龙空技术网

一文读懂Firewalld的配置规则

业祥运维室 63

前言:

今天大家对“如何把软件添加到信任区域”大体比较关注,同学们都想要学习一些“如何把软件添加到信任区域”的相关文章。那么小编同时在网摘上汇集了一些关于“如何把软件添加到信任区域””的相关资讯,希望我们能喜欢,各位老铁们一起来学习一下吧!

Firewalld是Linux系统上的一款动态防火墙管理工具。它以服务为单位,具有灵活的配置选项,可用于管理网络流量的安全性。Firewalld提供了一个图形化的界面,使得配置和管理防火墙规则变得更加简单。下面是一些关于Firewalld概念和实际配置案例的详细介绍。

Firewalld的区域概念:

    Firewalld的主要概念是“zones”(区域)和“services”(服务)。“区域”定义了系统上的不同网络环境,并允许将不同的规则应用于不同的区域。例如,可能有一个“公共”区域用于外部网络,一个“内部”区域用于受信任的内部网络,以及一个“DMZ”区域用于服务器。

    fiewwall-config可以看到九个区域

trusted(信任区域) 允许所有的传入流量。 

public(公共区域) 允许ssh或dhcpv6-client服务匹配的传入流量,其余均拒绝。为默认区域。 

external(外部区域) 允许ssh服务匹配的传入流量其余均拒绝。 

home(家庭区域) 允许ssh、mdns、samba-client、dhcpv6-client服务匹配的传入流量,其余拒绝。 

internal(内部区域) 默认值与home区域相同。

work(工作区域) 允许ssh、dhcpv6-client服务匹配的传入流量,其余拒绝 dmz(非军事区域) 允许ssh服务匹配的传入流量,其余拒绝。

block(限制区域) 拒绝所有传入流量。

drop(丢弃区域) 丢弃所有传入流量,并且不产生包含icmp的错误响应。

firewalld 服务概念

服务则定义了特定的网络服务或应用程序,例如SSH、http等。

下面看Firewalld的配置案例:

以下是一个典型的Firewalld配置案例,其中包含了配置不同区域和服务的示例规则:

1. 配置区域:

首先,我们需要定义并配置各个区域。我们可以使用以下命令来创建和配置一个名为"public"的区域:

sudo firewall-cmd --permanent --zone=public --add-interface=eth0  

sudo firewall-cmd --permanent --zone=public --set-target=ACCEPT

以上命令中,创建了一个名为"public"的新区域,并将eth0网卡添加到该区域中。最后,将区域的默认目标设置为ACCEPT,表示默认情况下允许所有入站和出站流量。

2. 配置服务:

接下来,我们可以定义一些常见的服务,并将其与特定的区域关联。例如,我们可以配置SSH服务允许在"public"区域中访问:

 $ sudo firewall-cmd --permanent --zone=public --add-service=ssh

这将允许传入ssh连接到系统的"public"区域。

3. 配置端口:

除了服务,我们还可以配置特定的端口允许流量通过。例如,我们可以允许HTTP流量通过端口80:

$ sudo firewall-cmd --permanent --zone=public --add-port=80/tcp

4. 应用规则:

最后,我们需要应用我们的规则更改:

$ sudo firewall-cmd --reload

这将重新加载Firewalld的配置,并应用我们之前定义的规则。

Firewalld临时配置,实时生效,不会中断现有连接,重启后丢失。--permanent 参数 设置成永久生效,需要重启服务或重新加载后才生效。

通过上述案例,我们可以看到Firewalld的使用方法和配置选项。它提供了灵活的方式来管理防火墙规则,可以根据特定的网络环境和需求进行定制。。

总结:Firewalld是一款强大的动态防火墙管理工具,它通过“区域”和“服务”的概念提供了灵活的配置选项。我们可以根据实际需要定义和配置不同的区域和服务,并且可以通过端口或其他规则来进一步细化配置。

标签: #如何把软件添加到信任区域 #如何把软件添加到信任区域里