firewalld防火墙实操_firewall允许某几个ip访问资源-CSDN文库

需积分: 29 22 浏览量 2018-09-19 11:46:56 上传评论 1 收藏 1KB TXT 举报

### firewalld防火墙实操知识点 #### 一、firewalld防火墙简介 `firewalld` 是一种动态防火墙管理工具，在Linux系统中广泛使用。与传统的`iptables`相比，`firewalld`提供了更为灵活的服务和端口管理方式，并支持运行时配置更改而无需重启服务。 #### 二、基本概念在使用`firewalld`之前，我们需要了解几个基本的概念： - **区域（Zone）**：是`firewalld`中的一个安全级别设置，每个区域对应不同的网络信任级别，默认有多个预定义的区域，如`public`、`work`等。 - **服务（Service）**：预定义的一组端口和服务名称，用于简化端口管理。 - **富规则（Rich Rules）**：一种高级的规则类型，可以更精细地控制流量。 #### 三、常用命令 ##### 1. 开启端口 - **命令格式**：`firewall-cmd --zone=<zone> --add-port=<port>/<protocol> [--permanent]` - **示例**：`firewall-cmd --zone=public --add-port=20400/tcp --permanent` - **解释**：此命令表示在`public`区域永久性添加了TCP协议下的20400端口。这意味着任何来自公共网络的20400端口的TCP连接都会被允许通过。 ##### 2. 添加富规则 - **命令格式**：`firewall-cmd --zone=<zone> --add-rich-rule=<rule> [--permanent]` - **示例**： - `firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.2.211.0/24" port protocol="tcp" port="20400" accept"` - **解释**：此命令在`public`区域永久性添加了一条富规则，允许IPv4源地址为`10.2.211.0/24`网段的所有设备访问目标机器上的20400端口TCP服务。 - `firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" accept"` - **解释**：此命令允许IPv4源地址为`192.168.10.0/24`网段的所有设备访问目标机器上的所有服务。 ##### 3. 移除端口 - **命令格式**：`firewall-cmd --zone=<zone> --remove-port=<port>/<protocol> [--permanent]` - **示例**：`firewall-cmd --zone=public --remove-port=20400/tcp --permanent` - **解释**：此命令表示在`public`区域永久性移除了TCP协议下的20400端口。 ##### 4. 移除富规则 - **命令格式**：`firewall-cmd --remove-rich-rule=<rule>` - **示例**：`firewall-cmd --remove-rich-rule="rule family="ipv4" source address="61.236.64.106" drop"` - **解释**：此命令移除了一条IPv4源地址为`61.236.64.106`的丢弃规则。 ##### 5. 添加拒绝规则 - **命令格式**：`firewall-cmd --zone=<zone> --add-rich-rule=<rule> [--permanent]` - **示例**：`firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address='192.168.1.24' drop"` - **解释**：此命令表示在`public`区域永久性添加了一条IPv4源地址为`192.168.1.24`的拒绝规则。 ##### 6. 配置接口 - **命令格式**：`firewall-cmd --zone=<zone> --add-interface=<interface> [--permanent]` - **示例**：`firewall-cmd --zone=pubilc --add-interface=bond0` - **解释**：此命令表示将网络接口`bond0`配置到`public`区域。 ##### 7. VRRP 相关规则 - **命令格式**：`firewall-cmd --direct --permanent --add-rule <family> <table> <chain> <position> <options>` - **示例**：`firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0 --in-interface bond1 --destination 224.0.0.18 --protocol vrrp -j ACCEPT` - **解释**：此命令用于添加一条VRRP相关的规则，允许从`bond1`接口进入、目的地为`224.0.0.18`且协议为`vrrp`的数据包通过。 #### 四、总结以上介绍了一些常见的`firewalld`命令及其用法，这些命令可以帮助管理员轻松地管理和配置防火墙规则。需要注意的是，为了使永久性的改变生效，通常还需要执行`firewall-cmd --reload`来重新加载防火墙规则。此外，对于复杂的网络环境，合理利用区域、服务以及富规则可以更高效地管理网络访问策略。

资源推荐

资源详情

资源评论

开通配置：
#允许所有IP访问80-88端口：
firewall-cmd --zone=public --add-port=20400/tcp --permanent #开通80-88的端口

#允许10.2.211.0网段访问20400端口：
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="10.2.211.0/24" port protocol="tcp" port="20400" accept"

#允许192.168.10.0网段访问所有端口：
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" accept"

#允许221.174.127.122访问20082端口：
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="221.174.127.122" port protocol="tcp" port="20082" accept"

删除配置：
#关闭2000-3000端口的访问：
firewall-cmd --zone=public --remove-port=20400/tcp --permanent
#删除一条规则
firewall-cmd --remove-rich-rule="rule family="ipv4" source address="61.236.64.106" drop"

禁止配置：
#禁止192.168.1.24 IP防问：
firewall-cmd --permanent --zone=public --add-rich-rule="rule family=ipv4 source address='192.168.1.24' drop"

其它特殊配置：
#把bond0网卡加入到pubilc区域：
firewall-cmd --zone=pubilc --add-interface=bond0

#keepalived心跳同步要开vrrp协议：
firewall-cmd --direct --permanent --add-rule ipv4 filter INPUT 0 --in-interface bond1 --destination 224.0.0.18 --protocol vrrp -j ACCEPT

本内容试读结束，登录后可阅读更多

下载后可阅读完整内容，剩余1页未读，立即下载

评论收藏

内容反馈