浅谈linux系统firewalld防火墙常用策略(ipv6、ipv4)

最新推荐文章于 2025-06-03 16:57:30 发布
最新推荐文章于 2025-06-03 16:57:30 发布
阅读量7.2k 收藏 20
点赞数 2
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: linux bash 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43417559/article/details/128231552
本文提供CentOS7系统中firewalld防火墙的基本配置方法及常用命令,涵盖启动、规则管理、端口管理等功能,帮助读者快速掌握日常维护所需技能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  本文以CentOS7系统为例来讲述firewalld防火墙常用命令以及基础策略,主要记录博主日常维护系统常用防火墙命令操作,网络安全需求日益增长,需要大家共同努力维护绿色安全。

1.启动、开机自启防火墙并查看其运行状态

systemctl enable --now firewalld && systemctl status firewalld

在这里插入图片描述

2.查看所有规则

# prots:所开放、暴漏的端口(包括ipv4、ipv6)
# rich rules:自定义防火墙规则,灵活运用,非常的实用(可限制ipv4、ipv6、源地址等)
firewall-cmd  --list-all

在这里插入图片描述

3.永久添加、删除一个端口

# 添加
firewall-cmd --zone=public --add-port=3306/tcp --permanent && firewall-cmd --reload
# 删除
firewall-cmd --zone=public --remove-port=3306/tcp --permanent && firewall-cmd --reload
# 查看
firewall-cmd --zone=public --query-port=3306/tcp

4.查看所有已开端口

firewall-cmd  --list-ports

5.ipv4、ipv6双协议区分限制

# ipv4
# 默认是public域
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'
firewall-cmd --reload
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" port protocol="tcp" port="3306" accept'
firewall-cmd --reload

# ipv6
# 添加端口
firewall-cmd --permanent --add-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'
firewall-cmd --reload
# 删除端口
firewall-cmd --permanent --remove-rich-rule='rule family="ipv6" port protocol="tcp" port="3306" accept'
firewall-cmd --reload

# 查看已经设置的规则
firewall-cmd --zone=public --list-rich-rules

6.对ip段开放所有端口

# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="172.17.0.0/24" accept'
firewall-cmd --reload
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="172.17.0.0/24" accept'
firewall-cmd --reload

7.限制访问源、访问端口

# 限制具体ip
# 添加
firewall-cmd  --permanent --add-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"
firewall-cmd --reload
# 删除
firewall-cmd  --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.21.4" port protocol="tcp" port="3005-3007" accept"
firewall-cmd --reload

# 限制ip段
# 添加
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept' 
firewall-cmd --reload
# 删除
firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.254.0.0/16" accept' 
firewall-cmd --reload

8.信任docker、tunl0和calico卡(k8s常用)

# 需要注意的是如果使用了多个域例如trusted、public,加规则时需要加声明参数,否则会有提示
# 例如:--zone=public
firewall-cmd --permanent --zone=trusted --change-interface=docker0
firewall-cmd --permanent --zone=trusted --change-interface=tunl0 
firewall-cmd --permanent --zone=trusted --change-interface=calixxx
firewall-cmd --reload

# 查看信任网卡
firewall-cmd --zone=trusted --list-interfaces

9.清空所有规则

firewall-cmd --permanent --list-all | grep ports | head -n 1 | \
cut -d: -f2 | tr ' ' '\n' | xargs -I {} firewall-cmd --permanent --remove-port={}
firewall-cmd --reload
Linux防火墙策略
dzh1125641239的博客
02-28 5251
防火墙 防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙系统的第一道防线,其作用是防止非法用户的进入。 三大表五条链 ...
Linux安全防火墙(iptables)配置策略
qq_53058639的博客
06-01 2983
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
CentOS7 firewalld 原生ipv6转发ipv6
niugongni4046的博客
11-09 2372
Centos ipv6转发
Linux系统firewalld防火墙添加策略
最新发布
QAQqazwsx的博客
06-03 170
2、firewall-cmd - -zone=public - -add-port=22/tcp - -permanent #开启防火墙22端口。3、firewall-cmd --zone=public --remove-port=22/tcp --permanent #删除端口。1、firewall-cmd - -query-port=22/tcp #查看防火墙是否开启22端口。注释:192.168.211.135地址为所需访问的系统IP地址。
Linux防火墙策略
zhangzz1209的博客
02-13 1230
Linux防火墙策略
Firewalld防火墙策略详解
Iands。的博客
02-24 2393
一、Firewalld firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。 它支持IPv4IPv6防火墙设置以及以太网桥(在某些高级服务
8_Linux 系统中的防火墙策略优化
毕加索的忧伤
04-11 995
-------> 3、 iptables 的使用 火墙策略的永久保存 永久保存策略 4、火墙默认策略 默认策略中的5条链默认的3张表命令 数据包状态 表中的 5、firewalld 1. firewalld的开启 的开启 2. 关于firewalld的域 关于的域 3. 关于firewalld的设定原理及数据存储 关于的设定原理及数据存储 的管理命令 5. firewalld的高级规则 的高级规则 6. fi
浅谈简单使用CentOS7防火墙及开放端口
01-11
它支持IPv4IPv6防火墙设置,以太网桥和IP集。运行时和永久配置选项分开。它还为服务或应用程序提供了直接添加防火墙规则的接口。 既然是简单使用, 那必须教会你怎么查看防火墙状态, 以及防火墙的关闭和开启之类的...
要看就看最好,16万字全网最硬核redis总结,谁赞成,谁反对?(被粉丝疯狂催更,已有人反馈看完专栏拿到大厂offer!!!)
热门推荐
Java框架、并发编程、分布式、微服务、Redis、HarmonyOS、中间件等技术
10-10 1万+
被粉丝疯狂催更,已有人反馈看完专栏拿到大厂offer,非常适合应届毕业生和初中级工程师!!!
工作中常用到的Linux系统firewall防火墙策略
征服Bug的博客
07-27 3417
firewall简介firewall的作用是为包过滤机制提供匹配机制(策略),通过各种不同的规则,告诉netfilter对来自指定源,前往指定目的或具有某些协议特征的数据包采取何种处理方式。为了更加方便的组织和管理防火墙firewalld提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具,它支持IPv4IPv6防火墙设置以及以太网,并且拥有两种配置模式,运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。防火墙技术分为三类包过滤,应用代理,状态检测。...
Linuxfirewalld火墙策略
Rainable
03-25 405
1. 防火墙介绍 netfilter iptables iptables|firewalld 2. 火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld----->iptables 安装iptables dnf install iptables-services -y 停止firewalld systemctl sto...
linux防火墙,高级策略策略实例详解(实例一)
weixin_30877181的博客
09-08 128
双线服务器的控制问题: 要求:写出这个电信用户访问到双线web服务器时的IP变化过程(只写源IP,目标IP,和做SNAT还是DNAT等) 你觉得有没有问题? 实验环境: 精简一点可以使用下面的四台虚拟来做,并且要注意宿主机(真实机)不能在这里扮演角色,因为宿主机和任何虚拟机都是可以直接通的 下图中,电信客户端和网通客户端就没有使用去模拟路由器NAT,直接用一台虚拟机用两个网卡来模拟两...
基于Linux系统之iptables防火墙策略的实验
旺仔Sec&blog
08-19 984
iptables是Linux系统中的一个强大工具,用来设置、管理和查看防火墙规则。它可以帮助你控制网络流量,决定哪些数据包可以通过,哪些要被丢弃,哪些要转发到其他地方。
linux 防火墙 ipv6,LinuxIPv6防火墙的实现
weixin_35261385的博客
05-12 932
LinuxIPv6防火墙的实现ip6tables防火墙Linux2.4内核中的不同位置定义了三种过滤表:INPUT,OUTPUT和FORWARD。这(本文共1页)阅读全文>>在给五(3)班上"They sit around tables"这节内容时,我事先准备了一些图片,试图通过这些图片的对比,让学生了解中英学校...(本文共1页)阅读全文>>(Bimonthlysta...
linux防火墙策略
weixin_34234721的博客
05-16 271
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux关于防火墙操作命令
qq_39849423的博客
01-09 392
#Linux关于防火墙操作命令 ##一、防火墙相关指令 ###查看防火墙状态 systemctl status firewalld ###开启防火墙 systemctl start firewalld ###关闭防火墙 systemctl stop firewalld ###重启防火墙 firewall-cmd --reload ##二、端口开放相关命令 ###查看已经开放的端口 firewall...
Linux中的iptables和firewalld
weixin_53496421的博客
03-23 248
文章目录Firewalld概述firewalld与iptables 的区别firewalld 区域的概念区域管理服务管理端口管理 Firewalld概述 firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙 firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。 firewalld提供了支持网络
linux中怎么在firewalld防火墙添加策略让nfs-server服务能通过
03-18
<think>好的,我现在需要帮助用户在Linux系统中配置firewalld防火墙以允许NFS服务器正常工作。根据用户提供的引用内容,我需要整合相关信息,并确保步骤正确。 首先,用户已经引用了四个相关的资料,其中引用1、2、3和4提到了安装NFS服务、配置共享目录以及firewalld的基本知识。特别是引用1和3详细说明了NFS服务端和客户端的安装步骤,以及防火墙端口的开放方法。引用4则解释了firewalld的工作原理,说明它和iptables一样基于netfilter,但管理方式不同。 接下来,我需要确定在firewalld中允许NFS服务需要开放哪些服务或端口。根据引用1,开放NFS相关端口包括nfs、mountd、rpc-bind这三个服务。而引用3提到安装NFS服务时的步骤,但没有具体说明防火墙配置,但引用1补充了这部分,需要添加这些服务并重新加载防火墙。 步骤应该是这样的:首先安装NFS服务端工具,然后配置共享目录,接着在firewalld中添加对应的服务,最后重新加载防火墙规则。同时,客户端需要安装NFS客户端工具,并挂载共享目录。此外,可能需要启用并启动NFS相关服务,如nfs-server和rpcbind。 需要检查是否有遗漏的步骤,例如是否需要永久添加防火墙规则(使用--permanent参数),以及配置共享目录后的导出操作(exportfs -arv)。引用3中提到的配置共享目录后需要执行exportfs命令,这也是关键的一步。 另外,用户可能会遇到的常见问题包括防火墙规则未正确加载,或者NFS服务未启动,导致客户端无法连接。因此,在回答中需要强调这些步骤,并提醒用户检查服务状态和规则是否生效。 最后,生成相关问题时要围绕NFS配置和防火墙设置,例如如何测试NFS连接、排除故障的方法,或者防火墙的其他相关服务配置。 总结步骤: 1. 安装NFS服务端工具。 2. 配置共享目录和导出设置。 3. 添加firewalld服务(nfs、mountd、rpc-bind)。 4. 重新加载防火墙并重启相关服务。 5. 客户端安装工具并挂载目录。 6. 验证连接。 确保每个步骤都参考了正确的引用,并在需要的地方添加引用标识。</think>### 分步配置指南 #### 1. **安装NFS服务端工具** 根据系统类型选择安装命令: - **CentOS/RHEL**: ```bash sudo yum install nfs-utils -y ``` - **Debian/Ubuntu**: ```bash sudo apt update && sudo apt install nfs-kernel-server -y ``` #### 2. **配置NFS共享目录** - **创建共享目录**: ```bash sudo mkdir /shared_directory sudo chmod 777 /shared_directory # 按需设置权限 ``` - **编辑导出配置文件**: 修改 `/etc/exports`,添加规则(例如允许所有客户端访问): ```bash /shared_directory *(rw,sync,no_root_squash) ``` - **应用配置**: ```bash sudo exportfs -arv # 重新导出共享目录[^3] ``` #### 3. **配置firewalld开放NFS服务** - **添加NFS相关服务**: ```bash sudo firewall-cmd --permanent --add-service=nfs # 开放NFS主服务端口(2049) sudo firewall-cmd --permanent --add-service=mountd # 开放文件挂载管理端口 sudo firewall-cmd --permanent --add-service=rpc-bind # 开放RPC绑定端口(111) ``` - **重新加载防火墙**: ```bash sudo firewall-cmd --reload # 使规则生效[^2] ``` #### 4. **启动并启用NFS相关服务** - **启动服务**: ```bash sudo systemctl start nfs-server rpcbind sudo systemctl enable nfs-server rpcbind # 设置开机自启 ``` #### 5. **客户端配置** - **安装NFS客户端工具**: - CentOS/RHEL:`sudo yum install nfs-utils -y` - Debian/Ubuntu:`sudo apt install nfs-common -y` - **挂载共享目录**: ```bash sudo mount -t nfs <服务器IP>:/shared_directory /本地挂载点 ``` #### 6. **验证配置** - **查看防火墙规则**: ```bash sudo firewall-cmd --list-all # 确认nfs、mountd、rpc-bind已允许[^4] ``` - **测试客户端访问**: ```bash df -h # 检查挂载是否成功 touch /本地挂载点/testfile # 测试写入权限 ``` --- ### 关键注意事项 - **端口范围**:NFS依赖动态端口(如`rpc.mountd`),若防火墙严格限制,需额外固定端口并开放[^1]。 - **权限问题**:确保共享目录的权限(`/etc/exports`中的配置)与文件系统权限匹配。 - **服务依赖**:NFS需要`rpcbind`服务支持,启动时需同时激活。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cs阿坤dn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值