centos7 firewalld日常使用
若生产中使用有docker,建议不要使用firewalld,改用iptables,用firewalld坑很多,暂时还未找到解决办法,在此做下记录:
说明:若加参数permanent为永久添加即添加至zone配置中,reload生效,重启firewalld也会生效,若不加 --permanent,重启后不再生效)
docker和firewalld共存时,使用命令添加开放端口规则,且加 --permanent参数
firewall-cmd --add-port=80/tcp --permanent 添加规则后,80端口被外部正常访问,
然后使用firewall-cmd --remove-port=80/tcp --permanent 永久移除规则,按正常情况80端口将不能被外部网络访问,
但实际确依然能被外部访问,而且此后防火墙像是被关闭了一样,所有服务端口都能被外部访问到。但查看配置中已经没有开放80端口的
规则,firewalld也是runing状态,此后重新开一台测试机,不安装docker进行测试,firewalld不再出现以上问题。
1、启动firewalld
systemctl start firewalld
systemctl enable firewalld #加入到开机启动
2、查看状态
systemctl status firewalld
或
firewall-cmd --state
3、关闭firewalld
systemctl stop firewalld
service说明:
在 /usr/lib/firewalld/services/ 目录中,还保存了另外一类配置文件,每个文件对应一项具体的网络服务,如 ssh 服务等.
与之对应的配置文件中记录了各项服务所使用的 tcp/udp 端口,在最新版本的 firewalld 中默认已经定义了 70+ 种服务供我们使用.
当默认提供的服务不够用或者需要自定义某项服务的端口时,我们需要将 service 配置文件放置在 /etc/firewalld/services/ 目录中.
service 配置的好处显而易见:
第一,通过服务名字来管理规则更加人性化,
第二,通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
每加载一项 service 配置就意味着开放了对应的端口访问
4、查看系统自带默认有那些service可以进行配置
firewall-cmd --get-services
5、查看当前已经开放的service和port
firewall-cmd --list-services
firewall-cmd --zone=public --list-services # 指定区域进行查看
firewall-cmd --list-ports
firewall-cmd --zone=public --list-ports # 指定区域进行查看
6、查看所有已开放的service和port等
firewall-cmd --list-all # 查看默认区域的
firewall-cmd --zone=public --list-all # 只查看指定pubilc区域的
firewall-cmd --list-all-zones # 查看所有区域的
7、查询单个服务的启用状态[返回值yes/no]
firewall-cmd --query-service http
8、动态添加一条防火墙规则至默认区域(public),比如开放服务或端口(此方法可以立即生效,但重启firewalld服务或reload后将不再生效,因为没有保存在配置文件中)
firewall-cmd --add-service=ftp
firewall-cmd --add-port=2326/tcp
firewall-cmd --zone=public --add-port=4990-4999/udp #添加4990-4999 udp端口 ,并指定区域
9、动态添加规则后若想保存至zone配置中需要添加参数 --permanent(reload才生效)
firewall-cmd --add-service=ftp --permanent
firewall-cmd --add-port=12222/tcp --permanent
firewall-cmd --zone=public --add-port=4990-4999/udp --permanent #添加4990-4999 udp端口 ,并指定区域
firewall-cmd --reload #配置生效
10、动态移除规则,但需要重载防火墙才可生效
firewall-cmd --remove-service=http #移除直接生效
firewall-cmd --remove-port=2327/tcp --permanent #永久移除、删除,需reload才生效
firewall-cmd --reload
11、重载防火墙规则
通常手动修改zone配置进行规则添加后,需要进行重载生效,以 root 身份输入以下命令,重新加载防火墙,并不中断用户连接,即不丢失状态信息
firewall-cmd --reload
注意:通常在防火墙出现严重问题时,这个命令才会被使用。比如,防火墙规则是正确的,但却出现状态信息问题和无法建立连接。
firewall-cmd --complete-reload
12、‘将同一台服务器上80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080
13、如果要将端口转发到另外一台服务器上
1)在需要的区域中激活 masquerade
firewall-cmd --zone=public --add-masquerade
2)添加转发规则
firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.0.10.15
14、防火墙伪装IP
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP
危险命令:[立即生效]
如果是远程的机器执行上面的规则会立刻断开网络连接,必须紧记不能随便执行。如果你只是虚拟机或者物理机器登陆就可以执行来调试。
拒绝所有包:firewall-cmd --panic-on
取消拒绝状态: firewall-cmd --panic-off
查看是否拒绝: firewall-cmd --query-panic
***************************************************************************************************************
拒绝访问操作:
#添加禁止响应ping
firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
#查看是否有此规则[等号后面跟详细的名称]
firewall-cmd --query-rich-rule='rule protocol value='icmp' drop'
#删除方法
firewall-cmd --remove-rich-rule='rule protocol value=icmp drop'
firewall-cmd --add-rich-rule "rule family=ipv4 source address=10.0.10.1 service name='ssh' reject"
或直接丢弃
firewall-cmd --add-rich-rule "rule family=ipv4 source address=10.0.10.1 service name='ssh' reject"
或对端口进行操作
firewall-cmd --add-rich-rule='rule family=ipv4 source address=10.0.10.1 port port=22 protocol=tcp reject'
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.10.1" accept'
#允许一个IP(10.0.10.1)仅能通过指定端口(8080-8090)访问到目标(10.0.10.13):
firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.0.10.1" destination address="10.0.10.13/32" port port="8080-8090" protocol="tcp" accept'
firewall-cmd --remove-rich-rule='rule family="ipv4" source address="10.0.10.1" destination address="10.0.10.13/32" port port="80" protocol="tcp" accept'
最后说明:
转载于:https://www.cnblogs.com/ccit/p/10147802.html
centos7 firewalld日常使用相关推荐
- centos7 firewalld ip与端口白名单配置等,开放端口与ip白名单
1.查看firewalld.service服务状态 #查看firewalld.service服务状态 systemctl status firewalld#查看firewall运行状态 firewal ...
- Centos7 firewalld规则配置 | 仅容许指定IP访问
背景:最近发现我的环境老是有不明数据,经排查发现还不止一个人在连我的环境调试东西,我真的是... 所以我配置了一下防火墙规则,仅容许指定的IP访问,避免此类情况.我俩关系好我就把 ...
- CentOS7 firewalld防火墙配置
[root@ecs ~]# firewall-cmd --version //查看版本 0.3.9 [root@ecs ~]# firewall-cmd --state // ...
- 解决Centos7 Firewalld无法限制docker端口问题
解决方法: 在配置文件 /etc/docker/daemon.json 文件中添加"iptables": false {"registry-mirrors": ...
- centos7和centos6的区别
CentOS 7 vs CentOS 6的不同 (1)桌面系统 [CentOS6] GNOME 2.x [CentOS7] GNOME 3.x(GNOME Shell) (2)文件系统 [Cen ...
- centos7与centos6区别
原文连接:https://www.cnblogs.com/bethal/p/5945026.html ------------------------------------------------- ...
- 什么是微信防火墙_CentOS 7/8 预装的新型防火墙firewalld配置详解,你会用吗
请关注本头条号,每天坚持更新原创干货技术文章. 如需学习视频,请在微信搜索公众号"智传网优"直接开始自助视频学习 1. 前言 本文将会详细介绍CentOS 7 firewalld的 ...
- centOS7\centOS6 防火墙设置与端口开放的方法
centOS7: firewalld: 防火墙开启某端口: firewall-cmd --zone=public --add-port=8888/tcp --permanent 防火墙关闭某端口: f ...
- 一个简单视频网站开发小记
前言 视频格式转换,视频图片截取,视频存储设计,大文件上传处理以及相关配置,前端视频播放,视频播放流畅度,每一个都不简单,都需要花心思思考解决方法!基本上每个问题,都是使用相应的开源库! 需求背景 手 ...
最新文章
- 你负责人工智能哪部分?人工那部分:知识图谱的构建主要靠人工还是机器?...
- 关于运行中输入ping后,跳出“打开方式”选择对话框的问题
- boost::range模块heap算法相关的测试程序
- Vue组件之间相互传值的方式
- SSM:Spring整合MyBatis框架时出现 java.lang.AbstractMethodError: org.mybatis.spring.transaction.SpringManaged
- wifi情况下使用fiddler_fiddler常见的应用场景
- oracle 函数使用
- Windows7之SSH,安装OpenSSH实现SSH客户端及服务
- zynq阅读文档之通过中断读GPIO输入的编程指导
- sourcetree向github推送代码提示密码错误
- 成功从小公司跳槽!java并发编程实践pdf完整百度云
- 【AT91SAM9261EK】u-boot 2022 tftpboot 烧写根文件系统
- python forward函数_PyTorch之前向传播函数自动调用forward
- AI 上当,“苹果”变 “iPod”
- Linux:rsyslog 日志丢失 messages lost due to rate-limiting
- 【优动漫 PAINT应用篇】绘制插画之上墨线
- ubuntu显示扩展名
- Flask+BootStrap+SQLite+ECharts编写的教学问卷调查系统
- 程序员的算法趣题Q68: 异性相邻的座位安排(1)
- CDOJ 1144 Big Brother 二分图匹配