平常測(cè)試都是直接把本機(jī)防火墻關(guān)閉,在外網(wǎng)防火墻進(jìn)行管理榜晦。由于最近攻擊比較頻繁冠蒋,LD要求本機(jī)防火墻必須開啟。那就不得不好好學(xué)習(xí)下本機(jī)防火墻知識(shí)乾胶。
防火墻守護(hù) firewalld 服務(wù)引入了一個(gè)信任級(jí)別的概念來(lái)管理與之相關(guān)聯(lián)的連接與接口抖剿。它支持 ipv4 與 ipv6,并支持網(wǎng)橋识窿,采用 firewall-cmd (command) 或 firewall-config (gui) 來(lái)動(dòng)態(tài)的管理 kernel netfilter 的臨時(shí)或永久的接口規(guī)則斩郎,并實(shí)時(shí)生效而無(wú)需重啟服務(wù)。
1喻频, 首先查看防火墻狀態(tài):
firewall-cmd --state
systemctl status firewalld.service
2缩宜, 開啟防火墻,
systemctl start firewalld.service
#設(shè)置開機(jī)自啟:
systemctl enable firewalld.service
3甥温, 重啟防火墻:
systemctl restart firewalld.service
4锻煌, 查看防火墻設(shè)置開機(jī)自啟是否成功:
systemctl is-enabled firewalld.service;echo $?
以上就是開啟防火墻相關(guān)步驟
FireWall 域的概念
在進(jìn)行firewalld配置之前,我想來(lái)討論一下區(qū)域(zones)這個(gè)概念姻蚓。默認(rèn)情況就有一些有效的區(qū)域宋梧。我們需要網(wǎng)絡(luò)接口分配區(qū)域。區(qū)域規(guī)定了區(qū)域是網(wǎng)絡(luò)接口信任或者不信任網(wǎng)絡(luò)連接的標(biāo)準(zhǔn)狰挡。區(qū)域(zone)包含服務(wù)和端口捂龄。接下來(lái)讓我們討論Firewalld中那些有用的區(qū)域(zones)。
zone
drop: 丟棄所有進(jìn)入的包圆兵,而不給出任何響應(yīng)
block: 拒絕所有外部發(fā)起的連接跺讯,允許內(nèi)部發(fā)起的連接
public: 允許指定的進(jìn)入連接
external: 同上枢贿,對(duì)偽裝的進(jìn)入連接殉农,一般用于路由轉(zhuǎn)發(fā)
dmz: 允許受限制的進(jìn)入連接
work: 允許受信任的計(jì)算機(jī)被限制的進(jìn)入連接,類似 workgroup
home: 同上局荚,類似 homegroup
internal: 同上超凳,范圍針對(duì)所有互聯(lián)網(wǎng)用戶
trusted: 信任所有連接
過(guò)濾規(guī)則
source: 根據(jù)源地址過(guò)濾
interface: 根據(jù)網(wǎng)卡過(guò)濾
service: 根據(jù)服務(wù)名過(guò)濾
port: 根據(jù)端口過(guò)濾
icmp-block: icmp 報(bào)文過(guò)濾愈污,按照 icmp 類型配置
masquerade: ip 地址偽裝
forward-port: 端口轉(zhuǎn)發(fā)
rule: 自定義規(guī)則
其中,過(guò)濾規(guī)則的優(yōu)先級(jí)遵循如下順序
1.source
2.interface
3.firewalld.conf
開啟特定端口
在開啟防火墻之后轮傍,我們有些服務(wù)就會(huì)訪問(wèn)不到暂雹,是因?yàn)榉?wù)的相關(guān)端口沒有打開。
在此以打開80端口為例
命令:
開端口命令:firewall-cmd --zone=public --add-port=80/tcp --permanent
重啟防火墻:systemctl restart firewalld.service
命令含義:
--zone #作用域
--add-port=80/tcp #添加端口创夜,格式為:端口/通訊協(xié)議
--permanent #永久生效杭跪,沒有此參數(shù)重啟后失效
#查看端口是否生效
netstat -ntlp
或:firewall-cmd --list-ports
