linux系统服务之防火墙
1、防火墙:防范一些网络攻击。有软件防火墙、硬件防火墙之分。
2、查看防火墙:
[root@localhost ~]# ps -ef | grep firewalld
root 1085 1 0 10:24 ? 00:00:01 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
root 8465 7616 0 13:55 pts/0 00:00:00 grep --color=auto firewalld
[root@localhost ~]# systemctl status firewalld
firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled)
Active: active (running) since 六 2020-02-29 10:25:04 CST; 3h 30min ago
3、firewalld 服务启动/重启/关闭:
#systemctl start/restart/stop firewalld
#/etc/init.d/firewalld start/stop/restart
4、firewalld 查看规则
查看firewalld规则明细
5、简单设置防护墙规则
例如:需要允许80端口通过防火墙,则规则设置如下:
#iptables -I INPUT -p tcp --dport 80 -j ACCEPT #允许访问80端口 iptables:主命令
-I:表示将规则放在最前面
-A:add添加规则
INPUT:进站请求{出站output}
-P:protocol,指定协议(icmp/tcp/udp)
–dport :指定端口号
-J:指定行为结果,允许(accept)/禁止(reject)
注意将规则保存,要不然重启服务器失效
6、防火墙参考:
查看防火墙状态:systemctl status firewalld
启动防火墙:systemctl start firewalld
停止防火墙:systemctl stop firewalld
防火墙中的一切都与一个或者多个区域相关联,下面对各个区进行说明:
Zone Description
drop (immutable) Deny all incoming connections, outgoing ones are accepted.
block (immutable) Deny all incoming connections, with ICMP host prohibited messages issued.
trusted (immutable) Allow all network connections
public Public areas, do not trust other computers
external For computers with masquerading enabled, protecting a local network
dmz For computers publicly accessible with restricted access.
work For trusted work areas
home For trusted home network connections
internal For internal network, restrict incoming connectionsdrop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
block(限制)
任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
public(公共)
在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
dmz(非军事区)
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
work(工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
home(家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
internal(内部)
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
trusted(信任)
可接受所有的网络连接。
–列出当前有几个zone
firewall-cmd --get-zones
–取得当前活动的zones
–取得默认的zone
最后再提几点:
1、很多时候我们需要开放端口或开放某IP访问权限,我们需要先查看我们当前默认的zone是哪个,然后在对应的zone里面添加port和source,这样对外才会有作用。
比如我当前的默认zone是public,我需要开放80端口对外访问,则执行如下命令:
[root@localhost zones]# firewall-cmd --zone=public --permanent --add-port=80/tcp
success
[root@localhost zones]# firewall-cmd --reload
success
2、使用命令的时候加上 --permanent 是永久生效的意思,在重启防火墙服务后依然生效。否则,只对重启服务之前有效。
3、我们执行的命令,结果其实都体现在具体的配置文件中,其实我们可以直接修改对应的配置文件即可。
以public zone为例,对应的配置文件是/etc/firewalld/zones/public.xml,像我们刚刚添加80端口后,体现在public.xml 中的内容为:
[root@localhost zones]# cat public.xml
**这个大家可自己再进一步了解下配置文件的结构后,进行自行配置,不过记得要在配置后 --reload 或重启 firewall 服务。**
