微信公家号:运维开发故事,做者:wanger&double冬
布景描述
防火墙是具有很好的庇护感化。入侵者必需起首穿越防火墙的平安防线,才气接触目的计算机。在公司里数据平安是最重要的,要求平安部分停止全公司停止办事器防火墙平安搭建,在原有的根底长进行平安的防火墙设置,大大都消费情况都建议开启,如许才气有效制止平安隐患等问题;本文文字偏多,但是建议各人仍是花个十多分钟好都雅一下防火墙的原理,如许便于后期问题排查,最初一末节也会有常用号令操做。
次要内容1 详细领会防火墙相关设置装备摆设;2 详细解读相关平安设置装备摆设办法;3 详细解读firewalld防火墙的根底常识;4 领会firewalld防火墙的设置装备摆设;5 领会firewalld防火墙相关号令的利用。1.Linux防火墙概述防火墙是指设置在差别收集或收集平安域之间的一系列部件的组合,它能加强机构内部收集的平安性。它通过拜候控造机造,确定哪些内部办事允许外部拜候,以及允许哪些外部恳求能够拜候内部办事。它能够按照收集传输的类型决定IP包能否能够传进或传出内部网。
防火墙通过审查颠末的每一个数据包,判断它能否有相婚配的过滤规则,按照规则的先后挨次停止逐个比力,曲到满足此中的一条规则为行,然后根据控造机造做出响应的动做。若是都不满足,则将数据包丢弃,从而庇护收集的平安。
Linux系统的防火墙功用是由内核实现的。在2.4 版及以后的内核中,包过滤机造是netfilter.CentOS 6办理东西是iptables,CentOS 7办理东西是firewalld ,firewalld 是Linux新一代的防火墙东西,它供给了撑持收集/防火墙区域 (zone) 定义收集链接以及接口平安品级的动态防火墙办理。Netfilter,位于Linux内核中的包过滤防火墙功用系统,称为Linux防火墙“内核态”。firewall-cmd,位于/bin/firewall-cmd,是用来办理防火墙的号令东西,为防火墙系统供给过滤规则/战略,决定若何过滤或处置抵达防火墙主机的数据包,称为Linux防火墙的“用户态”。习惯上,上述2种称号都能够代表Linux防火墙。 2.Linux防火墙框架(1) netfilter框架Linux内核包罗了一个强大的收集子系统,名为netfilter,它能够为iptables内核防火墙模块供给有形态或无形态的包过滤办事,如NAT、IP假装等,也能够因高级路由或毗连形态办理的需要而修改IP头信息。而firewalld能够动态办理防火墙,将netfilter的过滤功用集于一身,它也撑持允许办事或者应用法式间接添加防火墙规则的接口,netfilter所处的位置如图1所示:
图1 netfilter在防火墙中的位置
固然防火墙模块构建在Linux内核,而且要对流经IP层的数据包停止处置,但它并没有改动IP协议栈的代码,而是通过netfilter模块将防火墙的功用引入IP层,从而实现防火墙代码和IP协议栈代码的完全别离。netfilter模块的构造。如图2所示:
图2 netfilter构造框架图
数据包从右边进入IP协议栈,停止IP校验以后,数据包被PREROUTING处置,然后就进入路由模块,由其决定该数据包是转发进来仍是送给本机。若该数据包是送给本机的,则通过INPUT处置后传递给本机的上层协议;若该数据包应该被转发,则它将FORWARD处置,然后还要经POSTROUTING处置后才气传输到收集。本机历程产生的数据包要先颠末OUTPUT处置后,再停止路由选择处置,然后颠末POSTROUTING处置后再发送到收集。
iptables办事在/etc/sysconfig/iptables中贮存设置装备摆设,而firewalld将设置装备摆设贮存在 /usr/lib/firewalld/和/etc/firewalld/中的各类XML文件里,利用iptables的时候每一个零丁更改意味着肃清所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,利用firewalld 却不会再创建任何新的规则,仅仅运行规则中的差别。因而firewalld能够在运行时改动设置而不丧失现行设置装备摆设。Firewalld动态办理防火墙,不需要重启整个防火墙即可应用更改。因而也就没有需要重载所有内核防火墙模块。不外,要利用firewalld就要求防火墙的所有变动都要通过firewalld守护历程来实现,以确守旧护历程中的形态和内核里的防火墙是一致的。别的,firewalld无法解析由iptables和iptables号令行东西添加的防火墙规则。Firewalld防火墙仓库示企图,如图3所示。图3 为firewalld防火墙仓库
2.Firewall防火墙办理FirewallD 供给了撑持收集/防火墙区域(zone)定义收集链接以及接口平安品级的动态防火墙办理东西。firewalld通过将收集划分红差别的区域(凡是情况下称为 zones),造定出差别区域之间的拜候控造战略来控造差别区域间传送的数据流。它撑持 IPv4, IPv6 防火墙设置以及以太网桥接,而且拥有运行时设置装备摆设和永久设置装备摆设选项。它也撑持允许办事或者应用法式间接添加防火墙规则的接口。以前的 system-config-firewall/lokkit 防火墙模子是静态的,每次修改都要求防火墙完全重启。那个过程包罗内核 netfilter 防火墙模块的卸载和新设置装备摆设所需模块的拆载等。而模块的卸载将会毁坏形态防火墙和确立的毗连。相反,firewall daemon 动态办理防火墙,不需要重启防火墙即可应用更改。因而也就没有需要重载所有内核防火墙模块了。不外,要利用 firewall daemon 就要求防火墙的所有变动都要通过该守护历程来实现,以确守旧护历程中的形态和内核里的防火墙是一致的。别的,firewall daemon 无法解析由 ip*tables 和 ebtables 号令行东西添加的防火墙规则。守护历程通过 D-BUS 供给当前激活的防火墙设置信息,也通过 D-BUS 承受利用 PolicyKit 认证体例做的更改。应用法式、守护历程和用户能够通过D-BUS恳求启用一个防火墙特征。特征能够是预定义的防火墙功用,如:办事、端口和协议的组合、端口/数据报转发、假装、ICMP 拦截或自定义规则等。该功用能够启用确定的一段时间也能够再次停用。
3.firewalld区域办理收集区域定义了收集毗连的可信品级。那是一个一对多的关系,那意味着一次毗连能够仅仅是一个区域的一部门,而一个区域能够用于良多毗连。一个IP能够看做是一个区域、一个网段能够看做是一个区域,局域网、互联网都能够看做是一个区域。例如:
预定义的办事:
办事是端口和/或协议入口的组合。
备选内容包罗 netfilter 助手模块以及 IPv4、Pv6地址。端口和协议:
定义了 tcp 或 udp 端口,端口能够是一个端口或者端口范畴。ICMP阻塞:
能够选择 Internet 控造报文协议的报文。
那些报文能够是信息恳求亦可是对信息恳求或错误前提创建的响应。假装:
私有收集地址能够被映射到公开的IP地址。
那是一次正规的地址转换。端口转发:
端口能够映射到另一个端口以及/或者其它主机。
现网应用中,假设互联网是不成信赖的区域,而内部收集是高度信赖的区域。
为制止平安战略中制止的一些通信,它在信赖度差别的区域有各自根本的控造使命。
典型的区域包罗互联网(一个没有信赖的区域)和一个内部收集(一个高信赖的区域)。
最末目的是在差别信赖力度的区域,通过平安政策的运行和连通性模子之间,按照起码特权原则供给连通性。
例如:
公共 WIFI 收集毗连应该不信赖,而家庭有线收集毗连就应该完全信赖。
收集平安模子能够在安拆、初度启动和初次成立收集毗连时选择初始化。
该模子描述了主机所联的整个收集情况的可信级别,并定义了新毗连的处置体例。
在 /etc/firewalld/ 的区域设定中,定义了一系列能够被快速施行到收集接口的预设定。
firewalld 供给的区域根据从不信赖到信赖的挨次排序。
有以下几种差别的初始化区域:drop(丢弃):
任何领受的收集数据包都被丢弃,没有任何回复。
仅能有发送进来的收集毗连。block(限造):
任何领受的收集毗连,都被 IPv4 的 icmp-host-prohibited信息和 IPv6 的 icmp6-adm-prohibited 信息所回绝。public(公共):
该区域是系统默认区域,在公共区域内利用,不克不及相信收集内的其它计算机不会对您的计算机形成危害,只能领受颠末拔取的毗连。external(外部):
出格是为路由器启用了假装功用的外部网。
您不克不及信赖来自收集的其它计算,不克不及相信它们不会对您的计算机形成危害,只能领受颠末选择的毗连。dmz(非军事区):
用于您的非军事区内的电脑,此区域内可公开拜候,能够有限地进入您的内部收集,仅仅领受颠末选择的毗连。work(工做):
用于工做区。
您能够根本相信收集内的其它电脑不会危害您的电脑。
仅仅领受颠末选择的毗连。home(家庭):
用于家庭收集。
您能够根本信赖收集内的其它计算机不会危害您的计算机。
仅仅领受颠末选择的毗连。internal(内部):
用于内部收集。
您能够根本上信赖收集内的其它计算机不会威胁您的计算机。
仅仅承受颠末选择的毗连。trusted(信赖):
可承受所有的收集毗连。设置装备摆设或者增加区域:能够利用任何一种 firewalld 设置装备摆设东西来设置装备摆设或者增加区域,以及修改设置装备摆设。东西有例如 firewall-config 如许的图形界面东西, firewall-cmd 如许的号令行东西,以及D-BUS接口。或者也能够在设置装备摆设文件目次中创建或者拷贝区域文件。@PREFIX@/lib/firewalld/zones 被用于默认和备用设置装备摆设,/etc/firewalld/zones 被用于用户创建和自定义设置装备摆设文件。
修改区域:区域设置以 ZONE= 选项 存储在收集毗连的ifcfg文件中。若是那个选项缺失或者为空,firewalld 将利用设置装备摆设的默认区域。若是那个毗连遭到 NetworkManager 控造,也能够利用 nm-connection-editor 来修改区域。由NetworkManager控造的收集毗连:防火墙不克不及够通过 NetworkManager 显示的名称来设置装备摆设收集毗连,只能设置装备摆设收集接口。因而在收集毗连之前 NetworkManager 将设置装备摆设文件所述毗连对应的收集接口告诉 firewalld 。若是在设置装备摆设文件中没有设置装备摆设区域,接口将设置装备摆设到 firewalld 的默认区域。若是收集毗连利用了不行一个接口,所有的接口城市应用到 fiwewalld。接口名称的改动也将由 NetworkManager 控造并应用到firewalld。为了简化,收集毗连将被用做与区域的关系。若是一个接口断开了,NetworkManager也将告诉firewalld从区域中删除该接口。当firewalld由systemd或者init脚本启动或者重启后,firewalld将通知NetworkManager把收集毗连增加到区域。 4.Linux防火墙的根本设置装备摆设与办理CentOS 7中利用firewall-config图形界面办理的防火墙战略。也能够利用firewall-cmd号令行东西停止办理, firewall-cmd 撑持全数防火墙特征,关于形态和查询形式,号令只返回形态,没有其它输出。别的还能够间接编纂/etc/firewalld/中的设置装备摆设文件用来办理firewalld的战略。
利用firewalld能够通过图形界面东西 firewall-config 或者号令行客户端 firewall-cmd 启用或者封闭防火墙特征。利用firewall-cmd号令行东西 firewall-cmd 撑持全数防火墙特征。
关于形态和查询形式,号令只返回形态,没有其它输出。4.1 firewall-cmd号令行东西firewall-cmd撑持防火墙的所有特征,办理员能够用它来改动系统或用户战略,通过 firewall-cmd用户能够设置装备摆设防火墙允许通过的办事、端口、假装、端口转发、和ICMP过滤器和调整 zone(区域)设置等功用。 firewall-cmd东西撑持两种战略办理体例,运行时和永久设置,需要别离设置两者:
处置运行时区域,运行时形式下对区域停止的修改不是永久有效的,但是立即生效,从头加载或者重启系统后修改将失效。处置永久区域,永久选项不间接影响运行时的形态,那些选项仅在重载或者重启系统时可用。
防火墙启动与封闭启动防火墙:
systemctl start firewalld查询防火墙形态:
systemctl status firewalld开机启动防火墙:
systemctl enable firewalld停行防火墙:
systemctl stop firewalld开机封闭防火墙:
systemctl disable firewalld防火墙办理号令格局:
firewall-cmd [Options…]firewall-cmd撑持上百参数,下表为常用Options申明,如表所示: 4.2 firewall-config图形东西firewall-config撑持防火墙的所有特征,办理员能够用它来改动系统或用户战略,通过 firewall-config 用户能够设置装备摆设防火墙允许通过的办事、端口、假装、端口转发、和ICMP过滤器和调整 zone(区域)设置等功用以使防火墙设置愈加的自在、平安和强健。firewall-config工做界面。如图4所示。
图4
firewall-config工做界面分红三个部门:上面是主菜单,中间是设置装备摆设选项卡,包罗区域、办事设置选项卡,底部是形态栏,形态栏从左到右依次是毗连形态、默认区域、锁定形态、应急形式。
在左下方角落寻找“已毗连”字符,那标记着 firewall-config东西已经毗连到用户区后台法式 firewalld。
(1).firewall-config 主菜单
firewall-config 主菜单包罗四个选项:文件,选项,查看,帮忙。此中选项子菜单是最次要的,它包罗几个部门:重载防火墙:
重载防火墙规则。
例如所有如今运行的设置装备摆设规则若是没有在永久设置装备摆设中操做,那么系统重载后会丧失。更改毗连区域:
更改收集毗连的默认区域。改动默认区域:
更改收集毗连的所属区域和接口。应急形式:
应急形式意味着丢弃所有的数据包。锁定:
锁定能够对防火墙设置装备摆设停止加锁,只允许白名单上的应用法式停止改动。
锁定特征为 firewalld 增加了锁定当地应用或者办事设置装备摆设的简单设置装备摆设体例。
它是一种轻量级的应用法式战略。(2)firewall-config设置装备摆设选项卡firewall-config 设置装备摆设选项卡包罗:运行时和永久。
运行时:
运行时设置装备摆设为当前利用的设置装备摆设规则。
运行时设置装备摆设并不是永久有效,在从头加载时能够被恢复,而系统或者办事重启、停行时,那些选项将会丧失。永久:
永久设置装备摆设规则在系统或者办事重启的时候利用。
永久设置装备摆设存储在设置装备摆设文件中,每次机重视启或者办事重启、从头加载时将主动恢复。(3) firewall-config区域选项卡
区域选项卡是一个次要设置界面,firewalld 供给了10种预定义的区域,区域设置装备摆设选项和通用设置装备摆设信息能够在 firewall.zone(5) 的手册里查到,区域选项卡有八个子选项卡,别离是办事、端口、假装、端口转发、ICMP过滤器、富规则、接口、来源,如图3-1-5所示。办事:
定义区域中哪些办事是可信的。端口:
定义区域中允许拜候的主机或收集拜候的附加端口或端口范畴。假装:
NAT假装,能否启用IP转发,是地址转发的一种,仅撑持IPv4。端口转发:
NAT转发,将指向单个端口的流量将转发到不异计算机上的差别端口,或者转发到差别计算机上的端口ICMP过滤器:
设置可通过的ICMP数据包类型。富规则:
是一种表达性语言,可表达firewalld根本语法中未涵盖的自定义防火墙规则,可用于表达根本的允许/回绝规则,可用于设置装备摆设记录(面向syslog和auditd)及端口转发、假装和速度限造接口:
增参加口到区域。来源:绑定来源地址或范畴。图5
(4)firewall-config 办事选项卡
预定义了几十种重要办事,可通过号令firewall-cmd —get-services查询,办事是端口、协议、模块和目的地址的集合,该选项卡设置装备摆设只能在永久设置装备摆设视图中修改办事,不克不及在运行时设置装备摆设中修改。办事选项卡底下包罗端口和协议、模块、目的地址三种子选项卡,如图3-1-6所示。。端口和协议:
定义需要被所有主机或收集拜候的额外端口或端口区间。
模块:
添加收集过滤辅助模块。
目的地址:
若是指定了目标地址,办事项目将仅限于目标地址和类型。
图6
5 当前的firewalld特征D-BUS接口:
D-BUS 接口供给防火墙形态的信息,使防火墙的启用.停用或查询设置成为可能。区域:
收集或者防火墙区域定义了毗连的可信水平。
firewalld 供给了几种预定义的区域。
区域设置装备摆设选项和通用设置装备摆设信息能够在firewall.zone(5)的手册里查到。办事:
办事能够是一系列本端口.目标以及附加信息,也能够是办事启动时主动增加的防火墙助手模块。
预定义办事的利用使启用和禁用对办事的拜候变得愈加简单。
办事设置装备摆设选项和通用文件信息在 firewalld.service(5) 手册里有描述。ICMP类型:
Internet控造报文协议 (ICMP) 被用以交换报文和互联网协议 (IP) 的错误报文。
在 firewalld 中能够利用 ICMP 类型来限造报文交换。
ICMP 类型设置装备摆设选项和通用文件信息能够参阅 firewalld.icmptype(5) 手册。间接接口:
间接接口次要用于办事或者应用法式增加特定的防火墙规则。
那些规则并不是永久有效,而且在收到 firewalld 通过 D-Bus 传递的启动.重启.重载信号后需要从头应用。运行时设置装备摆设:
运行时设置装备摆设并不是永久有效,在从头加载时能够被恢复,而系统或者办事重启.停行时,那些选项将会丧失。永久设置装备摆设:
永久设置装备摆设存储在设置装备摆设文件中,每次机重视启或者办事重启.从头加载时将主动恢复。托盘小法式:
托盘小法式 firewall-applet 为用户显示防火墙形态和存在的问题。
它也能够用来设置装备摆设用户允许修改的设置。图形化设置装备摆设东西:
firewall daemon 次要的设置装备摆设东西是 firewall-config 。
它撑持防火墙的所有特征(除了由办事/应用法式增加规则利用的间接接口)。
办理员也能够用它来改动系统或用户战略。号令行客户端:
firewall-cmd是号令行下供给大部门图形东西设置装备摆设特征的东西。关于ebtables的撑持:
要满足libvirt daemon的全数需求,在内核 netfilter 级上避免 ip*tables 和 ebtables 间拜候问题,ebtables 撑持是需要的。
因为那些号令是拜候不异构造的,因而不克不及同时利用。/usr/lib/firewalld中的默认/备用设置装备摆设:
该目次包罗了由 firewalld 供给的默认以及备用的 ICMP 类型.办事.区域设置装备摆设。
由 firewalld 软件包供给的那些文件不克不及被修改,即便修改也会跟着 firewalld 软件包的更新被重置。
其它的 ICMP 类型.办事.区域设置装备摆设能够通过软件包或者创建文件的体例供给。/etc/firewalld中的系统设置装备摆设设置:
存储在此的系统或者用户设置装备摆设文件能够是系统办理员通过设置装备摆设接口定造的,也能够是手动定造的。
那些文件将重载默认设置装备摆设文件。
为了手动修改预定义的 icmp 类型,区域或者办事,从默认设置装备摆设目次将设置装备摆设拷贝到响应的系统设置装备摆设目次,然后按照需求停止修改。
若是加载了有默认和备用设置装备摆设的区域,在 /etc/firewalld下的对应文件将被重定名为
.old 然后启用备用设置装备摆设。6.用户战略撑持办理员能够规定哪些用户能够利用用户交互形式和限造防火墙可用特征。
端口元数据信息(由 Lennart Poettering 提议),拥有一个端口独立的元数据信息是很好的。应用法式或办事的端口是动态的,因而端口自己其实不能描述利用情况,所以对 /etc/services 的端口和协议静态分配模子不是个好的处理计划,也没有反映当前利用情况。。元数据信息能够用来为防火墙造定简单的规则。下面是一些例子:允许外部拜候文件共享应用法式或办事;允许外部拜候音乐共享应用法式或办事;允许外部拜候全数共享应用法式或办事;允许外部拜候 torrent 文件共享应用法式或办事;允许外部拜候 http 收集办事。那里的元数据信息不但有特定应用法式,还能够是一组利用情况。例如:组“全数共享”或者组“文件共享”能够对应于全数共享或文件共享法式(如:torrent 文件共享)。那些只是例子,因而,可能并没有现实用途。那里是在防火墙中获取元数据信息的两种可能路子:
第一种是添加到 netfilter (内核空间)。
益处是每小我都能够利用它,但也有必然利用限造。
还要考虑用户或系统空间的详细信息,所有那些都需要在内核层面实现。第二种是添加到 firewall daemon 中。
那些笼统的规则能够和详细信息(如:
收集毗连可信级。
做为详细小我/主机要分享的用户描述.办理员制止完全共享的应归则等)一路利用。第二种处理计划的益处是不需要为有新的元数据组和纳入改动(可信级.用户偏好或办理员规则等等)从头编译内核。那些笼统规则的添加使得 firewall daemon 愈加自在。即便是新的平安级也不需要更新内核即可轻松添加。
7.sysctld的错误设置现实应用中对sysctl
设置经常呈现错误。
一个例子是,在 rc.sysinit正运行时,而供给设置的模块在启动时没有拆载或者从头拆载该模块时会发作问题。
另一个例子是 net.ipv4.ip_forward ,防火墙设置.libvirt 和用户/办理员更改都需要它。若是有两个应用法式或守护历程只在需要时开启 ip_forwarding ,之后可能此中一个在不晓得的情况下关掉办事,而另一个正需要它,此时就不能不重启它。sysctl daemon 能够通过对设置利用内部计数来处理上面的问题。此时,当恳求者不再需要时,它就会再次回到之前的设置形态或者是间接封闭它。 8 iptables 的与firewalld区别firewalld 和 iptables service 之间最素质区别是:
iptables service 在 /etc/sysconfig/iptables 中贮存设置装备摆设,而 firewalld 将设置装备摆设贮存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各类 XML 文件里,要留意,当 firewalld 在Linux上安拆失败时, /etc/sysconfig/iptables 文件就不存在。利用 iptables service,每一个零丁更改意味着肃清所有旧有的规则和从 /etc/sysconfig/iptables里读取所有新的规则,然而利用 firewalld 却不会再创建任何新的规则;仅仅运行规则中的差别之处。
因而,firewalld 能够在运行时间内,改动设置而不丧失现行毗连。9 常用号令(1) firewalld的根本利用
启动:systemctl start firewalld
封闭:systemctl stop firewalld
查看形态:systemctl status firewalld
开机禁用 :systemctl disable firewalld开机启用 :systemctl enable firewalld(2) systemctl是CentOS7的办事办理东西中次要的东西,它交融之前service和chkconfig的功用于一体。
启动一个办事:systemctl start firewalld.service
封闭一个办事:systemctl stop firewalld.service
重启一个办事:systemctl restart firewalld.service
显示一个办事的形态:systemctl status firewalld.service
在开机时启用一个办事:systemctl enable firewalld.service
在开机时禁用一个办事:systemctl disable firewalld.service
查看办事能否开机启动:systemctl is-enabled firewalld.service
查看已启动的办事列表:systemctl list-unit-files|grep enabled查看启动失败的办事列表:systemctl —failed(3) 设置装备摆设firewalld-cmd
#《实例一》防火墙查询 firewall-cmd --version //查看版本 firewall-cmd --help // 查看帮忙 firewall-cmd --state // 显示形态 firewall-cmd --get-services //获取撑持办事列表(firewalld内置办事撑持) firewall-cmd --zone=public --list-ports //查看所有翻开的端口 firewall-cmd --list-forward-ports //查看转发的端口 fierewall-cmd –reload //从头加载防火墙战略 firewall-cmd --get-active-zones //查看区域信息 firewall-cmd --list-all-zones //列出全数启用的区域的特征 firewall-cmd --list-services //显示防火墙当前办事 firewall-cmd --get-zone-of-interface=eth0 //查看指定接口所属区域 firewall-cmd --panic-on //回绝所有包 firewall-cmd --panic-offfir //打消回绝形态 firewall-cmd --query-panic //查看能否回绝 # 《实例二》 运行时区域战略设置示例(注:以下示例不加zone的为默认区域public) firewall-cmd --add-service=ssh //允许 ssh 办事通过 firewall-cmd --remove-service=ssh //制止 ssh 办事通过 firewall-cmd --add-service=samba --timeout=600 //临时允许 samba 办事通过 600 秒 firewall-cmd --add-service=http --zone=work //允许http办事通过work区域 firewall-cmd --zone=work --add-service=http //从work区域翻开http办事 firewall-cmd --zone=internal --add-port=443/tcp //翻开 443/tcp 端口在内部区域(internal) firewall-cmd --zone=internal --remove-port=443/tcp //封闭443/tcp 端口在内部区域(internal) firewall-cmd --add-interface=eth0 //翻开网卡eth0 firewall-cmd --remove-interface=eth0 //封闭网卡eth0 #《 实例三》 永久区域战略设置示例(注:以下示例不加zone的为默认区域public;永久设置均需从头加载防火墙战略或重启系统) firewall-cmd --permanent --add-service=ftp //永久允许 ftp 办事通过 firewall-cmd --permanent --remove-service=ftp //永久制止 ftp 办事通过 firewall-cmd --permanent --add-service=http --zone=external //永久允许http办事通过external区域 firewall-cmd --permanent --add-service=http --zone=external //永久允许http办事通过external区域 firewall-cmd --permanent --zone=internal --add-port=111/tcp //翻开 111/tcp 端口在内部区域(internal) firewall-cmd --permanent --zone=internal --remove-port=111/tcp //封闭 111/tcp 端口在内部区域(internal) firewall-cmd --permanent --add-interface=eth0 //永久翻开网卡eth0 firewall-cmd --permanent --remove-interface=eth0 //永久封闭网卡eth0 firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp //添加多个端口 firewall-cmd --permanent --zone=public --remove-port=81/tcp //删除某个端口 firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.51" accept" //删除某个IP firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept" // firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept" //针对某个ip段拜候 firewall-cmd --reload //添加操做后别忘了施行重载才会生效爱生活,爱运维,欢送列位一路交换
本文利用 文章同步助手 同步