centos7中firewall防火墻命令怎么用
防火墻借由監測所有的封包并找出不符規則的內容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。本篇文章主要介紹了centos7中firewall防火墻命令詳解,具有一定的參考價值,有需要的可以了解一下。
具體介紹
為了架設ss在vultr上買了一個日本的vps 用的是centos7的系統 防火墻是 firewall 搗鼓了兩天 在這里總結一下。
如果小伙伴也準備在vultr上買vps 在注冊是 可以使用這個優惠連接http://www.vultr.com/?ref=6972993-3B 會的到 20$ 的優惠 也就可以免費使用4個月
如果你的系統上沒有安裝使用命令安裝
#yum install firewalld //安裝firewalld 防火墻
開啟服務
# systemctl start firewalld.service
關閉防火墻
# systemctl stop firewalld.service
開機自動啟動
# systemctl enable firewalld.service
關閉開機制動啟動
# systemctl disable firewalld.service
查看狀態
#systemctl status firewalld
得到到的結果如果是
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2016-09-05 02:34:07 UTC; 15min ago
Main PID: 3447 (firewalld)
CGroup: /system.slice/firewalld.service
└─3447 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
Sep 05 02:34:07 vultr.guest systemd[1]: Starting firewalld - dynamic firewall daemon...
Sep 05 02:34:07 vultr.guest systemd[1]: Started firewalld - dynamic firewall daemon.
這樣的說明沒有問題
設置 firwall
使用firewall-cmd 命令
查看狀態
#firewall-cmd --state //running 表示運行
獲取活動的區域
#firewall-cmd --get-active-zones
這條命令將用以下格式輸出每個區域所含接口:
: ..: ..
#firewall-cmd --get-service
每個服務以空格分隔 例如:
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp open pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-http
獲取永久選項所支持的服務 就是重啟后也支出的
#firewall-cmd --get-service --permanent //在 0.3.0 之前的 FirewallD版本中, panic 選項是 –enable-panic 與 –disable-panic
開啟應急模式阻斷所有網絡連接
#firewall-cmd --panic-on //在 0.3.0 之前的 FirewallD版本中, panic 選項是 –enable-panic 與 –disable-panic
關閉應急模式
#firewall-cmd --panic-off
查看應急模式的狀態
#firewall-cmd --query-panic
在不改變狀態的條件下重新加載防火墻:
#firewall-cmd --reload
防火墻預定義的服務配置文件是xml文件 目錄在 /usr/lib/firewalld/services/
在 /etc/firewalld/services/ 這個目錄中也有配置文件 但是/etc/firewalld/services/目錄 優先于 /usr/lib/firewalld/services/ 目錄
修改配置文件后 使用命令重新加載
#firewall-cmd --reload
啟用某個服務
# firewall-cmd --zone=public --add-service=https //臨時
# firewall-cmd --permanent --zone=public --add-service=https //永久
開啟某個端口
#firewall-cmd --permanent --zone=public --add-port=8080-8081/tcp //永久
#firewall-cmd --zone=public --add-port=8080-8081/tcp //臨時
使用命令加載設置
#firewall-cmd --reload
查看開啟的端口和服務
#firewall-cmd --permanent --zone=public --list-services //服務空格隔開 例如 dhcpv6-client https ss
#firewall-cmd --permanent --zone=public --list-ports //端口空格隔開 例如 8080-8081/tcp 8388/tcp 80/tcp
在每次修改 端口和服務后 /etc/firewalld/zones/public.xml 文件就會被修改 所以也可以在文件中之間修改 然后重新加載
設置某個ip 訪問某個服務
#firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"
ip 192.168.0.4/24 訪問 http
設置后 public.xml 就會出現變化
刪除上面設置的規則
#firewall-cmd --permanent --zone=public --remove-rich-rule="rule family="ipv4" source address="192.168.0.4/24" service name="http" accept"
啟動服務
#systemctl start firewalld.service //開啟服務
#systemctl enable firewalld.service //開機制動啟動
#systemctl stop firewalld.service //關閉服務
#systemctl disable firewalld.service //禁止開機啟動
補充閱讀:防火墻主要使用技巧
一、所有的防火墻文件規則必須更改。
盡管這種方法聽起來很容易,但是由于防火墻沒有內置的變動管理流程,因此文件更改對于許多企業來說都不是最佳的實踐方法。如果防火墻管理員因為突發情況或者一些其他形式的業務中斷做出更改,那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改,會導致宕機嗎?這是一個相當高發的狀況。
防火墻管理產品的中央控制臺能全面可視所有的防火墻規則基礎,因此團隊的所有成員都必須達成共識,觀察誰進行了何種更改。這樣就能及時發現并修理故障,讓整個協議管理更加簡單和高效。
二、以最小的權限安裝所有的訪問規則。
另一個常見的安全問題是權限過度的規則設置。防火墻規則是由三個域構成的:即源(IP地址),目的地(網絡/子網絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統,常用方法是在一個或者更多域內指定打來那個的目標對象。當你出于業務持續性的需要允許大范圍的IP地址來訪問大型企業的網絡,這些規則就會變得權限過度釋放,因此就會增加不安全因素。服務域的規則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?
三、根據法規協議和更改需求來校驗每項防火墻的更改。
在防火墻操作中,日常工作都是以尋找問題,修正問題和安裝新系統為中心的。在安裝最新防火墻規則來解決問題,應用新產品和業務部門的過程中,我們經常會遺忘防火墻也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神,而不僅是一篇法律條文。
四、當服務過期后從防火墻規則中刪除無用的規則。
規則膨脹是防火墻經常會出現的安全問題,因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則,卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網絡以及應用軟件更新周期對于達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火墻團隊。
centos7中firewall防火墻命令怎么用相關文章: