文档章节

firewalld的9个zone,firewalld关于zone的操作,firewalld关于service的操作

doomcat
 doomcat
发布于 10/11 03:59
字数 1392
阅读 44
收藏 0

firewalld的9个zone

  • centOS7 开始,新的防火墙管理工具就是firewalld
  • 所以除了 iptables 也要熟悉 firewalld 的操作
  • 之前为了开启iptables把firewalld服务关闭了
  • 现在需要关闭iptables服务,把firewalld服务打开
  • 如图,这是把iptables服务设置为关闭状态,然后把正在运行的服务关闭
  • 如图,这是把firewalld服务设置为开启状态,然后把firewalld服务打开

  • 开启firewalld后,使用命令 iptables -nvL 查看信息
  • 可以看到多了很多规则和其它信息
  • 这就是firewalld自带的信息,之前iptables是没有信息的,需要自己添加
  • firewalld 自带9个zone,每个zone是规则的集合
  • 如图,firewall-cmd --get-zones 可以查看所有的 zone 名称
  • 可以看到,总共有九个单词,每个单词就是一个zone的名称
  • 如图,这条命令可以查看默认的zone,默认的zone是public

firewalld关于zone的操作

  • 如图,firewall-cmd --set-default-zone=work
  • 可以设置默认的zone
  • 这里把默认zone设置为work,之前是public
  • 使用 firewall-cmd --get-default-zone 查看默认zone
  • 可以看到,默认zone 已经变成 work了
  • 如图,firewall-cmd --get-zone-of-interface=ens33
  • 可以查看网卡 ens33 使用的 zone
  • 如图,lo 网卡使用的 zone 是 no zone
  • 说明这块网卡没有使用任何zone
  • 假设新增了一块网卡ens37,查看该网卡使用的zone是 no zone
  • 首先应该复制ens33的配置文件改名为ens37
  • 然后把内部ip等信息配置好,然后重启网络服务
  • 如图,重启firewalld服务,再看下ens37使用的zone信息,是否还是no zone
  • 如果还是 no zone 状态,可以考虑手动指定一个zone给网卡
  • 如图,手动设置网卡使用的 zone,这里设置ens37的zone为dmz
  • 然后查看一下ens37的zone,可以看到,已经修改为 dmz
  • 如图,这是修改网卡zone的命令,这是把ens37的zone修改为 block
  • 除了增加和修改zone之外,还可以删除zone
  • 如图,查看默认zone 是 work
  • 然后 firewall-cmd --zone=block --remove-interface=ens37
  • 这是把 ens37 从block zone 里面删除了
  • 这样ens37就不再使用block zone了,然后查看ens37的zone
  • 可以看到是work,删除ens37的zone以后,会自动使用默认的work zone
  • 如图,firewall-cmd --get-active-zones 可以查看所有网卡所在的zone
  • 可以看到,work zone 下面有 ens33,ens37两块网卡
  • public zone 下面有 lo 一块网卡

firewalld关于service的操作

  • service 是 zone 下面的 子单元
  • 如图,firewall-cmd --get-service 可以查看系统所有的 service
  • 命令的 service 可以使用 service 或者 services
  • 如图,firewall-cmd --list-services/service 可以查看默认zone有什么services
  • 如图,firewall-cmd --zone=public --list-service
  • 可以指定查看 public zone 里面的 services
  • 如图,查看block和trusted,下面为空,说明没有service在这两个zone里面运行
  • 如图,firewall-cmd --zone=public --add-service=http
  • 这条命令可以在 public zone 添加 http service
  • 下面使用 --list-service 查看,可以看到多了 http
  • 如图,把 ftp service 也添加进入 public zone
  • list-service 查看可以看到添加了 ftp
  • 但是这些改变都是发生在内存中的,如果想保存到配置文件里面
  • 需要使用 --permanent 选项
  • firewall-cmd --zone=public --add-service=ftp --permanent
  • 可以把新增的 ftp service 信息保存到配置文件
  • public zone 的配置文件就是 /etc/firewalld/zones/public.xml
  • 可以看到,ftp的信息已经写入 public.xml 文件里面
  • 上图是zone配置文件模板的目录
  • /etc/firewalld/zones/ 目录下面除了新保存的 public.xml 配置文件外
  • 修改前的 public.xml 会加上 old 后缀作为一个备份
  • 每次修改保存后,上一个版本的public.xml就会加上old作为备份
  • /etc/firewalld/services/ 目录还没有创建文件,目前是空的
  • 不管是 /etc/firewalld/services/ 还是 /etc/firewalld/zones/ 目录
  • 创建新文件都会使用模板文件来创建
  • ls /usr/lib/firewalld/zones/ 可以看到目录下面有9个zone的模板文件
  • /etc/firewalld/zones/目录创建文件就会从这9个模板文件里面选择
  • ls /usr/lib/firewalld/services/ 可以看到下面有很多 xml后缀的模板文件
  • /etc/firewalld/services/ 目录创建文件也会从这些模板里面选择

  • 现在做一个案例
  • 案例要求把 ftp服务的端口修改为 1121 ,并把ftp服务放到work zone 下放行
  • 首先,从模板目录把 /usr/lib/firewalld/services/ftp.xml 文件模板复制到
  • /etc/firewalld/services/ 目录,这是firewalld服务运行时加载配置文件的目录
  • 然后 vi /etc/firewalld/services/ftp.xml 文件
  • 如图,找到这一行把 port的值修改为 1121,port="1121",然后保存退出
  • 如图,把 work zone 的模板文件 work.xml 复制到 zones 目录里面
  • 然后 vim work.xml 编辑该模板文件
  • 如图,添加这一行 <service name="ftp" /> 然后保存退出
  • 编辑完配置文件,需要重新加载一下配置文件
  • 如图, firewall-cmd --reload 就可以重新加载配置文件
  • 然后再 --list-service 查看 work zone 的 services
  • 可以看到,多了 ftp 服务
  • 所以,如果想放行某个service,在zone配置文件里面加入这个service就可以放行了

© 著作权归作者所有

doomcat
粉丝 0
博文 27
码字总数 74340
作品 0
惠州
私信 提问
iptables规则备份恢复,firewalld的9个zone

10月29日任务 10.19 iptables规则备份和恢复 10.20 firewalld的9个zone 10.21 firewalld关于zone的操作 10.22 firewalld关于service的操作 linux防火墙-netfilter 保存和备份iptables规则 se...

zgxlinux
2018/10/29
52
0
33.iptables备份与恢复 firewalld的9个zone以及操作 service的操作

10.19 iptables规则备份和恢复 10.20 firewalld的9个zone 10.21 firewalld关于zone的操作 10.22 firewalld关于service的操作 10.19 iptables规则备份和恢复: ~1. 保存和备份iptables规则 ~2...

王鑫linux
2018/07/17
23
0
​七周五次课(5月10日)iptables规则备份和恢复、firewalld的9个zone、firewalld zone的操作、firewalld service的操作

10.19 iptables规则备份和恢复 service iptables save ,会把规则保存到 iptables 的配置文件中 /etc/sysconfig/iptables iptables -save > /tmp/ipt.txt 将规则保存到ipt.txt iptabls - res......

吕湘颖
2018/05/08
24
0
iptables规则备份和恢复 firewalld服务

10月29日任务 10.19 iptables规则备份和恢复 10.20 firewalld的9个zone 10.21 firewalld关于zone的操作 10.22 firewalld关于service的操作 iptables规则备份和恢复 iptables 备份 iptables 恢...

robertt15
2018/10/28
19
0
iptables规则备份恢复-firewalld关于zone和service

iptables规则备份恢复: service iptables save #把规则保存到/etc/sysconfig/iptables文件中 iptables-save > /tmp/my.ipt #把规则备份到my.ipt文件中 iptables-restore < /tmp/my.ipt #把m......

ZHENG-JY
2018/07/15
26
0

没有更多内容

加载失败,请刷新页面

加载更多

解答二进制求和

思路:创建一个新的字符串,用于记录原两个字符串每位相加的结果。 1、因为是从左到右计算,所以要把字符串先进行反转,用reverse()方法。 2、字符串对齐,采用补零的方法。 3、计算的时候...

无名氏的程序员
20分钟前
4
0
JSONUtils

package com.demo.utils;import java.util.ArrayList;import java.util.HashMap;import java.util.Iterator;import java.util.List;import java.util.Map;import java.util.Tr......

任梁荣
20分钟前
5
1
在jest中配置typescript

测试是报错: Property 'assign' does not exist on type 'ObjectConstructor' NodeJS已经是最新版了,但道理不需要polyfill。 然后发现是typescript的lib没有"es2015.core",说明ts-jest没有......

linsk1998
21分钟前
3
0
Redis实现分布式文件夹锁

缘起 最近做一个项目,类似某度云盘,另外附加定制功能,本人负责云盘相关功能实现,这个项目跟云盘不同的是,以项目为分配权限的单位,同一个项目及子目录所有有权限的用户可以同时操作所有...

逸竹小站
30分钟前
3
0
Andorid SQLite数据库开发基础教程(2)

Andorid SQLite数据库开发基础教程(2) 数据库生成方式 数据库的生成有两种方式,一种是使用数据库管理工具生成的数据库,我们将此类数据库称为预设数据库,另一种是使用代码生成的数据库。...

大学霸
50分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部