Linux 防火墙配置(iptables和firewalld)
如何实现永久配置
--permanent 表示此配置加入到永久生效(默认临时生效)
或者在配置结束后执行此命令 firewall-cmd --runtime-to-permanent将临时更改为永久
永久配置完成后需要立即同步 firewall-cmd --reload 立即同步永久配置
查看默认区域并进行更改
firewall-cmd --get-zones 查询可用的区域
firewall-cmd --get-default-zone 查询默认区域的名称
firewall-cmd --get-active-zone 显示当前正在使用的区域与网卡名称
firewall-cmd --set-default-zone=trusted 设置默认区域为trusted区域
将网卡/子网与区域绑定(允许/拒绝此子网通过)
firewall-cmd --zone=drop --add-source=192.168.20.0/24 将此子网与drop区域绑定(拒绝从此子网发来的流量)
firewall-cmd --zone=trusted --add-interface=ens160 将此网卡与trusted区域绑定(允许从此网卡发来的流量)
--remove-source 删除子网与区域的绑定
--change-source 更改子网与区域的绑定
配置区域允许/拒绝的协议/端口号
firewall-cmd --list-all 显示当前区域的端口号、网卡、服务等信息
--list-all-zones 显示所有区域的
firewall-cmd --get-services 列举出来当前所有被允许的协议
firewall-cmd --zone=public --add-service http 配置public区域允许通过http协议
--remove-service ssh 拒绝通过ssh协议
--add-port=123/tcp 允许通过tcp的123端口
--remove-port=123/tcp 拒绝通过tcp的123端口
cat /etc/services 保存的协议类型和端口号
配置协议端口转换(端口映射)
firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.1
将192.168.10.1主机的tcp 22端口号转为888端口号(public区域接收ssh)
--remove-forward-port 删除此端口映射
其它配置
--panic-on 紧急模式,切断一切的网络连接(特殊情况去使用)
--panic-off 恢复一切的网络连接
配置富规则rich(更复杂、更详细的防火墙策略配置)
优先级最高(高于默认规则,两个并不冲突)
能够根据源目地址、端口号来限制用户
firewall-cmd --zone=public --list-rich-rule 显示public区域已经配置的富规则
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.100.1/24" service name="ssh" accept" 允许来自192.168.100.1的主机访问22端口
--add-rich-rule 添加一个富规则
--remove-rich-rule 删除一个富规则
accept/reject 允许/拒绝访问
推荐阅读
-
Linux 7 平台 Redis 7 安装和配置启动步骤演示
-
Linux 系统服务工具:systemctl 的配置和使用
-
Linux 学习 sudo 和 vim 配置
-
linux 安装和配置交叉编译器 arm-linux-gnueabi-gcc
-
Linux]Linux 环境基本工具(yum、vim)的基本使用和配置(继续)
-
Xshell 配置 ssh 密码免费登录 - 公钥和私钥登录 linux 服务器
-
如何在 Linux 下根据域名和普通证书转换自行签发 OpenSSL 证书。 修改 openssl.cnf 配置文件,创建根证书,自行签发泛域证书,将 crt 转换为 pem 格式,生成 p12 格式的
-
Linux 通过 Docker 部署 Nacos 2.2.3 服务发现和配置中心
-
Linux 下的 Nginx+Tomcat 负载平衡和运动分离配置点 | Nginx+Tomcat 负载平衡和运动分离配置点
-
Linux redis 安装过程和配置详细教程 [以 5.0.5 为例]。