[toc]

Linux防火墙-firewalled

10.20 firewalld的9个zone

1.开启firewalld,前面把firewalld关闭了,现在方向操作

[ ] systemctl disable iptables

[ ] systemctl stop iptables

[ ] systemctl enable firewalld

[ ] systemctl start firewalld

[root@localhost ~]# systemctl disable iptables

Removed symlink /etc/systemd/system/basic.target.wants/iptables.service.

[root@localhost ~]# systemctl stop iptables

[root@localhost ~]# systemctl enable iptables

Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.

[root@localhost ~]# systemctl start firewalld

用iptables -nvL查看,firewalld自带了许多规则。

3. firewalld默认有9个zone,zone是规则集,zone默认为public

[root@localhost ~]# firewall-cmd --get-zones

work drop internal external trusted home dmz public block

[root@localhost ~]# firewall-cmd --get-default-zone

public

10.21 firewalld关于zone的操作

1. firewall-cmd --set-default-zone=work //设定默认zone

[root@localhost ~]# systemctl start firewalld//初次使用时需启动

[root@localhost ~]# firewall-cmd --set-default-zone=work

success

[root@localhost ~]# firewall-cmd --get-default-zone

work

2. 自动补全的安装包yum install -y bash-completion

3. firewall-cmd --get-zone-of-interface=ens33 //查指定网卡

[root@localhost ~]# firewall-cmd --get-default-zone

work

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33

work

[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens37

no zone

这里发现ens37并未被指定,需要做这样的一个设置:

[root@localhost ~]# cd /etc/sysconfig/network-scripts/

[root@localhost network-scripts]# ls

ficfg-ens33 ifdown-bnep ifdown-isdn ifdown-Team ifup-bnep ifup-isdn ifup-routes ifup-wireless

ifcfg-ens33 ifdown-eth ifdown-post ifdown-TeamPort ifup-eth ifup-plip ifup-sit init.ipv6-global

ifcfg-ens33:0 ifdown-ib ifdown-ppp ifdown-tunnel ifup-ib ifup-plusb ifup-Team network-functions

ifcfg-lo ifdown-ippp ifdown-routes ifup ifup-ippp ifup-post ifup-TeamPort network-functions-ipv6

ifdown ifdown-ipv6 ifdown-sit ifup-aliases ifup-ipv6 ifup-ppp ifup-tunnel

*这里复制一个ens33文件改为ens37且编辑该文件

[root@localhost network-scripts]# cp -r ifcfg-ens33 ifcfg-ens37

[root@localhost network-scripts]# ls

ficfg-ens33 ifdown ifdown-ipv6 ifdown-sit ifup-aliases ifup-ipv6 ifup-ppp ifup-tunnel

ifcfg-ens33 ifdown-bnep ifdown-isdn ifdown-Team ifup-bnep ifup-isdn ifup-routes ifup-wireless

ifcfg-ens33:0 ifdown-eth ifdown-post ifdown-TeamPort ifup-eth ifup-plip ifup-sit init.ipv6-global

ifcfg-ens37 ifdown-ib ifdown-ppp ifdown-tunnel ifup-ib ifup-plusb ifup-Team network-functions

ifcfg-lo ifdown-ippp ifdown-routes ifup ifup-ippp ifup-post ifup-TeamPort network-functions-ipv6

[root@localhost network-scripts]# vim ifcfg-ens37

TYPE=Ethernet

BOOTPROTO=static

DEFROUTE=yes

PEERDNS=yes

PEERROUTES=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_PEERDNS=yes

IPV6_PEERROUTES=yes

IPV6_FAILURE_FATAL=no

IPV6_ADDR_GEN_MODE=stable-privacy

NAME=ens37

UUID=3b000477-c3db-4855-b5ba-c73bb1546b3a

DEVICE=ens37

ONBOOT=yes

IPADDR=192.168.100.1

NETMASK=255.255.255.0

GATEWAY=192.168.72.2

DNS1=119.29.29.29

DNS2=8.8.8.8

~

~

~

重启firewalld服务,再次查看下ens37

[root@localhost network-scripts]# systemctl restart firewalld

[root@localhost network-scripts]# firewall-cmd --get-zone-of-interface=ens37

no zone

这里不知作何解释????

4.给指定网卡设置zone:firewall-cmd --zone=dmz --add-interface=ens37

[root@localhost network-scripts]# firewall-cmd --zone=dmz --add-interface=ens37

success

[root@localhost network-scripts]# firewall-cmd --get-zone-of-interface=ens37

dmz

5.针对网卡更改zone:firewall-cmd --zone=block --change-interface=ens37

[root@localhost network-scripts]# firewall-cmd --zone=block --change-interface=ens37

The interface is under control of NetworkManager, setting zone to 'block'.

success

[root@localhost network-scripts]# firewall-cmd --get-zone-of-interface=ens37

block

6.针对网卡删除zone:firewall-cmd --zone=block --remove-interface=ens37

[root@localhost network-scripts]# firewall-cmd --zone=block --remove-interface=ens37

success

[root@localhost network-scripts]# firewall-cmd --get-zone-of-interface=ens37

block

7.查看系统所有网卡所在的zone

[root@localhost network-scripts]# firewall-cmd --get-active-zones

work

interfaces: ens33

public

interfaces: lo

前期测试时发现总是报错

row 1 col 1

row 1 col 2

前期测试时发现总是报错,ens37没有有些得到zone的定义,通过查看ifconfig发现ens37网卡地址没了,用ifconfig ens37 192.168.100.1来定义,在用mii-tool ens37查看链接情况,查看在cd /etc/sysconfig/network-scripts,然后ls查看,打开ifcfgens37文件,查看到的其内容,看是否有误,都没发现问题

8. service NetworkManager stop

10.22 firewalld关于service的操作

1.查看所有的service都有哪些:firewall-cmd --get-service或者services都是一样,这是特殊之处

1.1 service的概念,之所以有9种zone,是因为每个zone里面都使用了不同的service,而service是针对一个服务(端口)做的iptables规则

[root@localhost ~]# firewall-cmd --get-service

RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp open*** pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

[root@localhost ~]# firewall-cmd --get-services

RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp open*** pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

2.firewall-cmd --list-services //查看当前zone下有哪些service

[root@localhost ~]# firewall-cmd --get-default-zone

work

[root@localhost ~]# firewall-cmd --list-services

ssh dhcpv6-client

查看work的zone=work的有哪些

[root@localhost ~]# firewall-cmd --zone=public --list-service

dhcpv6-client ssh

3.把http增加到public zone下面:firewall-cmd --zone=public --add-service=http

3.1 每个zone下面都有不同的service,如何查看:firewall-cmd --zone=public --list-service

[root@localhost ~]# firewall-cmd --zone=public --add-service=http

success

[root@localhost ~]# firewall-cmd --zone=public --list-service

dhcpv6-client ssh http

4.把http从public zone删除:firewall-cmd --zone=public --remove-service=http

[root@localhost ~]# firewall-cmd --zone=public --remove-service=http

success

5. ls /usr/lib/firewalld/zones/ //zone的配置文件模板

对于每个zone来说,都有自己的配置文件,在/usr/lib/firewalld/zones/目录下的文件

[root@localhost ~]# ls /usr/lib/firewalld/zones/

block.xml dmz.xml drop.xml external.xml home.xml internal.xml public.xml trusted.xml work.xml

6.firewall-cmd --zone=public --add-service=http --permanent //更改配置文件,之后会在/etc/firewalld/zones目录下面生成配置文件

6.1--permanent表示永久保存,区别于4中zone里增加的service只在内存中生效,加上permanent后可以修改配置文件.

/etc/firewalld/zones

[root@localhost ~]# firewall-cmd --zone=public --add-service=http --permanent

success

[root@localhost ~]# cat /etc/firewalld/zones/public.xml

Public

For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

7.需求:ftp服务自定义端口1121,需要在work zone下面放行ftp

7.1 /usr/lib/firewalld/service/目录下为所有service的模板配置文件,把ftp.xml拷贝出来到系统配置文件/etc/firewalld/service/.

[root@localhost ~]# cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services

[root@localhost ~]# vi /etc/firewalld/services/ftp.xml

7.2 编辑ftp.xml配置文件

7.3 在work zone下面放行,先把work配置模板复制过来

[root@localhost ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

7.4 编辑work.xml配置文件,然后重新加载

[root@localhost ~]# firewall-cmd --reload

success

7.5 验证一下work zone里面的service是否有FTP

[root@localhost ~]# firewall-cmd --zone=work --list-service

ssh ftp dhcpv6-client

linux防火墙保存报错,29.Linux防火墙-firewalled相关推荐

  1. linux make编译报错 mv,Linux下安装redis

    1:首先下载redis  http://redis.io/download 2:  需要Linux安装gcc依赖 3:进行解压 tar -zxvf redis-3.0.0-rc2.tar.gz 4:进 ...

  2. linux mysql stop 报错_mysql linux上安装使用

    安装启动 安装之前可以看下系统中有没有已经安装. 查看所有软件:dpkg -l 1.查看mysql安装的版本 mysql --version 2.mysql状态 service mysql statu ...

  3. linux切换用户报错timeout,Linux切换用户卡

    #-----------------------------=====切换用户卡=====--------------------# ##########问题背景: [oracle@esbdb1 ~] ...

  4. linux登陆ftp报错425,linux下命令行连接FTP是遇到的错误(425 Failed to establish connection)...

    linux下命令行连接FTP是遇到的错误(425 Failed to establish connection) 首先FTP的运行模式有主动模式和被动模式两种 然后笔者在工作中搭建了ftp,但是没有开 ...

  5. linux追踪tomcat报错信息,linux下tomcat服务的启动、关闭与错误跟踪

    linux下tomcat服务的启动.关闭与错误跟踪,远程连接到服务器以后,通常通过以下几种方式启动关闭tomcat服务: 1).启动tomcat服务 进入tomcat主目录下的bin目录,然后执行如下 ...

  6. Linux中的报错命令,Linux学习教程-Linux下命令的一些异常情况

    导读 命令不全:在命令没有输入完 (引号或括号没有配对),就不小心按下了Enter键,终端会提示出一个>代表命令不完整,这是可以继续输入,也可以ctrl+c终止输入,重新再来.(下面sed命令使 ...

  7. linux监听报错sp2-0734,Linux中Oracle启动侦听报错TNS:permission denied的解决方法

    前言 最近在开发环境 oracle 启动侦听的时候,出现了 TNS:permission denied 的问题,通过网上和咨询朋友,最终找到了解决方案,现在共享出来给有需要的朋友. 错误描述 [ora ...

  8. Linux Cp 忽略报错信息,linux使用cp报错 Text file busy

    我第一个想到的是:可能ioctl可以检查文件.可惜我猜错了,看了一下cp的源码,原来如果一个文件正在运行,另一个进程再open以获得写权限的话,这个open本身就会失败,返回-1,errno为ETXT ...

  9. Linux ss命令 报错,ECS Linux中ss命令显示连接状态的使用说明

    1. ss命令可用来获取socket统计信息,这个命令输出的结果类似于netstat输出的内容,但是它能够显示更多更详细的TCP连接状态的信息,且比netstat更快更高效. ss命令能够从内核空间直 ...

最新文章

  1. 简单实现ReplaceAll(转)
  2. MUI:字符串和json数据的相互转换
  3. 周报速递丨北交所 SaaS 首股将出;央行等印发《金融标准化“十四五”发展规划》
  4. 实验一 绘制金刚石图案
  5. SpringCloud(Gateway网关使用)
  6. 2000以内最好的无人机_全球军用无人机排行榜之国产翔龙无人机
  7. 我算是优秀的程序员吗?
  8. JS应用之正则表达式
  9. JavaScript学习指南笔记
  10. 计算机网络是由网络硬件网络软件,超星尔雅FPGA应用开发课程设计期末答案
  11. 一些div垂直居中的方法
  12. urp教务系统php,URP高校教务管理系统
  13. DeFi 2.0的LaaS协议,重振DeFi赛道发展的关键
  14. VUE3-Cesium(视角操作、时钟设置)
  15. Typora工具免费版下载
  16. 5 HTML标签基础
  17. Cause: java.sql.SQLException: Parameter index out of range (4 > number of parameters, which is 3).
  18. loadrunner12-错误 -26366: 找不到 web_reg_find 的“Text=19728.00”
  19. 怎样解决电脑右下角弹出的广告
  20. swoole学习(十二) - Hprose相关知识

热门文章

  1. 【Oracle】重命名数据文件
  2. CEPH RGW集群和bucket的zone group 不一致导致的404异常解决 及 使用radosgw-admin metadata 命令设置bucket metadata 的方法
  3. 一个由于springboot自动配置所产生的问题的解决
  4. nginx504超时解决方法
  5. 你如何在PowerShell中注释掉代码?
  6. win11怎么添加小组件 window11添加小组件的设置方法
  7. Win11玩永劫无间闪退怎么办?Win11玩永劫无间闪退的解决方法
  8. js储存数据sessionStorage,localStorage
  9. c语言怎样编写图形,「分享」C语言如何编写图形界面
  10. 数据结构之链表及其Java实现_数据结构之链表及其Java实现