Centos7配置firewalld防火墙规则

news2025/7/10 4:21:52

这里写自定义目录标题

  • 欢迎使用Markdown编辑器
    • 一、简单介绍
    • 二、特点和功能
      • 2.1、区域(Zone)
      • 2.2、运行时和永久配置
      • 2.3、服务和端口
      • 2.4、动态更新
      • 2.5、连接跟踪
      • 2.6、D-Bus接口
    • 三、设置规则
      • 3.1、启动防火墙服务
      • 3.2、新建防火墙规则的服务,添加端口的TCP访问规则
      • 3.3、新建一个防火墙区域,将IP地址添加到区域的源地址列表中,将服务添加到区域的服务列表中;
      • 3.4、开放特定IP来访问。
      • 3.5、开放指定IP访问服务器指定的端口。
    • 四、简单的规则设置
      • 4.1、切换默认的区域到Public Zone;
      • 4.2、添加限制端口及IP的规则
      • 4.3、验证规则是否生效:
    • 五、查询防火墙配置

欢迎使用Markdown编辑器

一、简单介绍

Firewalld是CentOS系统自带的一种动态防火墙管理工具。是一个前端工具,用于管理Linux系统上的netfilter防火墙规则。Firewalld提供了一种简化和易于使用的方法来配置和管理防火墙。

二、特点和功能

2.1、区域(Zone)

Firewalld使用区域来定义不同的网络环境,如公共网络、内部网络和信任网络等。每个区域都有自己的防火墙规则集合,可以根据网络环境的不同选择适当的区域。预定义的区域包括公共(public)、私有(private)、可信(trusted)、工作(work)和家庭(home)。

2.2、运行时和永久配置

Firewalld支持运行时和永久配置。运行时配置的更改在重新启动后会被重置,而永久配置则会持久保存并在系统重新启动后生效。

2.3、服务和端口

Firewalld可以通过定义服务和端口来管理访问控制。服务是一组预定义的规则,用于允许或拒绝特定的网络服务。端口规则允许或拒绝特定的端口号。

2.4、动态更新

Firewalld支持动态更新防火墙规则,这意味着您可以在运行时添加、删除或修改规则,而无需重新加载整个防火墙配置。

2.5、连接跟踪

Firewalld使用连接跟踪来跟踪网络连接状态。它可以自动识别和允许与现有连接相关的回复流量。

2.6、D-Bus接口

Firewalld提供了一个D-Bus接口,允许其他应用程序通过API与其交互,从而实现更高级的防火墙配置和管理。

总体而言,Firewalld提供了一种灵活而强大的方式来管理CentOS系统上的防火墙。它使管理员能够轻松配置和调整防火墙规则,以保护系统免受未经授权的访问和网络攻击。

三、设置规则

例子:使用Firewalld设置防火墙规则,以限制对nginx服务器8088端口的访问,只允许IP为192.168.2.100的运维服务器访问,同时对其他端口不做任何限制。

3.1、启动防火墙服务

#检查防火墙状态

systemctl status firewalld

#启动防火墙服务

systemctl start firewalld

#检查是否设置开机启动

systemctl is-enabled firewalld

#设置开机启动

systemctl enable firewalld

启动成功后的状态
在这里插入图片描述

3.2、新建防火墙规则的服务,添加端口的TCP访问规则

#创建一个名为 “nginxserver” 的新服务,并设置其描述为 “nginx Service”。

firewall-cmd --permanent --new-service=nginxserver --set-description="nginx Service"

在这里插入图片描述
#将端口8088/tcp 添加到 “nginxserver” 服务的防火墙规则中。这将允许通过8088端口进行TCP通信。

firewall-cmd --permanent --service=nginxserver --add-port=8088/tcp

在这里插入图片描述
#重新加载防火墙配置,以使新的服务和规则生效。

firewall-cmd --reload

在这里插入图片描述
#查询所有已定义的服务

firewall-cmd --get-services

在这里插入图片描述
#查询特定服务的具体信息

firewall-cmd --info-service=nginxserver

在这里插入图片描述
#删除特定服务的规则

firewall-cmd --permanent --delete-service=nginx-http
firewall-cmd --reload

在这里插入图片描述

3.3、新建一个防火墙区域,将IP地址添加到区域的源地址列表中,将服务添加到区域的服务列表中;

#创建一个名为 “opsserver” 的新区域,并设置其描述为 “Ops Server Zone”。这将在防火墙中创建一个新的区域。

firewall-cmd --permanent --new-zone=opsserver --set-description="Ops Server Zone"

在这里插入图片描述
#将IP地址 192.168.2.100 添加到 “opsserver” 区域的源列表中。这意味着只有来自该IP地址的流量才能通过该区域。

firewall-cmd --permanent --zone=opsserver --add-source=192.168.2.100

在这里插入图片描述
#将"nginxserver" 服务添加到 “opsserver” 区域的源列表中

firewall-cmd --permanent --zone=opsserver --add-service=nginxserver

#重新加载firewalld配置,以使新的服务和规则生效。

firewall-cmd --reload

#查询已定义的区域

firewall-cmd --get-zones

在这里插入图片描述
#查询特定区域的具体信息

firewall-cmd --zone=opsserver --list-all

在这里插入图片描述
#删除特定区域的规则

firewall-cmd --permanent --delete-zone=

firewall-cmd --reload

#删除特定区域中的规则内容

firewall-cmd --zone=<区域名称> --remove-<规则类型>=<规则内容>

其中,将 <区域名称> 替换为要删除规则的区域名称,<规则类型> 替换为要删除的规则类型(例如rich-rule、service、port等),<规则内容> 替换为要删除的规则内容。

注意:

①确保你有足够的权限执行上述命令,否则可能需要使用 sudo

②以上命令中使用了 --permanent 选项,以确保规则在系统重启后仍然有效。如果您想要在不重启系统的情况下立即应用规则,请省略 --permanent 选项。

3.4、开放特定IP来访问。

现在,只有来自 IP 地址为 192.168.2.100 的运维服务器的流量可以访问端口 8088,其他所有流量都将被阻止。对于其他端口,没有任何限制
①当IP为192.168.2.100时,nginx访问正常,可以ping通,并且端口访问正常;
②当IP为192.168.2.13时,无法ping通nginx服务器,并且端口无法访问,但是其他端口不受限制,可以正常访问;

3.5、开放指定IP访问服务器指定的端口。

如果要设置仅可通过192.168.2.100访问nginx服务器的8088端口,而其他所有端口和IP都禁止访问,那么可以将默认的 Firewalld 区域设置为 “drop”,在 “drop” 区域中,所有入站和出站的网络连接都将被丢弃,而不会给任何响应。
#将默认的防火墙区域设置为 “drop”,即丢弃所有连接。

firewall-cmd --set-default-zone=drop
firewall-cmd --reload

在这里插入图片描述
如何需要限制其他端口和IP访问,只需要替换上面例子中的IP地址和端口号为你实际使用的值即可。

四、简单的规则设置

在上面的方法中,我们通过新建规则中的服务和区域实现对特定服务的访问控制,并根据网络环境的安全性要求来限制不同区域的访问权限。
当然,如果不需要复杂的控制也可直接在public区域中添加要限制的端口和IP地址就可以了。

4.1、切换默认的区域到Public Zone;

#查询默认的区域

firewall-cmd --get-default-zone

#将默认区域设置为public

firewall-cmd --set-default-zone=public

4.2、添加限制端口及IP的规则

#添加允许访问端口8088的规则,只允许IP为192.168.2.100的访问

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.2.100" port protocol="tcp" port="8088" accept'

#重新加载防火墙配置:

firewall-cmd --reload

4.3、验证规则是否生效:

firewall-cmd --list-all

通过以上步骤同样可以实现限制对端口8088的访问,只允许IP为192.168.2.100的运维服务器访问,并不对其他端口做任何限制。

五、查询防火墙配置

#查看当前生效的防火墙规则

firewall-cmd --list-all

这将显示当前活动区域的所有规则,包括允许的端口、源地址等信息。

#查看特定区域的规则

firewall-cmd --zone=--list-all

将``替换为你要查看规则的区域名称,例如publicrestricted等。

#查看特定端口的规则

firewall-cmd --zone=--list-ports

将``替换为你要查看规则的区域名称。这将显示指定区域中允许的端口列表。

#查看特定服务的规则

firewall-cmd --zone=--list-services

将``替换为你要查看规则的区域名称。这将显示指定区域中允许的服务列表。

通过以上命令将显示与防火墙规则相关的信息,包括允许的端口、源地址、服务等。另外,也可以直接查看配置文件,Firewalld的配置目录为/etc/firewalld/。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1055267.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C/C++进程超详细详解【中部分】(系统性学习day07)

目录 前言 一、守护进程 1.概念 2.守护进程创建的原理&#xff08;如图清晰可见&#xff09; 3.守护进程的实现&#xff08;代码块&#xff09; 二、dup和dup2 1&#xff0c;复制文件描述符 2.文件描述符重定向 三、系统日志 1&#xff0c;打开日志 2&#xff0c;向日…

【MATLAB】字体美化和乱码

文章目录 前言首先说说说字体美化乱码到底是怎么导致的&#xff1f;1 字体导致的乱码2 编码导致的乱码总结 前言 最近打开MATLAB&#xff0c;又发现了一个问题&#xff1a;编辑器中的中文输入在命令行或者说终端输出竟然是乱码&#xff0c;然后赶紧翻阅了一下此前的博客以及未发…

基于Java的校园资料分享平台设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序&#xff08;小蔡coding&#xff09;有保障的售后福利 代码参考源码获取 前言 &#x1f497;博主介绍&#xff1a;✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作…

嵌入式Linux应用开发-基础知识-第十八章系统对中断的处理①

嵌入式Linux应用开发-基础知识-第十八章系统对中断的处理 第十八章 Linux 系统对中断的处理①18.1 进程、线程、中断的核心&#xff1a;栈18.1.1 ARM 处理器程序运行的过程18.1.2 程序被中断时&#xff0c;怎么保存现场18.1.3 进程、线程的概念 18.2 Linux系统对中断处理的演进…

Python实用技术二:数据分析和可视化(2)

目录 一&#xff0c;多维数组库numpy 1&#xff0c;操作函数&#xff1a;​ 2&#xff0c;numpy数组元素增删 1&#xff09;添加数组元素 2&#xff09;numpy删除数组元素 3&#xff09;在numpy数组中查找元素 4&#xff09;numpy数组的数学运算 3&#xff0c;numpy数…

windows系统利用powershell查看系统支持那些Windows功能选项

在PowerShell中&#xff0c;我们可以使用Get-WindowsOptionalFeature cmdlet命令来查看Windows功能选项。 打开PowerShell 输入以下命令&#xff1a;将结果输出到1.log Get-WindowsOptionalFeature -Online >1.log 可以看到在指定路径下看到生成了文件 打开查看内容&…

Linux基础指令(六)

目录 前言1. man 指令2. date 指令3. cal 指令4. bc 指令5. uname 指令结语&#xff1a; 前言 欢迎各位伙伴来到学习 Linux 指令的 第六天&#xff01;&#xff01;&#xff01; 在上一篇文章 Linux基本指令(五) 中&#xff0c;我们通过一段故事线&#xff0c;带大家感性的了…

数学建模Matlab之优化类方法

本文还是来源于http://t.csdnimg.cn/P5zOD&#xff0c;但肯定不可能只有这些内容&#xff0c;否则那位作者应该会打我……&#xff0c;在这里&#xff0c;只是讲解优化类问题比较常用的方法&#xff0c;以TSP问题为例&#xff0c;适合入门。 模拟退火 模拟退火是一种概率算法&a…

软件设计师_数据库系统_学习笔记

文章目录 3.1 数据库模式3.1.1 三级模式 两级映射3.1.2 数据库设计过程 3.2 ER模型3.3 关系代数与元组演算3.4 规范化理论3.5 并发控制3.6 数据库完整性约束3.7 分布式数据库3.8 数据仓库与数据挖掘 3.1 数据库模式 3.1.1 三级模式 两级映射 内模式直接与物理数据库相关联的 定…

PWN Test_your_nc Write UP

目录 PWN 00 解题过程 总结归纳 PWN 01 解题过程 总结归纳 PWN 02 解题过程 总结归纳 PWN 03 解题过程 总结归纳 PWN 04 解题过程 总结归纳 CTF PWN 开始&#xff01; 冲就完了 PWN 00 解题过程 ssh远程链连接 ssh ctfshowpwn.challenge.ctf.show -p28151 输…

Git使用【上】

欢迎来到Cefler的博客&#x1f601; &#x1f54c;博客主页&#xff1a;那个传说中的man的主页 &#x1f3e0;个人专栏&#xff1a;题目解析 &#x1f30e;推荐文章&#xff1a;题目大解析3 前言 先前有些git命令我在我的其它文章里面已经写过&#xff0c;若要查看可参考【Linu…

嵌入式Linux应用开发-基础知识-第十八章系统对中断的处理②

嵌入式Linux应用开发-基础知识-第十八章系统对中断的处理② 第十八章 Linux系统对中断的处理 ②18.3 Linux中断系统中的重要数据结构18.3.1 irq_desc数组18.3.2 irqaction结构体18.3.3 irq_data结构体18.3.4 irq_domain结构体18.3.5 irq_chip结构体 18.4 在设备树中指定中断_在…

【Python】返回指定时间对应的时间戳

使用模块datetime&#xff0c;附赠一个没啥用的“时间推算”功能(获取n天后对应的时间 代码&#xff1a; import datetimedef GetTimestamp(year,month,day,hour,minute,second,*,relativeNone,timezoneNone):#返回指定时间戳。指定relative时进行时间推算"""根…

前端开发网站推荐

每个人都会遇见那么一个人&#xff0c;永远无法忘却&#xff0c;也永远不能拥有。 以下是一些可以用来查找和比较前端框架的推荐网站&#xff1a; JavaScript框架比较&#xff1a; 这些网站提供了对不同JavaScript框架和库的详细比较和评估。 JavaScripting: 提供了大量的JavaS…

深入了解 Linux 中的 AWK 命令:文本处理的瑞士军刀

简介 在Linux和Unix操作系统中&#xff0c;文本处理是一个常见的任务。AWK命令是一个强大的文本处理工具&#xff0c;专门进行文本截取和分析&#xff0c;它允许你在文本文件中查找、过滤、处理和格式化数据。本文将深入介绍Linux中的AWK命令&#xff0c;让你了解其基本用法和…

Cesium实现动态旋转四棱锥(2023.9.11)

Cesium实现动态悬浮旋转四棱锥效果 2023.9.11 1、引言2、两种实现思路介绍2.1 思路一&#xff1a;添加已有的四棱锥&#xff08;金字塔&#xff09;模型实现&#xff08;简单但受限&#xff09;2.2 思路二&#xff1a;自定义四棱锥几何模型实现&#xff08;复杂且灵活&#xff…

双指针算法——复写零

双指针算法——复写零&#x1f60e; 前言&#x1f64c;复写零板书分析&#xff1a;解题代码&#xff1a;B站视频讲解 总结撒花&#x1f49e; &#x1f60e;博客昵称&#xff1a;博客小梦 &#x1f60a;最喜欢的座右铭&#xff1a;全神贯注的上吧&#xff01;&#xff01;&#…

VUE3照本宣科——认识VUE3

VUE3照本宣科——认识VUE3 前言一、命令创建项目1.中文官网2.菜鸟教程 二、VUE3项目目录结构1.public2.src&#xff08;1&#xff09;assets&#xff08;2&#xff09;components 3. .eslintrc.cjs4. .gitignore5. .prettierrc.json6.index.html7.package.json8.README.md9.vit…

芒果叶病害数据集(用于图像分类,每类500张照片)

1.数据集介绍 数据类型&#xff1a;240x320 像素的芒果叶图像。数据格式&#xff1a;JPG。图像数量&#xff1a;共有4000张图像。其中约有1800张是不同的叶子图像&#xff0c;其余的是通过缩放和旋转进行制备的。考虑的病害&#xff1a;包括七种病害&#xff0c;分别是炭疽病、…

大型项目开发设计文档规范

目录 一、 需求文档分析 二、 需求分析 1.交互层分析 2.功能需求分析 3.数据分析 4.兼容性分析 5.非功能性分析 三、 系统现状分析 1. 判断要开发的功能属于哪个模块&#xff0c;需要与哪几个模块联动&#xff1f; 2. 要开发的功能属于新接口开发&#xff0c;还是既有…