详解firewall的规则设置与命令(白名单设置)
一. 设置firewall规则
例1:对外暴露8080端口
firewall-cmd --permanent --add-port=8080/tcp
例2:使mysql服务的3306端口只允许192.168.1.1/24网段的服务器能访问
#添加规则 firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="3306" accept" #reload使生效 firewall-cmd --reload
例3:端口转发,将到本机的3306端口的访问转发到192.168.1.1服务器的3306端口
# 开启伪装IP firewall-cmd --permanent --add-masquerade # 配置端口转发 firewall-cmd --permanent --add-forward-port=port=3306:proto=tcp:toaddr=192.168.1.2:toport=13306
注意:如果不开启伪装IP,端口转发会失败;其次,要确保源服务器上的端口(3306)和目标服务器上的端口(13306)是开启的。
二. firewall命令
1.启动, 停止, 重启firewalld
1. 停止
systemctl stop firewalld.service
2. 启动
systemctl start firewalld.service
3. 重启
systemctl restart firewalld.service
4. 查看状态:
systemctl status firewalld
5.禁止firewall开机启动
systemctl disable firewalld
6. 设置开机启用防火墙:
systemctl enable firewalld.service
2.查看firewall规则与状态
1. 查看默认防火墙状态(关闭后显示notrunning,开启后显示running)
firewall-cmd --state
2. 查看防火墙规则(只显示/etc/firewalld/zones/public.xml中防火墙策略)
firewall-cmd --list-all
3. 查看所有的防火墙策略(即显示/etc/firewalld/zones/下的所有策略)
firewall-cmd --list-all-zones
4. 重新加载配置文件
firewall-cmd --reload
3.配置firewalld-cmd
查看版本: firewall-cmd --version 查看帮助: firewall-cmd --help 显示状态: firewall-cmd --state 查看所有打开的端口: firewall-cmd --zone=public --list-ports 更新防火墙规则: firewall-cmd --reload 查看区域信息: firewall-cmd --get-active-zones 查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0 拒绝所有包:firewall-cmd --panic-on 取消拒绝状态: firewall-cmd --panic-off 查看是否拒绝: firewall-cmd --query-panic
4. 那怎么开启一个端口呢
1. 添加(--permanent永久生效,没有此参数重启后失效)
firewall-cmd --zone=public --add-port=80/tcp --permanent
2. 重新载入(修改规则后使其生效)
firewall-cmd --reload
3. 查看
firewall-cmd --zone= public --query-port=80/tcp
4. 删除
firewall-cmd --zone= public --remove-port=80/tcp --permanent
因为在/usr/lib/firewalld/services/中事先定义了ssh.xml的相应的规则
5. systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体。
启动一个服务:systemctl start firewalld.service 关闭一个服务:systemctl stop firewalld.service 重启一个服务:systemctl restart firewalld.service 显示一个服务的状态:systemctl status firewalld.service 在开机时启用一个服务:systemctl enable firewalld.service 在开机时禁用一个服务:systemctl disable firewalld.service 查看服务是否开机启动:systemctl is-enabled firewalld.service 查看已启动的服务列表:systemctl list-unit-files|grep enabled 查看启动失败的服务列表:systemctl --failed
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了Apache实现禁止中文浏览器访问与301重定向的方法,通过修改.htaccess的配置来实现非常简便,需要的朋友可以参考下2016-01-01
这篇文章主要介绍了Centos7上Mesos和Marathon的安装和配置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-11-11
接上篇,上篇仅安装了Mono本身,并没有安装libgdiplus、gtk-sharp、mod_mono、MonoDevelop 等其他相关的软件。 这篇主要是配置安装libgdiplus。2014-07-07
这篇文章主要介绍了Linux运维基础中怎样制作httpd静态网页,附含源码及图片示例,有需要的朋友可以借鉴参考下,希望可以有所帮助,祝进步2021-09-09
这篇文章主要介绍了详解Keepalived安装与配置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧2018-06-06
Linux利用firewalld和iptables实现IP端口限制与开放
在服务器管理中,防火墙是保护系统安全的重要工具,通常,我们可能会关闭firewalld,但在某些情况下,我们需要利用firewalld或iptables来限制IP请求,本文将详细介绍如何使用firewalld和iptables来实现IP端口限制与开放,需要的朋友可以参考下2025-02-02
对系统管理员来说,平时的工作重心应该集中在维护系统正常运转,能够正常提供服务上,这里往往牵涉到一个数据备份的问题2009-03-03
linux CentOS 系统php和mysql命令加入到环境变量中
这篇文章主要介绍了linux CentOS 系统php和mysql命令加入到环境变量中的相关资料,需要的朋友可以参考下2016-12-12
本文介绍了Linux中实时查看日志的三种方法:使用tail命令(结合-f选项和grep进行过滤),利用multitail工具实现多日志文件的拆分视图监控,以及用less命令的+F选项实时跟踪文件变化,这些方法帮助系统管理员更有效地监控和分析日志文件,需要的朋友可以参考下2025-02-02
nslookup 和 dig命令一般用于查询 DNS服务器,获取域名、IP地址等DNS记录信息,下面小编就来为大家介绍一下Linux如何使用nslookup和dig来查询域名和ip信息吧2025-03-03
最新评论