zoukankan      html  css  js  c++  java
  • FirewallD常用命令及设置

    对于CentOS/RHEL 7或Fedora 18以上版本的系统,要管理FirewallD服务,使用如下命令。
    启动FirewallD服务
    # systemctl firewalld start
    停止FirewallD服务
    # systemctl firewalld stop
    检查FirewallD服务的状态
    # systemctl status firewalld
    检查FirewallD服务的状态
    # firewall-cmd --state
    可能会返回running,表示正在运行。
    还可以禁用FirewallD服务,关闭那些规则。
    禁用FirewallD服务
    # systemctl disable firewalld
    启用FirewallD服务
    # systemctl enable firewalld
    屏蔽FirewallD服务
    # systemctl mask firewalld
    还可以通过创建一个firewall.service到/dev/null的符号连接来屏蔽防火墙服务。
    反屏蔽FirewallD服务
    # systemctl unmask firewalld
    这是反屏蔽FirewallD服务,它会移除屏蔽FirewallD服务时创建的符号链接,故能重新启用服务。
    检查是否已安装防火墙
    # yum install firewalld firewall-config
    1、iptables服务的基本操作
    在RHEL/CentOS 6/5/4系统和Fedora 12-18系统中,iptables是默认的防火墙,如果服务不存在,可以这样安装:
    # yum install iptables-services
    然后就可以对iptables服务进行启动、停止、重启等操作了。
    启动iptables服务
    # systemctl start iptables

    # service iptables start
    停止iptables服务
    # systemctl stop iptables

    # service iptables stop
    禁用iptables服务
    # systemctl disable iptables

    # service iptables save
    # service iptables stop
    启用iptables服务
    # systemctl enable iptables

    # service iptables start
    检查iptables服务的状态
    # systemctl status iptables

    # service iptables status
    在Ubuntu及其它Linux发行版中,ufw是用于管理iptables防火墙服务的工具。ufw提供了一个简易的界面让用户可以很方便的处理iptables防火墙服务。
    启用ufw iptables防火墙服务
    $ sudo ufw enable
    禁用ufw iptables防火墙服务
    $ sudo ufw disable
    检查ufw iptables防火墙服务的状态
    $ sudo ufw status
    但是,如果想列出iptables包含的所有规则链列表,应使用如下命令:
    $ iptables -L -n -v
    2、理解网络区
    在CentOS/RHEL 7系统中,基于用户对网络中设备和通信所给与的信任程度,防火墙可用于将网络划分成不同的区域,区域类型如下:
    drop(丢弃)
    任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接。
    block(限制)
    任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。
    public(公共)
    在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过选取的连接。
    external(外部)
    特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算机,不能相信它们不会对您的计算机造成危害,只能接收经过选择的连接。
    dmz(非军事区)
    用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接。
    work(工作)
    用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。
    home(家庭)
    用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。
    internal(内部)
    用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。
    trusted(信任)
    可接受所有的网络连接。
    对于区域的修改,可使用网络管理器NetworkManager搞定。
    3、理解直接接口
    FirewallD包含了一个名为直接接口(direct interface)的概念,意思是可以直接通过iptables、ip6tables和ebtables的规则。直接接口适用于应用程序,不适用于用户。如果不熟悉iptables,那么使用直接接口是很危险的,因为可能会导致防火墙被入侵。
    FirewallD保持对所增加规则项的追踪,所以能质询FirewallD,发现由使用直接端口模式的程序造成的更改。要使用直接端口,增加–direct选项到firewall-cmd命令来使用。
    4、改用iptables服务
    在CentOS/RHEL 7系统中,要用iptables和ip6tables服务代替FirewallD服务,需要以root身份运行以下命令,先禁用FirewallD:
    # systemctl disable firewalld
    # systemctl stop firewalld
    然后安装iptables-services程序包,以root身份输入以下命令:
    # yum install iptables-services
    iptables-services程序包包含了iptables和ip6tables服务。然后,以root身份运行iptables和ip6tables命令:
    # systemctl start iptables
    # systemctl start ip6tables
    # systemctl enable iptables
    # systemctl enable ip6tables
    5、启动图形化防火墙设置工具
    用命令行启动图形化防火墙配置工具,则以root用户身份输入以下命令:
    # firewall-config
    可以看到图形化界面

    当你觉得自己的想法很创新时,十有八九是知识面太窄。
  • 相关阅读:
    新冲刺Sprint3(第六天)
    新冲刺Sprint3(第五天)
    新冲刺Sprint3(第四天)
    应对Gradle联网问题、长时间卡在resolve dependencies的思路
    《点厨》项目——个人总结
    Sprint总结
    快速暴力解决Eclipse ADT和Android Studio兼容问题,创建同时兼容ADT和AS的安卓工程
    如何花样展示自己的摄影作品?强大的WebGL能力展示
    团队项目——《广商百货》演示(博客版)
    软件工程学期总结
  • 原文地址:https://www.cnblogs.com/flankershen/p/6477909.html
Copyright © 2011-2022 走看看