firewall 简介
1. 简介
Firewalld 是 Linux 中一个灵活的防火墙管理工具,用于配置和管理系统的防火墙规则。
它使用一种服务和区域的概念,将防火墙规则划分为不同的区域,每个区域可以包含多个服务。这种动态的管理方式使得配置更加灵活。
firewalld 实际上是建立在 iptables 之上的一个抽象层。它提供了一种更高级别的、更易于管理的防火墙配置方式,并且可以与 iptables 兼容。
2. zone(区域)
在 firewalld 中,"区域"(Zone)是一种概念,用于定义网络上的不同安全区域,并指定在这些区域中的网络连接上应用哪些防火墙规则。每个区域都有自己的一组预定义规则,这些规则定义了允许或拒绝哪些类型的网络流量。
以下是一些常见的预定义区域,每个区域都有自己的默认规则集,这些规则定义了对于连接到该区域的系统来说是允许还是禁止的网络流量。
1. public: 适用于公共网络,例如互联网。默认情况下,eth0 网络接口分配给 public 区域。
2. internal: 适用于内部网络,通常是受信任的局域网。默认情况下,eth1 网络接口分配给 internal 区域。
3. external: 适用于外部网络,通常是不受信任的网络。默认情况下,eth2 网络接口分配给 external 区域。
4. dmz: 适用于一个称为"鉴别区"(Demilitarized Zone,DMZ)的区域,用于存放不完全信任的系统。默认情况下,eth3 网络接口分配给 dmz 区域。
5. work: 适用于工作网络,通常用于公司或组织内部的网络。
6. home: 适用于家庭网络,通常用于家庭中的局域网。
1. 常用命令
查看所有的区域
firewall-cmd --get-zones
修改接口的所属区域, 将 eth0 接口分配给 public 区域
firewall-cmd --zone=public --change-interface=eth0 --permanent
查看指定区域的规则
sudo firewall-cmd --zone=public --list-all
3. service(服务)
在防火墙(如firewalld)的上下文中,"服务"是指一组预定义的规则集,这些规则定义了特定服务或应用程序允许通过防火墙的网络流量。每个服务都与一个或多个端口以及相关的协议关联。
Firewalld使用服务的概念来简化配置,而不是直接配置端口和协议。通过使用服务,你可以定义允许或拒绝特定服务的流量,而无需显式指定与该服务相关的所有端口和协议。
每个服务都有一个相关的XML配置文件,通常存储在 /usr/lib/firewalld/services
1. 服务文件
下面是http.xml文件内容
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>WWW (HTTP)</short>
<description>HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.</description>
<port protocol="tcp" port="80"/>
</service>
2. 常用命令
查看当前允许的服务列表
sudo firewall-cmd --list-services
查看某个特定区域(例如 public)允许的服务
sudo firewall-cmd --zone=public --list-services
允许 HTTP 服务的流量
sudo firewall-cmd --zone=public --add-service=http --permanent
拒绝 HTTP 服务的流量
sudo firewall-cmd --zone=public --remove-service=http --permanent
4.常用命令
查看开放的端口列表
firewall-cmd --zone=public --list-ports
开放端口
firewall-cmd --zone=public --add-port=8000/tcp --permanent
关闭端口
firewall-cmd --zone=public --remove-port=8000/tcp --permanent
重新加载配置
firewall-cmd --reload
如果文章对您有所帮助,可以点一下推荐
