Linux系统-centos防火墙firewalld详解

Linux系统-centos7.6 防火墙firewalld详解

1 firewalld了解

CentOS 7.6默认的防火墙管理工具是firewalld,它取代了之前的iptables防火墙。firewalld属于典型的包过滤防火墙或称之为网络层防火墙,与iptables一样,都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter这一强大的网络过滤子系统(属于内核态)以实现包过滤防火墙功能。
  firewalld支持动态更新,同时支持IPv4和IPv6,可以通过字符管理工具(Firewall-cmd)和图形化管理工具(Firewall-config)进行管理。它还加入了“区域”(zone)的概念,将所有网络流量分为多个区域(zone),然后根据数据包的源IP地址或传入的网络接口条件等将流量传入相应区域,每个区域都定义了自己打开或者关闭的端口和服务列表。其中默认区域为public。
  firewalld基于区域,根据不同的区域来设置不同的规则,从而保证网络的安全。与硬件防火墙的设置相类似。
  此外,firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,这使得其成为动态的,允许创建、更改和删除规则,而无需在每次更改规则时重新启动防火墙守护程序。

2 firewalld相关命令

2.1 firewalld 启动,状态,开启

[root@zbx-server ~]# systemctl stop firewalld  #关闭防火墙
[root@zbx-server ~]# systemctl status firewalld #查看防火墙状态
[root@zbx-server ~]# systemctl start firewalld #开启防火墙

2.2 查看防火墙的配置

[root@zbx-server ~]# firewall-cmd --state
running
[root@zbx-server ~]# firewall-cmd --list-all
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: ssh dhcpv6-clientports: protocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules:

2.3开放和关闭防火墙端口

[root@zbx-server ~]# firewall-cmd --list-port  #查看防火墙端口
[root@zbx-server ~]# firewall-cmd --permanent --add-port=8080/tcp  #开放8080端口:--permanent 表示这个规则是永久的,即使重启系统也不会消失,如果你想要临时添加规则而不是永久的,可以去掉 --permanent 参数,这样规则只在当前会话中有效,
重启系统后会失效。;--add-port=80/tcp 表示添加一个允许TCP协议通过端口80的规则
success
[root@zbx-server ~]# firewall-cmd --list-ports  #查看防火墙端口,没有生效,需要重新加载--reload才能生效
[root@zbx-server ~]# firewall-cmd --reload  #--reload,需要重新加载才能生效
success
[root@zbx-server ~]# firewall-cmd --list-ports  #查看防火墙端口
8080/tcp
[root@zbx-server ~]# firewall-cmd --permanent --remove-port=8080/tcp #移除防火墙端口
success
[root@zbx-server ~]# firewall-cmd --reload  #重新加载防火墙,使配置生效
success
[root@zbx-server ~]# firewall-cmd --list-ports  #查看防火墙端口

2.4 放开某个端口段

[root@zbx-server ~]# firewall-cmd --permanent --zone=public --add-port=1000-2000/tcp
success
[root@zbx-server ~]# firewall-cmd --reload 
success
[root@zbx-server ~]# firewall-cmd --list-ports 
1000-2000/tcp

2.5 开放和禁止某个IP访问

开放IP:192.168.142.90
禁止IP:10.10.10.8

[root@zbx-server ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.142.90" accept'
success
[root@zbx-server ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="10.10.10.8" drop'
success
[root@zbx-server ~]# firewall-cmd --reload 
success
[root@zbx-server ~]# firewall-cmd --list-all
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: ssh dhcpv6-clientports: 1000-2000/tcpprotocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: rule family="ipv4" source address="192.168.142.90" acceptrule family="ipv4" source address="10.10.10.8" drop

移除以上规则

[root@zbx-server ~]# firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="192.168.142.90" accept'
success
[root@zbx-server ~]# firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="10.10.10.8" drop'
success
[root@zbx-server ~]# firewall-cmd --reload 
success
[root@zbx-server ~]# firewall-cmd --list-all
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: ssh dhcpv6-clientports: 1000-2000/tcpprotocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: [root@zbx-server ~]#

2.6 放开某个IP段的访问

[root@zbx-server ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=10.0.0.0/24 accept'
success
[root@zbx-server ~]# firewall-cmd --reload 
success
[root@zbx-server ~]# firewall-cmd --list-all
public (active)target: defaulticmp-block-inversion: nointerfaces: ens33sources: services: ssh dhcpv6-clientports: 1000-2000/tcpprotocols: masquerade: noforward-ports: source-ports: icmp-blocks: rich rules: rule family="ipv4" source address="10.0.0.0/24" accept
[root@zbx-server ~]#

2.7 放开某个IP的可访问某个端口

firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="192.168.142.90" port protocol="tcp" port="22" accept'

2.8 如设置未生效,可尝试直接编辑规则文件,删掉原来的设置规则,重新载入一下防火墙即可

vi /etc/firewalld/zones/public.xml

3 ssh登录限制IP

在/etc/hosts.allow中添加允许ssh登陆的ip或者网段
sshd:183.242.4.225:allow或 sshd:192.168.0.0/24:allow
(其中 192.168.0.16 是你要允许登陆 ssh 的 ip, 或者是一个网段 192.168.0.0/24)
在这里插入图片描述
在/etc/hosts.deny添加不允许ssh登陆的IP
sshd:ALL
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/15337.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Gitlab中如何进行仓库迁移

Gitlab中如何进行仓库迁移

需求:之前有一个自己维护的新仓库A,现在需要将这个仓库提交并覆盖另一个旧的仓库B,需要保留A中所有的commit信息。 1.方法一:将原有仓库A导出后再导入到新的仓库B中 适用场景:新的仓库B是一个待建仓库,相当…
阅读更多...
微信点餐系统小程序ssm+论文源码调试讲解

微信点餐系统小程序ssm+论文源码调试讲解

第4章 系统设计 一个成功设计的系统在内容上必定是丰富的,在系统外观或系统功能上必定是对用户友好的。所以为了提升系统的价值,吸引更多的访问者访问系统,以及让来访用户可以花费更多时间停留在系统上,则表明该系统设计得比较专…
阅读更多...
01单片机上电后没有正常运行怎么办

01单片机上电后没有正常运行怎么办

单片机上电后没有运转, 首先要检查什么? 1、单片机供电是否正常? &电路焊接检查 如果连最基本的供电都没有,其它都是空谈啊!检查电路断路了没有?短路了没有?电源合适吗?有没有虚焊? 拿起万用表之前,预想一下测量哪里?供电电压应该是多少?对PCB上电压测量点要…
阅读更多...
【Java基础】为什么不支持多重继承?方法重载和方法重写之间区别、Exception 和 Error 区别?

【Java基础】为什么不支持多重继承?方法重载和方法重写之间区别、Exception 和 Error 区别?

Hi~!这里是奋斗的明志,很荣幸您能阅读我的文章,诚请评论指点,欢迎欢迎 ~~ 🌱🌱个人主页:奋斗的明志 🌱🌱所属专栏:Java基础面经 📚本系列文章为个…
阅读更多...
c++ haru生成pdf输出饼图

c++ haru生成pdf输出饼图

#define PI 3.14159265358979323846 // 绘制饼图的函数 void draw_pie_chart(HPDF_Doc pdf, HPDF_Page page, float *data, int data_count, float x, float y, float radius) { float total 0; int i; // 计算数据总和 for (i 0; i < data_count; i) { tot…
阅读更多...
Linux 创建进程 fork()、vfork() 与进程管理

Linux 创建进程 fork()、vfork() 与进程管理

Linux 创建进程 fork、vfork、进程管理 一、Linux的0号、1号、2号进程二、Linux的进程标识三、fork() 函数1、基本概念2、函数特点3、用法以及应用场景&#xff08;1&#xff09;父子进程执行不同的代码&#xff08;2&#xff09;进程执行另一个程序 4、工作原理 四、vfork() 函…
阅读更多...
【漫话机器学习系列】082.岭回归(或脊回归)中的α值(alpha in ridge regression)

【漫话机器学习系列】082.岭回归(或脊回归)中的α值(alpha in ridge regression)

岭回归&#xff08;Ridge Regression&#xff09;中的 α 值 岭回归&#xff08;Ridge Regression&#xff09;是一种 带有 L2​ 正则化 的线性回归方法&#xff0c;用于处理多重共线性&#xff08;Multicollinearity&#xff09;问题&#xff0c;提高模型的泛化能力。其中&am…
阅读更多...
电脑重启后vscode快捷方式失效,找不到code.exe

电脑重启后vscode快捷方式失效,找不到code.exe

今天打开电脑发现vscode的快捷方式失效了&#xff0c;提示code.exe被删除或移动。 解决方法 查看vscode安装目录&#xff0c;发现多了一个_文件夹&#xff0c;包括code.exe在内的其他文件都被移动到了这个文件夹下。 将里面内容都移动到microsoft vs code文件夹下&#xff0c…
阅读更多...
[权限提升] Linux 提权 维持 — 系统错误配置提权 - Sudo 滥用提权

[权限提升] Linux 提权 维持 — 系统错误配置提权 - Sudo 滥用提权

关注这个专栏的其他相关笔记&#xff1a;[内网安全] 内网渗透 - 学习手册-CSDN博客 0x01&#xff1a;Sudo 滥用提权原理 Sudo 是一个 Linux 系统管理命令&#xff0c;它允许系统管理员授予普通用户以指定身份执行指定命令的权限。该命令不仅减少了 Root 用户的登录时间和管理时…
阅读更多...
激活函数篇 04 —— softmax函数

激活函数篇 04 —— softmax函数

将模型的输出转换为概率分布&#xff0c;使得模型能够输出每个类别的概率值。 Softmax ( a i ) e a i ∑ j 1 n e a j \text{Softmax}(a_i)\frac{e^{a_i}}{\sum_{j1}^n e^{a_j}} Softmax(ai​)∑j1n​eaj​eai​​ 其中&#xff0c; a i a_i ai​ 是输入向量中的第 i i i 个…
阅读更多...
【韩顺平linux】部分上课笔记整理

【韩顺平linux】部分上课笔记整理

整理一下一些韩顺平老师上课时候的笔记 课程&#xff1a;【小白入门 通俗易懂】韩顺平 一周学会Linux linux环境&#xff1a;使用阿里云服务器 笔记参考 &#xff1a; [学习笔记]2021韩顺平一周学会Linux 一、自定义函数 基本语法 应用实例&#xff1a; 计算两个参数的和…
阅读更多...
redis底层数据结构——简单动态字符串

redis底层数据结构——简单动态字符串

文章目录 概述什么时候用C里面的字符串什么时候使用SDS使用场景 SDS定义SDS与C语言的字符串差异常数时间复杂度获取字符串长度杜绝缓冲区溢出减少修改字符串时带来的内存重分配次数1.空间预分配2.情性空间释放 二进制安全兼容部分C字符串函数总结 开始讲述动态字符串前我们先问…
阅读更多...
使用 POI-TL 和 JFreeChart 动态生成 Word 报告

使用 POI-TL 和 JFreeChart 动态生成 Word 报告

文章目录 前言一、需求背景二、方案分析三、 POI-TL JFreeChart 实现3.1 Maven 依赖3.3 word模板设置3.2 实现代码 踩坑 前言 在开发过程中&#xff0c;我们经常需要生成包含动态数据和图表的 Word 报告。本文将介绍如何结合 POI-TL 和 JFreeChart&#xff0c;实现动态生成 W…
阅读更多...
VLLM历次会议(2024.1)

VLLM历次会议(2024.1)

Azure官宣支持VLLM VLLM支持AMD芯片 支持Mixtral MoE&#xff0c;支持DeepSeek MoE 性能优化 &#xff08;以下4招&#xff0c;总共将吞吐量提升50%&#xff0c;延迟降低40%&#xff09; 1. PageAttention V2 &#xff08;同一个Q&#xff0c;和不同的KV的计算&#xff0c…
阅读更多...
第一财经对话东土科技 | 探索工业科技新边界

第一财经对话东土科技 | 探索工业科技新边界

当前以ChatGPT、Sora等为代表的生成式人工智能快速发展&#xff0c;越来越多面向垂直场景的行业大模型涌现出来&#xff0c;并成为推动制造业智能化改造与数字化转型、加快推进新型工业化&#xff0c;进而培育发展新质生产力的新引擎。 在垂类场景的应用落地&#xff0c;是AI发…
阅读更多...
RabbitMq入门

RabbitMq入门

1.MQ的相关概念 1.1 什么是MQ MQ(message queue)&#xff0c;从字面意思上看&#xff0c;本质是个队列&#xff0c;FIFO先入先出&#xff0c;只不过队列中存放的内容是message而已&#xff0c;还是一种跨进程的通信机制&#xff0c;用于上下游传递消息。在互联网架构中&#xf…
阅读更多...
【报错解决】MySQL报错:sql_mode=only_full_group_by

【报错解决】MySQL报错:sql_mode=only_full_group_by

文章目录 报错信息 DataGrip 报错还原Navicat 报错还原 报错原因解决方案 查看当前 sql mode方案一&#xff1a;临时解决方案二&#xff1a;永久解决方案三&#xff1a;使用 any_value() 或 group_concat()方案四&#xff1a;调整实现思路&#xff0c;避开 GROUP BY 使用 我…
阅读更多...
postgresql 游标(cursor)的使用

postgresql 游标(cursor)的使用

概述 PostgreSQL游标可以封装查询并对其中每一行记录进行单独处理。当我们想对大量结果集进行分批处理时可以使用游标&#xff0c;因为一次性处理可能造成内存溢出。 另外我们可以定义函数返回游标类型变量&#xff0c;这是函数返回大数据集的有效方式&#xff0c;函数调用者…
阅读更多...
十二、Docker Compose 部署 SpringCloudAlibaba 微服务

十二、Docker Compose 部署 SpringCloudAlibaba 微服务

一、部署基础服务 0、项目部署结构 项目目录结构如下: /home/zhzl_hebei/ ├── docker-compose.yml └── geochance-auth/└── Dockerfile└── geochance-auth.jar └── geochance-system/└── Dockerfile└── geochance-system.jar └── geochance-gateway/…
阅读更多...
java项目之金华学校社团管理系统源码(ssm+mysql)

java项目之金华学校社团管理系统源码(ssm+mysql)

项目简介 金华学校社团管理系统实现了以下功能&#xff1a; 金华学校社团管理系统的主要使用者管理员对系统用户、公告信息进行管理。对社团信息进行管理&#xff0c;审核报名&#xff0c;统计社团报名结果等。学生维护个人信息&#xff0c;查看本校的社团信息&#xff0c;对…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023