文档章节

Linux系统firewalld、zone、service

阿dai学长
 阿dai学长
发布于 2017/07/14 19:49
字数 1014
阅读 92
收藏 0

10.20 firewalld的9个zone

先执行以下操作切换至firewalld防火墙:

关闭iptables:
[root@adai003 ~]# systemctl disable iptables
Removed symlink /etc/systemd/system/basic.target.wants/iptables.service.
[root@adai003 ~]# systemctl stop iptables

开启firewalld:
[root@adai003 ~]# systemctl enable firewalld
Created symlink from /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service to /usr/lib/systemd/system/firewalld.service.
Created symlink from /etc/systemd/system/basic.target.wants/firewalld.service to /usr/lib/systemd/system/firewalld.service.
[root@adai003 ~]# systemctl start firewalld

注: 此时防火墙的规则已发生改变,可以使用命令iptables -nvL查看。

9种zone:

  • 查看zone类型:
[root@adai003 ~]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block

关于9种zone的解析:

mark
注: 9个zone中内容分别保存着不同的规则!

  • 查看系统默认的zone:
[root@adai003 ~]# firewall-cmd --get-default-zone 
public

10.21 firewalld关于zone的操作

设置默认的zone

设置默认的zone:
[root@adai003 ~]# firewall-cmd --set-default-zone=work
success

查看:
[root@adai003 ~]# firewall-cmd --get-default-zone 
work

查看指定网卡的zone:

[root@adai003 ~]# firewall-cmd --get-zone-of-interface=ens33
public  

[root@adai003 ~]# firewall-cmd --get-zone-of-interface=lo
no zone

给指定网卡增加zone

可以通过以下两种方法为网卡添加zone:

方法1:

编辑网卡配置文件(复制系统网卡配置文件进行更名)的方法为其添加zone(配置完成后重启网络服务,并重新加载firewalld服务:“systemctl restart firewalld”)。

方法2:

[root@adai003 ~]# firewall-cmd --zone=work --add-interface=ens37
success
[root@adai003 ~]# firewall-cmd --get-zone-of-interface=ens37
work

给指定网卡更改zone

[root@adai003 ~]# firewall-cmd --zone=block --change-interface=ens37
success
[root@adai003 ~]# firewall-cmd --get-zone-of-interface=ens37
block

给指定网卡删除zone

[root@adai003 ~]# firewall-cmd --zone=bmz --remove-interface=ens37
The interface is under control of NetworkManager, setting zone to default.
success

[root@adai003 ~]# firewall-cmd --get-zone-of-interface=ens37
work

查看系统中所有网卡所在的zone

[root@adai003 ~]# firewall-cmd --get-active-zones 
work
  interfaces: ens37
public
  interfaces: ens33

10.22 firewalld关于service的操作

查看系统所有service

[root@adai003 ~]# firewall-cmd --get-services 

查看当前zone下的service

[root@adai003 ~]# firewall-cmd --list-services 
dhcpv6-client ssh

查看指定zone下的service

[root@adai003 ~]# firewall-cmd --zone=public --list-services 
dhcpv6-client ssh

添加一个服务到某个zone下

  • 临时添加(配置文件中不存在,重启会恢复原配置)
[root@adai003 ~]# firewall-cmd --zone=public --add-service=http
success
[root@adai003 ~]# firewall-cmd --zone=public --list-services 
dhcpv6-client ssh http
  • 永久添加(即,更改配置文件)
[root@adai003 ~]# firewall-cmd --zone=public --add-service=http --permanent

删除zone下某服务

  • 临时删除
删除前:
[root@adai003 ~]# firewall-cmd --zone=public --list-service
ftp dhcpv6-client ssh

[root@adai003 ~]# firewall-cmd --zone=public --remove-service=ftp
success
删除后:
[root@adai003 ~]# firewall-cmd --zone=public --list-service
dhcpv6-client ssh
  • 永久删除
[root@adai003 ~]# firewall-cmd --zone=public --list-service
ftp dhcpv6-client http ssh
[root@adai003 ~]# firewall-cmd --zone=public --remove-service=ftp --permanent 
success
[root@adai003 ~]# firewall-cmd --reload 
success
[root@adai003 ~]# firewall-cmd --zone=public --list-service
dhcpv6-client http ssh

配置文件

  • zone的系统配置文件位置:/etc/firewalld/zones/
[root@adai003 ~]# ls /etc/firewalld/zones/
public.xml  public.xml.old

[root@adai003 ~]# cat /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="http"/>
  <service name="ssh"/>
</zone>

说明: public.xml.old相当于一个备份文件,每次编辑public.xml时,系统会自动将原public.xml内容备份到public.xml.old。

  • zone配置文件模板
[root@adai003 ~]# ls /usr/lib/firewalld/zones/
block.xml  drop.xml      home.xml      public.xml   work.xml
dmz.xml    external.xml  internal.xml  trusted.xml
  • firewalld内各项服务的配置文件模板
[root@adai003 ~]# ls /usr/lib/firewalld/
icmptypes  ipsets  services  xmlschema  zones

注: 每次编辑配置文件后需要重新加载(reload)firewall-cmd才生效。

应用

需求:
ftp服务自定义端口1121,需要在work zone下面放行ftp。

方法:

步骤一:复制ftp的配置文件到/etc/firewalld/services/

[root@adai003 ~]# cp /usr/lib/firewalld/services/ftp.xml  /etc/firewalld/services/

步骤二:编辑该文件,将port="21"改为port="1121"

[root@adai003 ~]# vim /etc/firewalld/services/ftp.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>FTP</short>
  <description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
  <port protocol="tcp" port="1121"/>
  <module name="nf_conntrack_ftp"/>
</service>

步骤三:复制workzone的配置文件到/etc/firewalld/zones/

[root@adai003 ~]# cp /usr/lib/firewalld/zones/work.xml /etc/firewalld/zones/

步骤四:编辑该文件,增加“<service name="ftp"/>”

[root@adai003 ~]# vim /etc/firewalld/zones/work.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Work</short>
  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="ftp"/>
</zone>

步骤五:重新加载

[root@adai003 ~]# firewall-cmd --reload 
success

Finished!

© 著作权归作者所有

阿dai学长
粉丝 71
博文 238
码字总数 315795
作品 0
海淀
运维
私信 提问
iptables规则备份恢复,firewalld的9个zone

10月29日任务 10.19 iptables规则备份和恢复 10.20 firewalld的9个zone 10.21 firewalld关于zone的操作 10.22 firewalld关于service的操作 linux防火墙-netfilter 保存和备份iptables规则 se...

zgxlinux
2018/10/29
0
0
iptables规则备份恢复-firewalld关于zone和service

iptables规则备份恢复: service iptables save #把规则保存到/etc/sysconfig/iptables文件中 iptables-save > /tmp/my.ipt #把规则备份到my.ipt文件中 iptables-restore < /tmp/my.ipt #把m......

ZHENG-JY
2018/07/15
0
0
CentOS 7 :Failed to start IPv4 firewall with iptables.

CentOS 7 :Failed to start IPv4 firewall with iptables. 2017年12月08日 14:13:57 李爽11 阅读数:8491 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u0...

linjin200
01/25
0
0
​七周五次课(5月10日)iptables规则备份和恢复、firewalld的9个zone、firewalld zone的操作、firewalld service的操作

10.19 iptables规则备份和恢复 service iptables save ,会把规则保存到 iptables 的配置文件中 /etc/sysconfig/iptables iptables -save > /tmp/ipt.txt 将规则保存到ipt.txt iptabls - res......

吕湘颖
2018/05/08
0
0
Day33 iptables规则备份和恢复、firewalld相关

iptables规则备份和恢复 介绍:之前说道,我们设定的防火墙规则只保存在内存中,重启失效。那么怎么保存规则呢 如下 保存规则命令: 这里能看到出现了一个路径,这就是我们的规则所保存的路径...

杉下
2018/07/17
0
0

没有更多内容

加载失败,请刷新页面

加载更多

阿里云POLARDB如何助力轻松筹打造5亿用户信赖的大病筹款平台?

轻松筹首创了“大病救助”模式,帮助了众多病患在第一时间解決了医疗资金等问题,为了从源头解决了医疗资金问题。而在轻松筹这样全球5.5亿用户信赖的大病筹款平台的背后,是日益增长的各种数...

阿里云云栖社区
20分钟前
4
0
Confluence 6 在升级过程中查看合并日志

为了监控升级的过程,你应该查看 application log 日志中的输出。 通常日志经常将会显示多个日志实例,这个实例是定义在日志的 INFO 级别的,通常格式如下: WikiToXhtmlMigrationThread-n -...

honeymoose
21分钟前
2
0
git diff 文件对比

git diff filepath 工作区与暂存区比较 git diff HEAD filepath 工作区与HEAD ( 当前工作分支) 比较 git diff --staged 或 --cached filepath 暂存区与HEAD比较 git diff branchName filepa......

李佳顺
21分钟前
1
0
spring mvc 定制化配置

spring mvc 自定义配置 1.实现某些接口,然后让上面的类加载进去. class MyHandlerMethodArgumentResolver implements HandlerMethodArgumentResolver { @Override public boolean......

最爱肉肉
23分钟前
2
0
OSG_采样像机的内容如果不显示到窗口上

cameraLight->setRenderTargetImplementation(Camera::FRAME_BUFFER_OBJECT);// 这句使内容不渲染到屏幕上cameraLight->setRenderOrder(Camera::PRE_RENDER); 1.setRenderTargetImplement......

洛克人杰洛
27分钟前
2
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部