防火墙开通云平台开通防火墙策略

转载

mob64ca13fa2f9e 2023-12-05 19:46:12

运维初学者必备之centos7防火墙策略配置

1.前言：
Centos7以上的发行版都试自带了firewalld防火墙的，firewalld去带了iptables防火墙。其原因是iptables的防火墙策略是交由内核层面的netfilter网络过滤器来处理的，而firewalld则是交由内核层面的nftables包过滤框架来处理。相较于iptables防火墙而言，firewalld支持动态更新技术并加入了区域（zone）的概念。简单来说，区域就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

2.操作与配置：
a.服务操作：

指令	详解
systemctl start firewalld	启动防火墙
systemctl restart firewalld	重启防火墙
systemctl stop firewalld	停止防火墙
systemctl status firewalld	防火墙运行状态

b.配置文件说明：

防火墙开通云平台开通防火墙策略_重启

3.基础命令：
这里需要首先说明的是，在执行命令时，如果没有带 --permanent 参数表示配置立即生效，但是不会对该配置进行存储，相当于重启服务器就会丢失。如果带上则会将配置存储到配置文件，，但是这种仅仅是将配置存储到文件，却并不会实时生效，需要执行 firewall-cmd --reload 命令重载配置才会生效。
a.重载防火墙配置

firewall-cmd --reload

b.查看防火墙运行状态

firewall-cmd --state

c.查看默认区域的设置

firewall-cmd --list-all

d.应急命令： (谨慎使用)

防火墙开通云平台开通防火墙策略_重启_02

e.服务增改：

指令	详解
firewall-cmd --add-service=	#添加服务
firewall-cmd --remove-service=	#移除服务

f.添加端口

指令	详解
firewall-cmd --add-portl=/	#添加端口/协议（tcp/UDP）
firewall-cmd --remove-port=/	#移除端口/协议（tcp/udp）
firewall-cmd --list-ports	#查看开放端口

例如永久开放80端口：

firewall-cmd --zone=public --add-port=80/tcp --permanent   
返回：（succes）
firewall-cmd --reload

命令含义：

防火墙开通云平台开通防火墙策略_重启_03

4.IP指向限制配置：

a.允许指定ip访问所有流量：

firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" accept"

例：# 允许来自192.168.2.1的所有流量

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.1" accept"

b.允许指定ip的指定协议：

firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" protocol value="<protocol>" accept"

例： #允许192.168.2.208主机的icmp协议，即允许192.168.2.208主机访问

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" protocol value="icmp" accept"

c.允许指定ip访问指定服务：

firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" service name="<service name>" accept

例: # 允许192.168.2.208主机访问ssh服务

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.208" service name="ssh" accept"

d.允许指定ip访问端口：

firewall-cmd --add-rich-rule="rule family="ipv4" source address="<ip>" port protocol="<port protocol>" port="<port>" accept"

例：# 允许192.168.2.1主机访问22端口

firewall-cmd --add-rich-rule="rule family="ipv4" source address="192.168.2.1" port protocol="tcp" port="22" accept"

e.将指定ip改为网段：
例：允许192.168.2.0/24网段的主机访问22端口：

firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="22" accept"

f.禁止指定ip/网段：
例如：#禁止192.168.2.0/24网段的主机访问22端口

firewall-cmd --zone=drop --add-rich-rule="rule family="ipv4" source address="192.168.2.0/24" port protocol="tcp" port="22" reject"

5.防火墙常用指令：

a.指定端口开放与删除：
新增端口开放：

firewall-cmd --zone=public --add-port=80/tcp --permanent     
firewall-cmd --reload

删除80端口开放：

firewall-cmd --zone=public --remove-port=80/tcp --permanent     
firewall-cmd --reload

b.查看开放端口：

指令	详解
netstat -ntlp	查看所有端口
firewall-cmd --list-ports	查看已开放的端口
firewall-cmd --list-all	查看所有端口策略设置（ip指定访问）