FIREWALLD CONTOS 7和CentOS 8的命令

出版者:必威平台，2021年6月22日

使用Red Hat Enterprise Linux 7.0（Rhel）介绍2011年，Iptables被取代作为防火墙出生。在其核心，防火墙是一个基于区域的防火墙。基于区域的防火墙是监视流量的网络安全系统，并根据应用于传入/传出数据包的定义规则来采取操作。
Firewalld通过nftables用户空间实用工具作为Linux内核的Netfilter框架的前端，提供防火墙特性。它提供了一个动态管理的防火墙，支持定义网络连接或接口的信任级别的网络/防火墙区域。它支持IPv4、IPv6防火墙设置、以太网桥和IP集。防火墙是iptables的包装器，允许更容易地管理iptables规则——它不是iptables的替代品。虽然iptables命令对FirewallD仍然可用，但建议只对FirewallD使用FirewallD命令。

管理防火墙
防火墙区域
使用服务
转发端口
使用防火墙构建规则集
高级配置
结论

管理防火墙

默认使用CentOS 7或8，但默认情况下包含防火墙，但它不活动。控制它与其他系统单位相同。

启动并启用防火墙

要启动服务并在系统引导上启用防火墙，请使用以下两个命令。

#stystemctl启动防火墙

# systemctl启用防火墙

停止和禁用防火墙

在大多数故障排除方案中，您必须停止或禁用防火墙以执行测试。您可以使用以下命令进行需要。

#stystemctl停止防火墙

#stystemctl禁用防火墙

检查防火墙状态

＃firewall-cmd --state

输出应该说跑步或者没有跑步．

查看FirewallD守护进程的状态

＃systemctl状态防火墙

输出

●FirewAllD.Service - 防火墙 - 动态防火墙守护程序加载：加载（/usr/lib/systemd/system/firewalld.service;已启用;供应商预设：启用）活跃：活动（跑步）自20021-06-21 23:02:44 PDT;3小时8min 文档:男:firewalld (1) 主要PID：15984（防火墙）任务:2(限制:49784) 记忆：24.5M. cgroup：/system.slice/firewalld.service. └─15984/ usr / libexec / platform-python -s / usr / sbin / firewalld --nofork --nopid 6月21日23:02:43 Centos-8 Systemd [1]：启动防火墙 - 动态防火墙守护程序... 6月21日23:02:44 Centos-8 Systemd [1]：开始防火墙 - 动态防火墙守护程序。

重新加载FirewallD配置。

#irewall-cmd --reload

防火墙区域

区域是各种方案的预定义规则集。不同的区域允许不同的网络服务和传入的流量类型，同时拒绝其他一切。区域也可以应用于其他网络接口。例如，对于内部和Internet的单独接口，您可以在内部区域允许DHCP，但仅在外部区域上允许HTTP和SSH。

要查看默认区域：

# firewall-cmd——get-default-zone

输出应该是'民众。

更改防火墙默认区域

#irewall-cmd --set-default-zone =内部

查看使用中的区域

要查看网络接口使用的区域：

#irewall-cmd --get - 主动区域

示例输出:

民众接口:eth0

获取所有区域的配置

#irewall-cmd - 列表 - 全Zones

输出

它以如下格式显示了5个不同区域的输出，包括Block, DMZ, Drop, External, Home, Internal, Public, Trusted, Work。

目标:% % % % ICMP-Block-Inversion：没有接口：来源：服务：港口：协议: 化装:不端口: 源端口: ICMP-Blocks：丰富的规则:

使用服务

防火墙可以根据特定网络服务的预定义规则允许流量。您可以创建自己的自定义服务规则并将其添加到任何区域。默认支持的服务的配置文件位于/ usr / lib / firewalld / services，用户创建的服务文件将在/ etc / firewalld /服务中。

查看默认可用服务

#irewall-cmd - 服务

输出

rh -卫星-6阿曼达-client阿曼达-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit conor -collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns- ver-tls docker-registry docker-swarm dropbox-lansync elasticsearch etc -clientetc -server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust FTP ganglia-client ganglia-master git grafana gre high-availability HTTP HTTPS imap imaps ipp ip -client ipsec irc ircs iscsi-target isns Jenkins kadmin kdeconconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tlslightnnetwork LLMNR managesieve matrix MDNS memcache minidlna mongodb mosh mountd MQTT MQTT -tls ms-wbt MSSQL絮絮mysql NFS nfs3 nmea-0183 nrpe NTP nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex PMCD pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy Prometheus proxy-dhcp PTP pulseaudio puppetmaster quassel radiusRDP redis redisp -sentinel rpc-bind RSH rsyncd RTSP salt-master samba samba-client samba-dc sane sip sips SLP SMTP SMTP -submission SMTPS SNMP snmptrap spideroak-lansync spotify-sync squid SSDP SSH stream -streaming SVDRP SVN syncsync syncthing-gui synergy syslog syslog-tls Telnet tentacle TFTP TFTP -client tile38 tinc tor-socks transmission-clientUpnp-client VDSM vnc-server wbem-http wbem-https wsman wsmans XDMCP xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

启用服务

现在让我们看看如何启用服务。我们将尝试启用HTTP服务。

#irewall-cmd --zone = public --add-service = http --permanent

上述命令的输出是“成功。“

关闭HTTP服务

#irewall-cmd --zone = public --remove-service = http --permanent

上述命令的输出是“成功。“

允许或拒绝任意端口/协议

使用示例，让我们了解如何在端口12345上允许或禁用TCP流量。

#irewall-cmd --zone = public --add-port = 12345 / tcp-permanent

#irewall-cmd --zone = public --remove-port = 12345 / tcp --permanent

这两个命令的输出都是'成功。

转发端口

将流量转发到同一服务器上的端口

现在，我们将创建一个规则，将流量从同一个服务器上的端口80转发到端口12345。

#irewall-cmd --zone =“public”--ad-forward-port = port = 80：proto = tcp：toport = 12345

向不同服务器上的端口转发流量

如果希望将端口转发到不同的服务器，则需要在所需区域中激活伪装。

#irewall-cmd --zone = public --add-masquerade

此示例将来自本地端口80的流量转发到位于IP地址的远程服务器上的端口8080：192.10.10.0。

#irewall-cmd --zone =“public”--ad-forward-port = port = 80：proto = tcp：toport = 8080：toaddr = 192.10.10.0

删除规则

删除规则，更换'- 添加“与”- 消除。

# firewall-cmd——zone=public——remove-masquerade

使用防火墙构建规则集

如果您使用的是Web服务器，则可以使用FirewAllD将规则分配给您的服务器。

让我们将DMZ分配为默认区域，因为它只允许SSH和ICMP。

#irewall-cmd --set-default-zone = dmz

#irewall-cmd --zone = dmz --add-interface = eth0

HTTP和HTTPS的永久规则

将HTTP和HTTPS的永久服务规则添加到dmz区域:

#irewall-cmd --zone = dmz --add-service = http --permanent

# firewall-cmd——zone=dmz——add-service=https——permanent

重新加载防火墙，因此规则立即生效：

#irewall-cmd --reload

如果你现在跑

#irewall-cmd --zone = dmz --list-all

这应该是输出：

DMZ. 目标：默认 ICMP-Block-Inversion：没有接口：来源：服务：HTTP HTTPS SSH 港口：协议: 化装:不端口: 源端口: ICMP-Blocks：丰富的规则:

高级配置

我们现在将使用Rich Rules和Direct Interface，它们将允许您为任何端口、协议、地址和动作的任何区域添加完全自定义的防火墙规则。

丰富的规则

以下是一些常见的例子

允许来自特定主机的流量

允许所有来自主机198.10.10.0的IPv4流量

#irewall-cmd --zone = public -add-rute'规则家庭=“ipv4”源地址= 198.10.10.0接受'

允许从主机到特定端口的流量（TCP）

允许从主机198.10.10.0到端口22的IPv4流量。

#irewall-cmd --zone = public --add-rul-true'规则家庭=“IPv4”源地址=“198.10.10.0”端口端口= 22协议= TCP接受'

丢弃来自主机的流量（TCP）

从主机198.10.10.0到端口22，拒绝IPv4通过TCP的流量。

# firewall-cmd——zone=public——add-rich-rule 'rule family="ipv4" source address="198.10.10.0" port port=22 protocol=tcp reject'

允许流量(TCP)从一个主机和转发到系统内的不同端口

允许IPv4流量通过TCP从主机198.10.10.0到端口80，并在本地转发到端口6789。

#irewall-cmd --zone = public -add-rute'规则家庭= IPv4源地址= 198.10.10.0前端端口端口= 80协议= TCP到端口= 6532'

Foward流量（TCP）从一个端口到另一个端口的不同主机

在主机198.20.10.0上将端口80上的所有IPv4流量转发到端口8080（伪装应在区域上处于活动状态）。

#irewall-cmd --zone = public --add-rude'规则家庭= IPv4前端端口端口= 80协议= TCP到端口= 8080到-Adr = 198.51.100.0'

列出所有丰富的规则

在公共区域列出当前的丰富规则：

# firewall-cmd——zone=public——list-富规则

结论

如果您现在对向Centos系统上的Firewalld服务提供日常使用时，它会有所帮助。防火墙服务允许您为网络环境配置可维护规则。它将使您能够无缝地通过区域转换在不同的防火墙策略之间，并使管理员能够将端口管理摘要进入更友好的服务定义。获取该系统的工作知识将允许您利用此工具的灵活性和功率。