- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章RHEL 7中防火墙的配置和使用方法由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
RHEL7 中使用了firewalld代替了原来的iptables,操作设置和原来有点不同:
查看防火墙状态:systemctl status firewalld 。
启动防火墙:systemctl start firewalld 。
停止防火墙:systemctl stop firewalld 。
防火墙中的一切都与一个或者多个区域相关联,下面对各个区进行说明:
1
2
3
4
5
6
7
8
9
10
11
|
Zone Description
-----------------------------------------------------
drop (immutable) Deny all incoming connections, outgoing ones are accepted.
block (immutable) Deny all incoming connections, with ICMP host prohibited messages issued.
trusted (immutable) Allow all network connections
public Public areas, do not trust other computers
external For computers with masquerading enabled, protecting a local network
dmz For computers publicly accessible with restricted access.
work For trusted work areas
home For trusted home network connections
internal For internal network, restrict incoming connections
|
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接.
block(限制) 任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝.
public(公共) 在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接.
external(外部) 特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接.
dmz(非军事区) 用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接.
work(工作) 用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接.
home(家庭) 用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接.
internal(内部) 用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接.
trusted(信任) 可接受所有的网络连接.
操作防火墙的一些常用命令:
--显示防火墙状态 。
[root@localhost zones]# firewall-cmd --state running 。
--列出当前有几个zone [root@localhost zones]# firewall-cmd --get-zones block dmz drop external home internal public trusted work 。
--取得当前活动的zones [root@localhost zones]# firewall-cmd --get-active-zones public interfaces: ens32 veth4103622 。
--取得默认的zone [root@localhost zones]# firewall-cmd --get-default-zone public 。
--取得当前支持service [root@localhost zones]# firewall-cmd --get-service RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt MySQL nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https 。
--检查下一次重载后将激活的服务。 [root@localhost zones]# firewall-cmd --get-service --permanent RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https 。
--列出zone public 端口 [root@localhost zones]# firewall-cmd --zone=public --list-ports 。
--列出zone public当前设置 [root@localhost zones]# firewall-cmd --zone=public --list-all public (default, active) interfaces: eno16777736 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: --增加zone public开放http service [root@localhost zones]# firewall-cmd --zone=public --add-service=http success [root@localhost zones]# firewall-cmd --permanent --zone=internal --add-service=http success 。
--重新加载配置 [root@localhost zones]# firewall-cmd --reload success 。
--增加zone internal开放443/tcp协议端口 [root@localhost zones]# firewall-cmd --zone=internal --add-port=443/tcp success 。
--列出zone internal的所有service [root@localhost zones]# firewall-cmd --zone=internal --list-services dhcpv6-client ipp-client mdns samba-client ssh 。
设置黑/白名单 --增加172.28.129.0/24网段到zone trusted(信任) [root@localhost zones]# firewall-cmd --permanent --zone=trusted --add-source=172.28.129.0/24 success 。
--列出zone truste的白名单 [root@localhost zones]# firewall-cmd --permanent --zone=trusted --list-sources 172.28.129.0/24 。
--活动的zone [root@localhost zones]# firewall-cmd --get-active-zones public interfaces: eno16777736 。
--添加zone truste后重新加载,然后查看--get-active-zones [root@localhost zones]# firewall-cmd --reload success [root@localhost zones]# firewall-cmd --get-active-zones public interfaces: ens32 veth4103622 trusted sources: 172.28.129.0/24 。
--列出zone drop所有规则 [root@localhost zones]# firewall-cmd --zone=drop --list-all drop interfaces: sources: services: ports: masquerade: no forward-ports: icmp-blocks: rich rules
--添加172.28.13.0/24到zone drop [root@localhost zones]# firewall-cmd --permanent --zone=drop --add-source=172.28.13.0/24 success 。
--添加后需要重新加载 [root@localhost zones]# firewall-cmd --reload success 。
[root@localhost zones]# firewall-cmd --zone=drop --list-all drop interfaces: sources: 172.28.13.0/24 services: ports: masquerade: no forward-ports: icmp-blocks: rich rules
[root@localhost zones]# firewall-cmd --reload success 。
--从zone drop中删除172.28.13.0/24 [root@localhost zones]# firewall-cmd --permanent --zone=drop --remove-source=172.28.13.0/24 success 。
--查看所有的zones规则 [root@localhost ~]# firewall-cmd --list-all-zones 。
最后再提几点:
1、很多时候我们需要开放端口或开放某IP访问权限,我们需要先查看我们当前默认的zone是哪个,然后在对应的zone里面添加port和source,这样对外才会有作用.
比如我当前的默认zone是public,我需要开放80端口对外访问,则执行如下命令:
[root@localhost zones]# firewall-cmd --zone=public --permanent --add-port=80/tcp success [root@localhost zones]# firewall-cmd --reload success 。
2、使用命令的时候加上 --permanent 是永久生效的意思,在重启防火墙服务后依然生效。否则,只对重启服务之前有效.
3、我们执行的命令,结果其实都体现在具体的配置文件中,其实我们可以直接修改对应的配置文件即可.
以public zone为例,对应的配置文件是/etc/firewalld/zones/public.xml,像我们刚刚添加80端口后,体现在public.xml 中的内容为:
1
2
3
4
5
6
7
8
9
|
[root@localhost zones]# cat public.xml
<?
xml
version
=
"1.0"
encoding
=
"utf-8"
?>
<
zone
>
<
short
>Public</
short
>
<
description
>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</
description
>
<
service
name
=
"dhcpv6-client"
/>
<
service
name
=
"ssh"
/>
<
port
protocol
=
"tcp"
port
=
"80"
/>
</
zone
>
|
这个大家可自己再进一步了解下配置文件的结构后,进行自行配置,不过记得要在配置后 --reload 或重启 firewall 服务.
以上就是小编为大家带来的RHEL 7中防火墙的配置和使用方法全部内容了,希望大家多多支持我~ 。
最后此篇关于RHEL 7中防火墙的配置和使用方法的文章就讲到这里了,如果你想了解更多关于RHEL 7中防火墙的配置和使用方法的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
关闭。这个问题是opinion-based .它目前不接受答案。 想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题. 6年前关闭。 Improve t
我正在尝试部署启用了策略的 Azure 防火墙高级版,并且需要添加网络规则集合负载。 我在参数文件中有规则集合,需要循环遍历每个规则集合并将其添加到策略中。 "FirewallSettings": {
无论如何,我对 symfony 都不陌生,但我一直使用 FOSUserBundle,默认情况下,它会阻止用户使用 2 个不同的登录表单来验证两种不同的用户类型。 我有两个实体,一个是Admins,另一
如果防火墙内的客户端通过 TCP 连接到公共(public)服务器,一旦连接形成,防火墙就允许双向通信。这是我们在日常使用中通常看到的。我的问题是:这也适用于 UDP 吗? 由于UDP没有连接,我将稍
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 这个问题似乎与 help center 中定义的范围内的编程无关。 . 关闭 9 年前。 Improve
我目前正在为一家公司编写 windows-firewallmanager。 问题是,我只能通过名称而不是 INetFwRule 对象或其他方式删除条目。 有些条目具有两次相同的名称,其中一个用于 TC
我有一个防火墙实现,我想记录在机器上访问过的所有网站。因此,当用户在浏览器(任何浏览器)中输入地址或单击链接时,能够记录访问的地址。 问题是我只想记录访问过的地址,而不是页面请求的其他资源(广告、if
刚好手工装完一台CentOS6.4,就顺便记录一下。 复制代码 代码如下: # sestatus SELinux status:  
我是 Windows 防火墙的新手。我看过这个对话,但无法理解它的含义。 上面的对话框说 “允许 python 在这些网络上通信:” .然后它提供了两个复选框,一个用于每个专用网络,一个用于公共(pu
在我看来,ClickOnce 应用程序无法与 Windows Firewall 顺利运行。 . 我已经成功使用 ClickOnce 部署两年了。现在企业已升级到Windows 7,这遇到了障碍。每个用
我的 C# 应用程序使用端口 777 进行异步通信,使用端口 3306 与 My Sql Server 进行通信。当端口被防火墙阻止时,就会出现问题。我试图创建一个程序来在 Windows 7 的防火
我正在开始研究智能防火墙,但在此之前,我需要清楚地了解非常基本的防火墙如何工作。由于我和我的团队最擅长 C 语言,我们将使用它。 有人可以举一个用 C 语言编写的非常基本的防火墙的例子吗? 最佳答案
我正在尝试以编程方式创建出站 Windows 防火墙规则。此外,我想以编程方式启用和禁用此规则。我怎样才能在 C# 中执行此操作?手动,我可以通过进入控制面板,单击 Windows 防火墙,然后单击高
有人用过android intent firewall吗? http://www.cis.syr.edu/~wedu/android/IntentFirewall/ 我用 genymotion 模拟器
我编写了一个简单的 Java 应用程序,它使用套接字与自身的多个实例进行交互。第一个实例自动承担服务器的角色,监听特定端口,所有后续实例都连接到它。 我遇到的问题是 Windows 防火墙弹出询问我是
我有一个通过 ClickOnce 安装和更新的应用程序。该应用程序通过FTP下载文件,因此需要添加为windows防火墙的异常(exception)。由于 ClickOnce 的工作方式,EXE 的路
我很难在 C++ 中找到与 Windows 防火墙相关的任何内容(关于如何将应用程序添加到除列表之外、关闭端口或禁用对某些应用程序的 Internet 访问)。我发现甚至 MS 网站都显示了 Visu
我有一些使用 docker-compose up 运行的项目。该项目在端口 4200、后端 3000 和 db 5342 上有前端。当我使用 docker-compose 运行它时,所有这些端口都是公
用python编写的程序,它选择可用于TCP和UDP通信的随机端口。如果我通过运行 sudo ufw enable 启用 Linux 防火墙(ufw) .我们可以通过给出允许任何端口 sudo ufw
使用命令提示符修改 Windows 防火墙 我可以允许域/公共(public)/私有(private)复选标记全部出现在同一行中吗(就像我可以手动单击一样)? 到目前为止,我有 3 个条目,每种类型有
我是一名优秀的程序员,十分优秀!