热门标签
热门文章
- 1银河麒麟sp1软件源地址_windows访问银河麒麟软件源
- 2正确地使用Checked Exception_checked exception
- 3关于yolov8的DFL模块(pytorch以及tensorrt)_yolov8 dfl
- 4GB28181/RTSP/SDK及各种协议支持级联视频智能分析liveweb平台搭建小区园区视频监控系统_国标协议gb28181与sdk
- 5关于归一化BN IN LN GN相关梳理_bn归一化公式
- 6人工智能:技术的进步与未来展望_人工智能展望及风险评估
- 7ftp连接命令linux的简单介绍_linux连接ftp命令
- 8npx命令讲解_npx指令
- 9Android应用程序开发以及背后的设计思想深度剖析_android base类的设计思想
- 10鸿蒙(HarmonyOS)项目方舟框架(ArkUI)之Blank组件
当前位置: article > 正文
Firewalld防火墙管理(一)_public.xml
作者:小丑西瓜9 | 2024-03-07 16:58:47
赞
踩
public.xml
一,Firewalld 概述
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口
系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配置firewalld 永久性或非永久性运行时间的改变 : 它依次用iptables 工具与执行数据包筛选的内核中的 Netfilter 通信firewalld 和 iptables service
firewalld 和 iptables service 之间最本质的不同是 :
iptables service 在 /etc/sysconfig/iptables 中储存配置
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥 , 并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口
系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配置firewalld 永久性或非永久性运行时间的改变 : 它依次用iptables 工具与执行数据包筛选的内核中的 Netfilter 通信firewalld 和 iptables service
firewalld 和 iptables service 之间最本质的不同是 :
iptables service 在 /etc/sysconfig/iptables 中储存配置
firewalld 将配置储存在 /usr/lib/firewalld/ 和/etc/firewalld/ 中的各种 XML 文件里 .
firewall的各种域
二,firewall安装与配置
注意:firewalld与iptables服务有冲突,注意开启firewalld时要关闭iptables,同样,如果开启了iptables,那么也要关闭firewalld。
图形化管理防火墙
三,防火墙基本命令
- firewall-cmd --state >>>>>查看防火墙的状态
- firewall-cmd --get-active-zones >>>>>查看活跃的域(显示正在使用的域和网卡名称)
- firewall-cmd --get-default-zone >>>>>查看默认的域
- firewall-cmd --get-zones >>>>>查看所有的域
- firewall-cmd --zone=public --list-all >>>>>查看public域的详细信息
- firewall-cmd --get-services >>>>>查看预先定义的服务
- firewall-cmd --list-all-zones >>>>>查看所有域的详细情况
- firewall-cmd --list-all --zone=trusted >>>>>查看指定域trusted的详细信息
- firewall-cmd --list-all >>>>>查看默认域的详细信息
- firewall-cmd --set-default-zone=dmz >>>>>设置默认域为dmz
三,防火墙常用命令
1,不用域对服务的影响
- [root@client Desktop]# firewall-cmd --set-default-zone=public
- success
- 此时浏览器浏览该主机ip,无法访问,因为public域中不允许httpd网络连接
- [root@client Desktop]# firewall-cmd --set-default-zone=trusted
- success
- 此时浏览器可以正常访问,因为trusted域可接受所有的网络连接
2,再添加一块网卡,配置ip
3,永久添加
4,修改配置文加添加管理
- [root@client ~]# cd /usr/lib/firewalld/
- [root@client firewalld]# ls
- icmptypes services zones >>>>>>firewall数据文件
-
-
- [root@client ~]# grep 172.25.254.156 -r /etc/ >>>>>>!!!!!在/etc下找包含172.25.254.156的内容,-r递归查找
- /etc/yum.repos.d/rhel_dvd.repo:baseurl = http://172.25.254.156/source7.0
- /etc/firewalld/zones/public.xml: <source address="172.25.254.156"/>
- [root@client ~]# cd /etc/firewalld/zones/ >>>>>>防火墙的配置文件
- [root@client zones]# ls
- public.xml public.xml.old ROL.xml
- [root@client zones]# vim public.xml >>>>>>修改配置文件
- [root@client zones]# cat public.xml
- <?xml version="1.0" encoding="utf-8"?>
- <zone>
- <short>Public</short>
- <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
- <source address="172.25.254.156"/>
- <service name="dhcpv6-client"/>
- <service name="ssh"/>
- <service name="http"/> >>>>>>添加http服务
- </zone>
- [root@client zones]# systemctl restart firewalld.service >>>>>>重启服务,这个是永久性的
- [root@client zones]# firewall-cmd --list-all
- public (default, active)
- interfaces: eth0 eth1
- sources: 172.25.254.156
- services: dhcpv6-client http ssh >>>>>>成功添加http服务
- ports:
- masquerade: no
- forward-ports:
- icmp-blocks:
- rich rules:
-
- [root@client firewalld]# cd /usr/lib/firewalld/
- [root@client firewalld]# ls
- icmptypes services zones
- [root@client firewalld]# cd services/ >>>>>>服务的数据文件
- [root@client services]# cat http.xml
- <?xml version="1.0" encoding="utf-8"?>
- <service>
- <short>WWW (HTTP)</short>
- <description>HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.</description>
- <port protocol="tcp" port="80"/> >>>>>>可以查看到http的服务端口与协议
- </service>
-
- [root@client services]# firewall-cmd --add-port=8080/tcp --zone=public >>>>>>暂时在public域中添加一个端口
- success
- [root@client services]# firewall-cmd --list-all
- public (default, active)
- interfaces: eth0 eth1
- sources: 172.25.254.156
- services: dhcpv6-client http ssh
- ports: 8080/tcp >>>>>>添加成功
- masquerade: no
- forward-ports:
- icmp-blocks:
- rich rules:
-
- [root@client services]# firewall-cmd --remove-service=ssh >>>>>>>暂时移除ssh服务,此时其他主机无法连接
- success
- [root@client services]# firewall-cmd --list-all
- public (default, active)
- interfaces: eth0 eth1
- sources: 172.25.254.156
- services: dhcpv6-client http
- ports: 8080/tcp
- masquerade: no
- forward-ports:
- icmp-blocks:
- rich rules:
-
- [root@client services]# firewall-cmd --reload >>>>>>>重新加载,会把暂时添加或者删除的都恢复
- success
- [root@client services]# firewall-cmd --list-all
- public (default, active)
- interfaces: eth0 eth1
- sources: 172.25.254.156
- services: dhcpv6-client http ssh >>>>>>>ssh服务再次出现
- ports: >>>>>>>添加的端口消失
- masquerade: no
- forward-ports:
- icmp-blocks:
- rich rules:
5,防火墙与ssh服务,完全reload
156主机已经登陆上了本机
本文内容由网友自发贡献,转载请注明出处:【wpsshop博客】
推荐阅读
相关标签
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
