 |
实例
1、防火墙的常规操作
1.1、查看firewalld防火墙状态
systemctl status firewalld firewall-cmd --state #running是开启状态 1.2、开启/关闭/重启firewalld防火墙
#开启防火墙服务 systemctl start firewalld #关闭防火墙服务 systemctl stop firewalld #重启防火墙服务 systemctl restart firewalld 1.3、设置防火墙开机自启/禁止开机自启
#设置防火墙开机自启 systemctl enable firewalld #设置防火墙禁止开机自启 systemctl disable firewalld 1.4、查看防火墙是否开机自启
systemctl is-enabled firewalld #disabled则是开机不启动的; 2、配置firewalld
2.1、查看firewalld防火墙的版本
firewall-cmd -V firewall-cmd --version 2.2、查看服务当前状态
firewall-cmd --state #running是开启状态 2.3、查看区域信息
firewall-cmd --get-active-zones 2.4、查看指定接口所属区域
firewall-cmd --get-zone-of-interface=eth0 2.5、拒绝所有包/取消拒绝状态/查看是否拒绝
# 拒绝所有包:慎用,因为拒绝所有的包的时候就连xshell都链接不上了 firewall-cmd --panic-on # 取消拒绝状态 firewall-cmd --panic-off # 查看是否拒绝 firewall-cmd --query-panic 2.6、更新防火墙规则
#不中断服务的重新加载 firewall-cmd --reload #中断所有连接的重新加载 firewall-cmd --complete-reload # 两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务 2.7、将接口添加到区域,默认接口都在public
#将接口添加到区域,默认接口都在public firewall-cmd --zone=public --add-interface=eth0 # 永久生效再加上 --permanent 然后reload防火墙 firewall-cmd --permanent --zone=public --add-interface=eth0 firewall-cmd --reload 2.8、设置默认接口区域,立即生效无需重启
#设置默认接口区域 firewall-cmd --set-default-zone=public #立即生效无需重启 firewall-cmd --reload 2.9、新加一个端口到区域,使其永久生效
#新加一个端口,使其永久生效 firewall-cmd --permanent --zone=public --add-port=8088/tcp #立即生效 firewall-cmd --reload 2.10、查看所有打开的端口
firewall-cmd --zone=public --list-ports firewall-cmd --list-ports 2.11、删除一个不需要的已打开的端口
firewall-cmd --remove-port=3396/tcp 2.12、打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,/etc/firewalld 目录下有services文件夹
firewall-cmd --zone=work --add-service=smtp 2.13、移除服务
firewall-cmd --zone=work --remove-service=smtp 2.14、显示支持的区域列表
firewall-cmd --get-zones 2.15、设置为家庭区域
firewall-cmd --set-default-zone=home 2.16、查看当前区域
firewall-cmd --get-active-zones 2.17、设置当前区域的接口
firewall-cmd --get-zone-of-interface=ens33 2.18、显示所有公共区域(public)
firewall-cmd --zone=public --list-all 2.19、临时修改网络接口(ens33)为内部区域(internal)
firewall-cmd --zone=internal --change-interface=ens33 2.20、永久修改网络接口ens33为内部区域(internal)
firewall-cmd --permanent --zone=internal --change-interface=ens33 这里主要有五个相关命令(参数)
firewall-cmd [--permanent] [--zone=zone] --list-sources firewall-cmd [--permanent] [--zone=zone] --query-source=source[/mask] firewall-cmd [--permanent] [--zone=zone] --add-source=source[/mask] firewall-cmd [--zone=zone] --change-source=source[/mask] firewall-cmd [--permanent] [--zone=zone] --remove-source=source[/mask] - –list-sources:用于列出指定zone的所有绑定的source地址
- –query-source:用于查询指定zone是否跟指定source地址进行了绑定
- –add-source:用于将一个source地址绑定到指定的zone(只可绑定一次,第二次绑定到不同的zone会报错)
- –change-source:用于改变source地址所绑定的zone,如果原来没有绑定则进行绑定,这样就跟–add-source的作用一样了
- –remove-source:用于删除source地址跟zone的绑定
3、服务管理
3.1、显示服务列表
Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:
firewall-cmd --get-services 3.2、允许SSH服务通过
firewall-cmd --new-service=ssh 3.3、禁止SSH服务通过
firewall-cmd --delete-service=ssh 3.4、打开TCP的8080端口
firewall-cmd --enable ports=8080/tcp 3.5、临时允许Samba服务通过600秒
firewall-cmd --enable service=samba --timeout=600 3.6、显示当前服务
firewall-cmd --list-services 3.7、添加HTTP服务到内部区域(internal)
firewall-cmd --permanent --zone=internal --add-service=http # 在不改变状态的条件下重新加载防火墙 firewall-cmd --reload 4、端口管理
4.1、打开443/TCP端口
#打开443/TCP端口,默认就有--zone=public,所以不加也可以; firewall-cmd --add-port=443/tcp #查看已开放的端口 firewall-cmd --list-ports 4.2、永久打开3306/TCP端口
#永久打开3306/TCP端口,默认就有--zone=public,所以不加也可以; firewall-cmd --permanent --add-port=3306/tcp #在不断开的情况下重新加载 firewall-cmd --reload #查看已开放的端口 firewall-cmd --list-ports 4.3、查看已开放的端口(两种方式)
两种区别就在:
- 【–list-all】可以看的比较全面,还可以看到除了ports之外的sources、services、interfaces信息;
- 【–list-ports】只能看到所有开放的端口
firewall-cmd --list-all firewall-cmd --list-ports 
4.4、删除已开放的某个不需要的端口
firewall-cmd --remove-port=3396/tcp 5、直接模式
5.1、打开TCP协议的8888端口
firewall-cmd --direct -add-rule ipv4 filter INPUT 0 -p tcp --dport 8888 -j ACCEPT firewall-cmd --reload 6、自定义服务管理
6.1、选项
(末尾带有 [P only] 的话表示该选项除了与(--permanent)之外,不能与其他选项一同使用!) --new-service=<服务名> 新建一个自定义服务 [P only] --new-service-from-file=<文件名> [--name=<服务名>] 从文件中读取配置用以新建一个自定义服务 [P only] --delete-service=<服务名> 删除一个已存在的服务 [P only] --load-service-defaults=<服务名> Load icmptype default settings [P only] --info-service=<服务名> 显示该服务的相关信息 --path-service=<服务名> 显示该服务的文件的相关路径 [P only] --service=<服务名> --set-description=<描述> 给该服务设置描述信息 [P only] --service=<服务名> --get-description 显示该服务的描述信息 [P only] --service=<服务名> --set-short=<描述> 给该服务设置一个简短的描述 [P only] --service=<服务名> --get-short 显示该服务的简短描述 [P only] --service=<服务名> --add-port=<端口号>[-<端口号>]/<protocol> 给该服务添加一个新的端口(端口段) [P only] --service=<服务名> --remove-port=<端口号>[-<端口号>]/<protocol> 从该服务上移除一个端口(端口段) [P only] --service=<服务名> --query-port=<端口号>[-<端口号>]/<protocol> 查询该服务是否添加了某个端口(端口段) [P only] --service=<服务名> --get-ports 显示该服务添加的所有端口 [P only] --service=<服务名> --add-protocol=<protocol> 为该服务添加一个协议 [P only] --service=<服务名> --remove-protocol=<protocol> 从该服务上移除一个协议 [P only] --service=<服务名> --query-protocol=<protocol> 查询该服务是否添加了某个协议 [P only] --service=<服务名> --get-protocols 显示该服务添加的所有协议 [P only] --service=<服务名> --add-source-port=<端口号>[-<端口号>]/<protocol> 添加新的源端口(端口段)到该服务 [P only] --service=<服务名> --remove-source-port=<端口号>[-<端口号>]/<protocol> 从该服务中删除源端口(端口段) [P only] --service=<服务名> --query-source-port=<端口号>[-<端口号>]/<protocol> 查询该服务是否添加了某个源端口(端口段) [P only] --service=<服务名> --get-source-ports 显示该服务所有源端口 [P only] --service=<服务名> --add-module=<module> 为该服务添加一个模块 [P only] --service=<服务名> --remove-module=<module> 为该服务移除一个模块 [P only] --service=<服务名> --query-module=<module> 查询该服务是否添加了某个模块 [P only] --service=<服务名> --get-modules 显示该服务添加的所有模块 [P only] --service=<服务名> --set-destination=<ipv>:<address>[/<mask>] Set destination for ipv to address in service [P only] --service=<服务名> --remove-destination=<ipv> Disable destination for ipv i service [P only] --service=<服务名> --query-destination=<ipv>:<address>[/<mask>] Return whether destination ipv is set for service [P only] --service=<服务名> --get-destinations List destinations in service [P only] 7、控制端口 / 服务
可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。
firewall-cmd --permanent --add-service=mysql # 设置永久开放mysql服务 firewall-cmd --add-service=mysql # 开放mysql服务 firewall-cmd --remove-service=mysql # 阻止mysql服务(删除) firewall-cmd --list-services # 查看开放的服务 firewall-cmd --list-all # 查看开放的服务(services) firewall-cmd --permanent --add-port=8089 # 设置永久开放8089端口 firewall-cmd --add-port=3306/tcp # 开放通过tcp访问3306 firewall-cmd --remove-port=8090/tcp # 阻止通过tcp访问8090(删除) firewall-cmd --add-port=1080/udp # 开放通过udp访问1080 firewall-cmd --list-ports # 查看开放的端口 firewall-cmd --list-all # 查看开放的端口(ports) 7.1、伪装 IP
firewall-cmd --query-masquerade # 检查是否允许伪装IP firewall-cmd --add-masquerade # 允许防火墙伪装IP firewall-cmd --remove-masquerade # 禁止防火墙伪装IP 8、端口转发
- 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
- 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP
# 将80端口的流量转发至8080 firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至192.168.1.12 firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.12 # 将80端口的流量转发至192.168.1.12的8080端口 firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.12:toport=8080 端口转发补充:
- 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
- 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
相关文章
?【Linux】iptables之防火墙概述及规则匹配+实例(1)
?【Linux】iptables之防火墙的应用及案例、策略、备份与还原(2)
?【Linux】firewall-cmd之防火墙简介及命令详解+实例
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/209106.html原文链接:https://javaforall.net
