IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> CentOS-7.4 防火firewall常用方式整理 -> 正文阅读

[网络协议]CentOS-7.4 防火firewall常用方式整理

firewall

介绍

? firewall-config #图像化工具

? firewall-cmd #命令行工具

? /etc/firewalld/firewalld.conf <== 全局配置

firewall 命令

查询

firewall-cmd --get-default-zone										<==查看设置的默认区域
firewall-cmd --query-service=https								<==查询这个区域的服务是否允许https流量通过
firewall-cmd --zone=public --list-ports						<==查看这各区域允许哪些流量通过
firewall-cmd --query-port=80/tcp									<==查看这个区域tcp的80端口是否允许流量通过
firewall-cmd –-sruntime-to-permanent
	#将临时生效的配置保存为永久
	
#重启加载配置
	firewall-cmd --reload				#重新加载配置,不中断当前连接
	firewall-cmd --computer-reload		#重新加载配置,中断当前连接
	
#开启关闭公开端口
firewall-cmd --zone=public --list-ports
firewall-cmd --permanent --zone=public --add-port=80/tcp		#打开端口
firewall-cmd --permanent --zone=public --remove-port=80/tcp		#禁用端口


firewall-cmd --list-all
	#查看默认区域信息
firewall-cmd --list-all-zones
	#查看所有区域信息


firewall-cmd --panic-on  # 拒绝所有包
firewall-cmd --panic-off  # 取消拒绝状态
firewall-cmd --query-panic  # 查看是否拒绝

firewall-cmd --add-service=http
	#添加一个服务
firewall-cmd --remove-service=http
	#删除一个服务
	
firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.10.10.0/24 port protocol=tcp port=23 accept'			<==只允许指定网段连接23端口

? --permanent #配置永久生效,临时生效可去掉此选项

? --zone:区域

服务管理

# 显示服务列表  
Amanda, FTP, Samba和TFTP等最重要的服务已经被FirewallD提供相应的服务,可以使用如下命令查看:
firewalld-cmd --get-services

防火墙区域:

? 区域时定义的规则集,用户基于计算机所连接的网络上的信任级别来指定允许的流量。可以将网络接口和源分配给区域

以下是firewalld提供的区域,firewalld的默认区域是public

  • 阻塞区域(block):拒绝所有传入连接,而无任何通知。仅允许传出连接
  • 公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接
  • 工作区域(work):相信网络上的其他计算机
  • 家庭区域(home):相信网络上的其他计算机
  • 隔离区域(DMZ):也称为非军事区域,内外网络之间增加一层网络,起缓冲作用。对于隔离区域,只有选择接受传入网络连接。
  • 丢弃区域(drop):任何传入的网络连接都会拒绝
  • 内部区域(internal):相信网络上的其他计算机,只有选择接受传入的网络连接
  • 外部区域(external):相信网络上的其他计算机,只有选择接受传入的网络连接
[root@localhost html]# ls /usr/lib/firewalld/zones/
block.xml  dmz.xml  drop.xml  external.xml  home.xml  internal.xml  public.xml  trusted.xml  work.xml
	#这些是对应的配置文件

控制端口 / 服务

可以通过两种方式控制端口的开放,一种是指定端口号另一种是指定服务名。虽然开放 http 服务就是开放了 80 端口,但是还是不能通过端口号来关闭,也就是说通过指定服务名开放的就要通过指定服务名关闭;通过指定端口号开放的就要通过指定端口号关闭。还有一个要注意的就是指定端口的时候一定要指定是什么协议,tcp 还是 udp。知道这个之后以后就不用每次先关防火墙了,可以让防火墙真正的生效。

firewall-cmd --add-service=mysql        # 开放mysql端口
firewall-cmd --remove-service=http      # 阻止http端口
firewall-cmd --list-services            # 查看开放的服务
firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp         # 开放通过udp访问233
firewall-cmd --list-ports               # 查看开放的端口

伪装 IP

firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade   # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。 如果配置好端口转发之后不能用,可以检查下面两个问题:

  1. 比如我将 80 端口转发至 8080 端口,首先检查本地的 80 端口和目标的 8080 端口是否开放监听了
  2. 其次检查是否允许伪装 IP,没允许的话要开启伪装 IP
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.0.1   
#将本地80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1 
#将本地80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.0.1:toport=8080 
#将本地80端口的流量转发至192.168.0.1的8080端口
  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-08-23 17:02:36  更:2021-08-23 17:02:50 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/28 6:09:21-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计