Linux防火墙策略

防火墙策略【针对Centos】

firewall-cmd --help  #帮助命令

systemctl status firewalld	 #查看防火墙状态
systemctl start firewalld	 #开启防火墙
systemctl stop firewalld  	 #关闭防火墙
systemctl restart firewalld  #重启防火墙


systemctl enable firewalld   #开机自启防火墙
systemctl disable firewalld  #关闭开机自启防火墙
systemctl is-enabled firewalld  #查看是否开机自启

firewall-cmd --reload  #重新加载防火墙配置

防火墙配置规则

一、查看防火墙开放的规则
  1. 可以查看配置 /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="cockpit"/>
  <port port="9527" protocol="tcp"/>
</zone>
  1. 查看防火墙规则与之对应
[root@pc ~]#  firewall-cmd --list-all   #查看防火墙开放的规则
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: cockpit dhcpv6-client ssh
  ports: 9527/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
二、防火墙新增放行规则
  1. 命令行方式
firewall-cmd --permanent --add-port=9527/tcp   
#firewall-cmd:是Linux提供的操作firewall的一个工具; 
#--permanent:表示设置为持久;
#--add-port:标识添加的端口;
  1. firewall中有Zone的概念,可以将具体的端口制定到具体的zone配置文件中
firewall-cmd --zone=public --permanent --add-port=8010/tcp
#--zone=public:指定的zone为public;
  1. 通过新增服务的方式新增防火墙规则
firewall-cmd --permanent --add-service=ssh
  1. 通过修改配置文件完成 /etc/firewalld/zones/public.xml

批量开放
firewall-cmd --permanent --zone=public --add-port=100-500/tcp

三、删除防火墙放行规则
  1. 移除规则,新增完成会发现public.xml中会删除相应的配置
firewall-cmd --permanent --remove-port=9527/tcp
firewall-cmd --zone=public --permanent --remove-port=8010/
  1. 直接修改配置文件 /etc/firewalld/zones/public.xml
四、修改完成刷新防火墙配置
firewall-cmd --reload  #重新加载防火墙配置

防火墙策略【针对Ubuntu】

sudo apt-get install ufw   #安装防火墙

sudo  ufw enable|disable  #开启/关闭
sudo  ufw default deny

sudo ufw reload  #重新加载防火墙配置


#开机自启
sudo  ufw enable
sudo  ufw default deny

防火墙配置规则

sudo ufw allow 80 允许外部访问80端口
sudo ufw allow 22/tcp

sudo ufw delete allow 80     禁止外部访问80 端口
sudo ufw delete allow 22/tcp 禁止外部访问80 端口

sudo ufw deny smtp 禁止外部访问smtp服务

sudo ufw delete allow smtp 删除上面建立的某条规则

sudo  ufw staus #查看相关规则

批量开启/关闭
ufw  allow 22:100/tcp
ufw  delete allow 22:100/tcp

修改完成刷新防火墙配置

sudo ufw reload
posted @ 2023-03-18 16:42  Cool_Yang  阅读(1187)  评论(0编辑  收藏  举报