RedHat分发时防火墙

推荐编辑

防火墙取代ibables为RHEL基础分发防火墙防火墙使用语法更方便用户本文章显示您如何确保防火墙运行并启动您的服务器靴并显示如何创建持久灵活的防火墙规则

注解华体会联盟hth红色HATQQQLLLML图像拉克空间网络中所有命令都使用防火墙

防火墙使用区间管理规则组区连接网络接口并判定哪个网络允许流量和哪个拒绝流量

如果您想在公共接口上建立严格防火墙,并在云网络接口上建立松散防火墙,则此功能可能有用熟悉防火墙预定义区有帮助防火墙有以下预定义区段,顺序从最不可信区到最可信区

防火墙使用时,创建规则并改变区域属性,然后将网络接口分配到最适合网络的区

默认时防火墙应启动并重开服务器并启动启动启动

很容易检查防火墙使用-- state标志显示在下示例中 :

server-server-sdo-cmd-state查找您的区域

防火墙不运行,您可以通过运行下列命令启动并启动它:

systemctl启动防火墙

运行下列命令可以看到当前哪个区默认区 :

$sudo防火墙-cmd-get-defa

可见网络哪些接口通过运行分配到哪些区
下命令 :

$sudo防火墙-cmd-get-active区

注解:默认分配所有网络接口公共区

并运行下列命令查找公共区相关规则:

sudo防火墙-cmd-list-

输出应像下例 :

公共界面(默认主动式) :ETS0eth1源码:服务:dhcpv6-client httpsssh端口:1025/tcp装饰:无前端ports:imp-blocks:

输出显示公共区默认并有eth0和eth1网络接口动态主机配置协议hcpv6客户SSH超文本传输协议安全HTTP交通许可,传送控制协议端口传输1025.

要获取可用区列表,运行下列命令:

sudo防火墙-cmd-get区

可使用区间接口在会话中移动--change-interface=和参数区间参数推理防火墙重开时,接口返回默认区

sudo防火墙-cmd-zone=内部-change-interface=eth

定义永久区接口打开配置文件
接口并添加下列行

.OONBOTYSZOME=内部

保存并关闭文件,并运行下列命令以重新启动网络和防火墙并强制修改产生效果:

systemctl重开网络

防火墙带预定义服务,使您仅添加服务,而非端口号协议类型举个例子,它们能允许网站而不是tcp移植80.

可使用下列命令获取服务列表:

sudo防火墙-cmd-get-services

后使用下示例命令添加服务

sudo防火墙-cmd-add-service

配置立即产生效果,但无法生存重启动为使这些类型服务配置在服务器重开时重新启动,你需要添加-- 常任参数推理我们建议你按序运行这两个命令,以便配置立即产生效果,服务也重新启动,如下例所示:

sudo防火墙-cmd-ad-service

获取防火墙预定义规则的额外细节/usr/lib/firewalld/services/目录阅读文件

富规则定义防火墙条件富规则最常用案例允许访问特定IP地址或IP地址范围以下命令允许从192.168.0.0网络上的任何IP访问TCP端口80并永久化规则

sudo防火墙-cmd-ad-iv4服务名service

富规则实例见费多拉维基.

创建规则时可创建自己的服务并引用文件/usr/lib/firewalld/services/目录最便捷方式拷贝现有任务.xml文件目录中,然后修改细节

下示例命令复制现有文件到新文件

[user@server ~]$ sudo cp /usr/lib/firewalld/services/http.xml /usr/lib/firewalld/services/myservice.xml

下命令打开新文件编辑

sudo vim/usr/lib/fireward/service/myserver.xml

文件长得像下例 :


            
            
             
              my service
             
             
              简单描述服务允许TCP端口1134应用

应用修改时使用下列命令并取文件名减.xml文件扩展名 :

sudo防火墙-cmd-ad-service=myservice

使用反馈标签做评论或提问可同时使用开始和我们对话.

更新约一个月前