[精讚] [會員登入]
14638

[Centos7] 新的防火牆firewalld

Centos7新的防火牆firewalld 和前面的iptables有很大的不同

此文完整連結 http://n.sfs.tw/10384

複製連結 [Centos7] 新的防火牆firewalld @新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2017-05-07 04:50:43 最後編修
2016-12-06 15:45:37 By 張○○
 

什麼?我在新裝的Centos7中竟然沒有找到iptables以及ip6tables,我直覺的想:應該是要自己安裝吧。不過事實上,我發現開的通訊埠都連不上,以為是selinux的問題,結果才知道,Centos7的防火牆是我好像聽過事實上是沒聽過的firewalld (呃,取這個名字?會不會太貼切了~~)

系統

CentOS Linux release 7.0.1406 (Core)

firewalld執行指令

啟動
# service firewalld start

停止
# service firewalld stop

重新啟動
# service firewalld restart

重讀設定
# firewall-cmd --reload

查看狀態
# service firewalld status

# firewall-cmd --state

程式設定

目錄 /etc/firewalld
設定檔 /etc/firewalld/firewalld.conf

防火牆基礎操作

畢竟他是一個防火牆,所以他引入了防火牆的zone的觀念,一看到就能瞭,一個zone可以有規則,zone到zone也可以有規則。

預設是一個叫 public的 zone,就是外面進到伺服器的zone,如果伺服器很單純對外服務不當路由器的話,這個zone就夠了。

操作這個防火牆如果有圖形介面直接在選單中點選防火牆就好了,圖形化易學易懂較沒問題,指令的話主要是用firewall-cmd 這個指令。

查看zone
# firewall-cmd --get-default-zone
public

查看運作中的zone和zone裡的介面
# firewall-cmd --get-active-zones
public
  interfaces: ens192

可以看到ens192這個介面是在public 這個zone中。

查看所有的zone
# firewall-cmd --get-zones

新增zone
# firewall-cmd --set-default-zone=home

查看此zone=public所開的服務
# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: ens192
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:


在public zone新增80TCP的服務
# firewall-cmd --zone=public --add-port=80/tcp

移除在public zone上80埠的所有服務 tcp/udp
# firewall-cmd --zone=public --remove-port=80

移除在public zone上5144埠的udp服務 5144/udp
# firewall-cmd --zone=public --remove-port=5144/udp

上面移除新增port(或服務)是整個zone都生效(一個zone可以由很多interfaces組成),我們可以指定來源:

# firewall-cmd --zone=public  --add-source=163.17.40.0/24
# firewall-cmd --zone=public  --remove-source=163.17.40.0/24

複雜的限定

這樣是所有的服務都套用這個來源,如果要限定單一服務的來源,可以使用他的rich rules:

列出所有rich-rules
# firewall-cmd --zone=public --list-rich-rules
<預設是沒有>

新增接受限制40.0可以讀取 28001埠
# firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="163.17.40.0/24" port port="28001" protocol="tcp" accept'

查看設定結果
# firewall-cmd  --zone=public --list-all
public (default, active)
  interfaces: ens192
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

        rule family="ipv4" source address="163.17.40.0/24" port port="28001" protocol="tcp" accept

這樣子就開通了40.0/24連往這台機器的規則。

但是這樣子設定只是runtime的環境有用,一設定下去就生效,不需要重啟和重讀;

移除,得要完整的寫才有用,請把 --list-all 顯示出來的 rich rules整行貼上
# firewall-cmd --zone=public --remove-rich-rule='rule family="ipv4" source address="192.168.56.0/24" port port="3306" protocol="tcp" accept'

當 firewalld重啟或重讀時,剛才加的設定就不見了,所以上面的操作要全部加上--permanent,讓它變成永久的設定

防火牆永久的設定

操作要全部加上--permanent,讓它變成永久的設定,runtime和永久的設定的不同,在firewalld重啟或重讀時,firewalld才會把永久的規則寫到runtime來用。

所以,永久的設定一定重啟或重讀才會生效。

查看永久的設定
# firewall-cmd --zone=public --list-all --permanent

查看runtime的設定(少了--permanent)
# firewall-cmd --zone=public --list-all

新增在public zone上53埠的udp服務 53/udp
# firewall-cmd --zone=public --add-port=53/udp --permanent

要觀察永遠設定的rule時,切記加上 --permanent

參考資料

[1] 香港網頁開發日誌 安裝 CentOS 7 後必做的七件事

[2] https://www.certdepot.net/rhel7-get-started-firewalld/


原文 2014-11-14 15:29:20

你可能感興趣的文章

[Centos7] 安裝php套件管理程式Composer+ Codeignioter3 很多人在用的套件管理程式 Composer+ Codeignioter3+ 指定安裝目錄

[Centos7] audit 服務 在紅帽和suse的linux中有一個audit這樣的daemon,寫入的是核心層的記錄。

[Centos7] HTTPS/SSL憑證的SELINUX設置 把申請來的憑證檔放到指定的位置後,沒辦法啟動,怎麼辦?

[Linux] 刪除last/lastb登出入記錄 linux shell的登出入記錄

[Centos7] 安裝sphinx+php7 在centos7上安裝sphinx,在PHP7上運作正確

[Centos7] 安裝apache+php7+mariadb10+selinux Centos7 安裝apache+php7+mariadb10+selinux

SELinux 常用指令和檔案 在Redhat系列中,Centos5以後加入了selinux,他並沒有這麼可怕,不必每次看到Selinux ,就想把他

[APACHE] PHP<5.5及 PHP>=5.5 安裝APC php5.5版後的apc只能手動安裝,此文包含php<5.5及php>=5.5兩種安裝方法

[Centos7] 安裝phpMyAdmin Centos 7有新的方式可以安裝phpmyadmin,不必再採用過去的tarball安裝法。

動態DNS -- dynamic DNS實作 BIND9動態DNS設定

我有話要說


限制:留言最高字數1000字,超過部分會被截掉。請注意:留言不可帶有網址,會被濾掉。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

[無留言]

隨機好文

SELinux 常用指令和檔案 在Redhat系列中,Centos5以後加入了selinux,他並沒有這麼可怕,不必每次看到Selinux ,就想把他

[Windows7] 移除IE10及移除IE11 Windows7 不得已的情況要移除IE11或IE10怎麼做?

TFTP Server 安裝及使用 讓設備的網路設定檔或是韌體經由TFTP拷備出來,操作的方法

[CodeIgniter3] 解決無法上傳特定檔案(.sb2)的問題 上傳時出現The filetype you are attempting to upload is not allowed,要怎麼解決?

[AS3] 我做的唯一一個Flash As3遊戲UFO INVADSION [AS3] 我做的唯一一個Flash As3遊戲,是第一個也是最後一個,後來就沒再寫as3,不過as3還滿好玩的。