先放个链接,万一有人关注呢
优质文章推荐
↓ ↓ ↓ ↓ ↓
firewalld(Dynamic Firewall Manager of Linux systems),是Linux系统的动态防火墙管理器,是CentOS 7的一大特性,firewalld同时拥有命令行终端和图形化界面的配置工具,相较于iptables对火墙的管理更加容易便捷,但没有iptables控制精准。
firewalld可以动态地修改单条规则,使规则即时生效,而iptables在修改规则后必须重新读取才能够生效。需要注意的是,firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现。简而言之,firewalld和iptables的作用是维护防火墙规则,而真正遵循规则进行工作的是netfilter。
firewalld加入了防火墙的区域(zone)概念,以分配对一个网络及其相关链接和界面一定程度的信任。不仅支持以太网桥并有分离运行时间及永久配置选择,还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。也就是说,firewalld预先准备了几套防火墙策略模板,用户可以根据生产场景的不同而选择合适的策略模板,实现了防火墙策略之间的快速切换。
firewalld有两种类型的配置:永久类型和运行时类型。运行时类型的规则配置会在防火墙被重启后失效,而永久类型的规则配置会永久保留且生效的。
对应于上面两种类型的配置,firewalld有两个相应的目录,针对运行时类型配置的目录是/usr/lib/firewall/,针对永久类型配置的目录是/etc/firewall/。
firewalld的配置方法主要有三种,分别是firewall-config、firewall-cmd和直接编辑xml文件。其中,firewall-config是图形化工具,firewall-cmd是命令行工具。对于多数Linux用户来说,更加习惯使用命令行方式的操作。
firewalld默认配置文件有两个,分别是/usr/lib/firewalld/与/etc/firewalld/。/usr/lib/firewalld/是系统配置,尽量不要随意修改,/etc/firewalld/是用户配置文件。
firewall-cmd命令常用参数:
--get-default-zone查询默认的区域名称
--set-default-zone=<区域名称>设置默认的区域,永久生效
--get-zones显示可用的区域
--get-services显示预先定义的服务
--get-active-zones显示当前正在使用的区域与网卡名称
--add-source=将来源于此IP或子网的流量导向指定的区域
--remove-source=不再将此IP或子网的流量导向某个指定区域
--add-interface=<网卡名称>将来自于该网卡的所有流量都导向某个指定区域
--change-interface=<网卡名称>将某个网卡与区域做关联
--list-all显示当前区域的网卡配置参数,资源,端口以及服务等信息
--list-all-zones显示所有区域的网卡配置参数,资源,端口以及服务等信息
--add-service=<服务名>设置默认区域允许该服务的流量
--add-port=<端口号/协议>允许默认区域允许该端口的流量
--remove-service=<服务名>设置默认区域不再允许该服务的流量
--remove-port=<端口号/协议>允许默认区域不再允许该端口的流量
--reload使永久生效的配置规则立即生效,覆盖当前的配置
示例
[root@localhost ~]# firewall-cmd --version0.5.3
[]running
[]onespublicinterfaces: ens33
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33public
[][][root@localhost ~]# firewall-cmd --query-panicno
[]disabled
[]success
来不及解释了,快上车!(进群看公告)(已经入群的小伙伴无需重复添加)
欢迎新的小伙伴加入!在这里,我们鼓励大家积极参与群内讨论和交流,分享自己的见解和经验,一起学习和成长。同时,也欢迎大家提出问题和建议,让我们不断改进和完善这个平台。
↓↓↓ 点个在看,无需赞赏!