基本说明
CentOS7或Ubuntu16之后,默认都是新用的 firewalld
防火墙软件,跟 iptables
差不多的工具,用法熟悉后更简单易读可理解。
firewall-cmd
是 firewalld
的字符界面管理工具,firewalld
是centos7的一大特性,最大的好处有两个:
- 支持动态更新,不用重启服务;第二个就是
- 加入了防火墙的
zone
概念
firewalld
跟iptables
比起来至少有两大好处:
firewalld
可以动态修改单条规则,而不需要像iptables
那样,在修改了规则后必须得全部刷新才可以生效
firewalld
在使用上要比 iptables
人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能
firewalld
自身并不具备防火墙的功能,而是和 iptables
一样需要通过内核的 netfilter
来实现,也就是说 firewalld
和 iptables
一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的 netfilter
,只不过 firewalld
和 iptables
的结构以及使用方法不一样罢了。
如果系统未安装,自行安装即可:yum install firewalld firewall-config
基础用法
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61
| firewall-cmd --version firewall-cmd --help
firewall-cmd --state firewall-cmd --get-active-zones firewall-cmd --get-zone-of-interface=eth0 firewall-cmd --panic-on firewall-cmd --panic-off firewall-cmd --query-panic
firewall-cmd --reload firewall-cmd --complete-reload
firewall-cmd --zone=public --add-interface=eth0
firewall-cmd --set-default-zone=public
firewall-cmd --zone=dmz --list-ports
firewall-cmd --zone=dmz --add-port=8080/tcp
firewall-cmd --zone=work --add-service=smtp
firewall-cmd --zone=work --remove-service=smtp
firewall-cmd --get-zones
firewall-cmd --set-default-zone=home
firewall-cmd --get-active-zones
firewall-cmd --get-zone-of-interface=enp03s
firewall-cmd --zone=public --list-all
firewall-cmd --zone=internal --change-interface=enp03s
firewall-cmd --permanent --zone=internal --change-interface=enp03s
Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:
firewall-cmd --get-services
|
端口服务管理
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
| firewall-cmd --add-port=443/tcp
firewall-cmd --permanent --add-port=3690/tcp
firewall-cmd --reload
firewall-cmd --list-all
firewall-cmd --add-service=mysql firewall-cmd --remove-service=http firewall-cmd --list-services firewall-cmd --add-port=3306/tcp firewall-cmd --remove-port=80tcp firewall-cmd --add-port=233/udp firewall-cmd --list-ports
|
不太常用的
设置某个ip 访问某个服务
1 2
| firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept" #ip 192.168.0.4/24 访问 http
|
删除上面设置的规则
1
| firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"
|
查询服务的启动状态
1 2 3 4 5 6 7 8
| firewall-cmd yes firewall-cmd yes firewall-cmd no firewall-cmd no
|
屏蔽IP/IP段
刚好有个实例,屏蔽某个大哥省访问:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
| firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='49.112.0.0/13' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='218.84.0.0/14' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='110.152.0.0/14' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='120.68.0.0/14' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.80.0.0/15' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='124.118.0.0/15' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='110.156.0.0/15' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='124.88.0.0/16' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='124.117.0.0/16' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.82.0.0/16' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='60.13.128.0/16' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.107.128.0/17' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='222.83.0.0/17' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='221.7.0.0/19' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.100.176.0/20' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.100.168.0/21' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='202.100.160.0/21' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='103.3.136.0/22' reject" firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='103.22.116.0/22' reject"
|
可能你需要以下辅助:
子网掩码计算器
查IP地址段工具
端口转发
端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip
的话就默认为本机,如果指定了 ip
却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题:
- 比如我将
80
端口转发至 8080
端口,首先检查本地的 80
端口和目标的 8080
端口是否开放监听了
- 其次检查是否允许伪装IP,没允许的话要开启伪装IP
1 2 3
| firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080 # 将80端口的流量转发至8080 firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 # 将80端口的流量转发至192.168.0.1 firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口
|
- 当我们想把某个端口隐藏起来的时候,就可以在防火墙上阻止那个端口访问,然后再开一个不规则的端口,之后配置防火墙的端口转发,将流量转发过去。
- 端口转发还可以做流量分发,一个防火墙拖着好多台运行着不同服务的机器,然后用防火墙将不同端口的流量转发至不同机器。
参考链接
firewall-cmd
RHEL7、CentOS7 下使用 Firewall 封IP
本文标题:CentOS7/Ubuntu下的firewalld规则学习
文章作者:凹凸曼
发布时间:2019-03-20
最后更新:2019-03-20
原始链接:https://sobaigu.com/get-firewalld-rules.html
版权声明:转载请务必保留本文链接和注明内容来源,并自负版权等法律责任。