RHEL 7中防火墻如何配置及使用
小編給大家分享一下RHEL 7中防火墻如何配置及使用���,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下����,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧���!
小編給大家分享一下RHEL 7中防火墻如何配置及使用��,相信大部分人都還不怎么了解���,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲����,下面讓我們一起去了解一下吧!
RHEL7 中使用了firewalld代替了原來(lái)的iptables,操作設(shè)置和原來(lái)有點(diǎn)不同:
查看防火墻狀態(tài):systemctl status firewalld
啟動(dòng)防火墻:systemctl start firewalld
停止防火墻:systemctl stop firewalld
防火墻中的一切都與一個(gè)或者多個(gè)區(qū)域相關(guān)聯(lián)��,下面對(duì)各個(gè)區(qū)進(jìn)行說(shuō)明:
| Zone Description ----------------------------------------------------- drop (immutable) Deny all incoming connections, outgoing ones are accepted. block (immutable) Deny all incoming connections, with ICMP host prohibited messages issued. trusted (immutable) Allow all network connections public Public areas, do not trust other computers external For computers with masquerading enabled, protecting a local network dmz For computers publicly accessible with restricted access. work For trusted work areas home For trusted home network connections internal For internal network, restrict incoming connections |
drop(丟棄)
任何接收的網(wǎng)絡(luò)數(shù)據(jù)包都被丟棄��,沒(méi)有任何回復(fù)���。僅能有發(fā)送出去的網(wǎng)絡(luò)連接�����。
block(限制)
任何接收的網(wǎng)絡(luò)連接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒絕��。
public(公共)
在公共區(qū)域內(nèi)使用��,不能相信網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)對(duì)您的計(jì)算機(jī)造成危害��,只能接收經(jīng)過(guò)選取的連接。
external(外部)
特別是為路由器啟用了偽裝功能的外部網(wǎng)��。您不能信任來(lái)自網(wǎng)絡(luò)的其他計(jì)算�����,不能相信它們不會(huì)對(duì)您的計(jì)算機(jī)造成危害�����,只能接收經(jīng)過(guò)選擇的連接。
dmz(非軍事區(qū))
用于您的非軍事區(qū)內(nèi)的電腦��,此區(qū)域內(nèi)可公開(kāi)訪問(wèn)��,可以有限地進(jìn)入您的內(nèi)部網(wǎng)絡(luò)����,僅僅接收經(jīng)過(guò)選擇的連接。
work(工作)
用于工作區(qū)����。您可以基本相信網(wǎng)絡(luò)內(nèi)的其他電腦不會(huì)危害您的電腦。僅僅接收經(jīng)過(guò)選擇的連接��。
home(家庭)
用于家庭網(wǎng)絡(luò)����。您可以基本信任網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)危害您的計(jì)算機(jī)。僅僅接收經(jīng)過(guò)選擇的連接��。
internal(內(nèi)部)
用于內(nèi)部網(wǎng)絡(luò)��。您可以基本上信任網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)不會(huì)威脅您的計(jì)算機(jī)����。僅僅接受經(jīng)過(guò)選擇的連接�����。
trusted(信任)
可接受所有的網(wǎng)絡(luò)連接���。
操作防火墻的一些常用命令:
--顯示防火墻狀態(tài)
[root@localhost zones]# firewall-cmd --state
running
--列出當(dāng)前有幾個(gè)zone
[root@localhost zones]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work
--取得當(dāng)前活動(dòng)的zones
[root@localhost zones]# firewall-cmd --get-active-zones
public
interfaces: ens32 veth4103622
--取得默認(rèn)的zone
[root@localhost zones]# firewall-cmd --get-default-zone
public
--取得當(dāng)前支持service
[root@localhost zones]# firewall-cmd --get-service
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt MySQL nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
--檢查下一次重載后將激活的服務(wù)。
[root@localhost zones]# firewall-cmd --get-service --permanent
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
--列出zone public 端口
[root@localhost zones]# firewall-cmd --zone=public --list-ports
--列出zone public當(dāng)前設(shè)置
[root@localhost zones]# firewall-cmd --zone=public --list-all
public (default, active)
interfaces: eno16777736
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
--增加zone public開(kāi)放http service
[root@localhost zones]# firewall-cmd --zone=public --add-service=http
success
[root@localhost zones]# firewall-cmd --permanent --zone=internal --add-service=http
success
--重新加載配置
[root@localhost zones]# firewall-cmd --reload
success
--增加zone internal開(kāi)放443/tcp協(xié)議端口
[root@localhost zones]# firewall-cmd --zone=internal --add-port=443/tcp
success
--列出zone internal的所有service
[root@localhost zones]# firewall-cmd --zone=internal --list-services
dhcpv6-client ipp-client mdns samba-client ssh
設(shè)置黑/白名單
--增加172.28.129.0/24網(wǎng)段到zone trusted(信任)
[root@localhost zones]# firewall-cmd --permanent --zone=trusted --add-source=172.28.129.0/24
success
--列出zone truste的白名單
[root@localhost zones]# firewall-cmd --permanent --zone=trusted --list-sources
172.28.129.0/24
--活動(dòng)的zone
[root@localhost zones]# firewall-cmd --get-active-zones
public
interfaces: eno16777736
--添加zone truste后重新加載��,然后查看--get-active-zones
[root@localhost zones]# firewall-cmd --reload
success
[root@localhost zones]# firewall-cmd --get-active-zones
public
interfaces: ens32 veth4103622
trusted
sources: 172.28.129.0/24
--列出zone drop所有規(guī)則
[root@localhost zones]# firewall-cmd --zone=drop --list-all
drop
interfaces:
sources:
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
--添加172.28.13.0/24到zone drop
[root@localhost zones]# firewall-cmd --permanent --zone=drop --add-source=172.28.13.0/24
success
--添加后需要重新加載
[root@localhost zones]# firewall-cmd --reload
success
[root@localhost zones]# firewall-cmd --zone=drop --list-all
drop
interfaces:
sources: 172.28.13.0/24
services:
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@localhost zones]# firewall-cmd --reload
success
--從zone drop中刪除172.28.13.0/24
[root@localhost zones]# firewall-cmd --permanent --zone=drop --remove-source=172.28.13.0/24
success
--查看所有的zones規(guī)則
[root@localhost ~]# firewall-cmd --list-all-zones
最后再提幾點(diǎn):
1���、很多時(shí)候我們需要開(kāi)放端口或開(kāi)放某IP訪問(wèn)權(quán)限���,我們需要先查看我們當(dāng)前默認(rèn)的zone是哪個(gè),然后在對(duì)應(yīng)的zone里面添加port和source����,這樣對(duì)外才會(huì)有作用����。
比如我當(dāng)前的默認(rèn)zone是public,我需要開(kāi)放80端口對(duì)外訪問(wèn)����,則執(zhí)行如下命令:
[root@localhost zones]# firewall-cmd --zone=public --permanent --add-port=80/tcp
success
[root@localhost zones]# firewall-cmd --reload
success
2���、使用命令的時(shí)候加上 --permanent 是永久生效的意思,在重啟防火墻服務(wù)后依然生效�����。否則����,只對(duì)重啟服務(wù)之前有效。
3�����、我們執(zhí)行的命令��,結(jié)果其實(shí)都體現(xiàn)在具體的配置文件中����,其實(shí)我們可以直接修改對(duì)應(yīng)的配置文件即可。
以public zone為例��,對(duì)應(yīng)的配置文件是/etc/firewalld/zones/public.xml��,像我們剛剛添加80端口后,體現(xiàn)在public.xml 中的內(nèi)容為:
[root@localhost zones]# cat public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<port protocol="tcp" port="80"/>
</zone>
這個(gè)大家可自己再進(jìn)一步了解下配置文件的結(jié)構(gòu)后���,進(jìn)行自行配置��,不過(guò)記得要在配置后 --reload 或重啟 firewall 服務(wù)���。
以上是RHEL 7中防火墻如何配置及使用的所有內(nèi)容,感謝各位的閱讀����!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助���,如果還想學(xué)習(xí)更多知識(shí)��,歡迎關(guān)注億速云行業(yè)資訊頻道����!
