Linux防火牆基礎部分Firewalld防火牆(小白入門級別)
1.兩大防火牆工具
2.firewalld的特點
3.firewalld與iptables的主要區別
4.firewalld不同區域
5.三種配置方法
防火牆基礎案例
禁止Ping防火牆規則
允許SSH登入規則
允許apache流量規則
作為一名系統管理員或開發者,你是否曾經被 Linux 防火牆配置搞得頭大?在生產環境中,我們經常需要配置防火牆來保護伺服器安全,但面對 iptables 和 firewalld 這兩個工具,很多人都會覺得無從下手。別擔心!這篇文章將用通俗易懂的方式,帶你瞭解 CentOS 中的防火牆配置,並透過一個實際案例,手把手教你如何正確設定防火牆規則。
1.兩大防火牆工具
-
• firewalld:CentOS 7及以後版本的預設防火牆管理工具 -
• iptables:傳統的Linux防火牆管理工具
2.firewalld的特點
-
• 動態管理防火牆 -
• 支援網路/防火牆區域(zone)定義網路連線及介面的可信等級 -
• 執行時配置和永久配置分離 -
• 支援IPv4、IPv6 -
• 支援乙太網橋接
3.firewalld與iptables的主要區別
-
• firewalld: -
• -
• 動態配置,無需重啟服務 -
• 支援動態更改規則 -
• 使用區域(zone)管理規則
配置檔案存放地址:
/etc/firewalld/ # 系統配置檔案目錄/usr/lib/firewalld/ # 預設配置檔案目錄注意:
-
1. /etc/firewalld/:優先順序高,使用者配置目錄 -
2. /usr/lib/firewalld/:優先順序低,預設配置目錄
-
• -
• 系統升級時會覆蓋此目錄 -
• 建議在 /etc/firewalld/下修改配置 -
• iptables service: -
• -
• 靜態配置,規則修改後需重啟服務 -
• 規則修改需要先清除舊規則 -
• 使用鏈(chain)管理規則
配置檔案存放地址:
`/etc/sysconfig/iptables # 規則配置檔案`4.firewalld不同區域
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5.三種配置方法
-
• firewall-config 圖形工具。 -
• firewall-cmd 命令列工具。 -
• /etc/firewalld/中的配置檔案。
圖形化不過多解釋 需要的話你搜其他文章
防火牆基礎案例
+-------------+ +-------------+ +-------------+| Client | | Firewall | | Apache ||192.168.14.112| |192.168.14.111| |Linux 伺服器 |+-------------+ +-------------+ +-------------+ | | | | | | +--------------------+--------------------+-
1. 禁止主機 ping 伺服器 -
2. 只允許 192.168.8.130 主機訪問 SSH 服務 -
3. 允許所有主機訪問 Apache 服務
伺服器配置
ip地址是192.168.14.111
yum install -y httpd[root@localhost ~]# echo 2024-12-3 > /var/www/html/index.html[root@localhost ~]# systemctl start httpd[root@localhost ~]# curl 127.0.0.12024-12-3配置完成apache服務之後
客戶端是可以ping的
禁止Ping防火牆規則
# 啟動 firewalld 並設定為開機自啟動systemctl start firewalldsystemctl enable firewalld# 禁止 ping 伺服器firewall-cmd --zone=public --add-icmp-block=echo-request --permanentfirewall-cmd --reload# 驗證配置firewall-cmd --list-all客戶端測試
允許SSH登入規則
# 移除預設區域的 SSH 服務firewall-cmd --zone=public --remove-service=ssh --permanent# 只允許 192.168.8.130 主機訪問 SSH 服務firewall-cmd --zone=work --add-source=192.168.14.112 --permanentfirewall-cmd --zone=work --add-service=ssh --permanentfirewall-cmd --reload# 驗證配置firewall-cmd --list-all客戶端測試
其他ip的主機遠端是拒絕了 因為只有 192.168.14.112可以遠端
192.168.14.112 主機可以遠端訪問
允許apache流量規則
# 允許所有主機訪問 Apache 服務firewall-cmd --zone=public --add-service=http --permanentfirewall-cmd --zone=public --add-service=https --permanentfirewall-cmd --reload# 驗證配置firewall-cmd --list-all客戶端測試
為開放apache的流量之前
[root@localhost ~]# curl 192.168.14.111curl: (7) Failed connect to 192.168.14.111:80; 沒有到主機的路由開放之後 所有的主機均可以訪問的
[root@localhost ~]# curl 192.168.14.1112024-12-3總結
透過這篇文章,我們不僅學習了 firewalld 和 iptables 的基本概念,更重要的是透過一個實際的案例,展示瞭如何:
-
1. 輕鬆配置防火牆規則來阻止 ping 請求 -
2. 限制特定 IP 地址的 SSH 訪問,提高伺服器安全性 -
3. 開放 HTTP 服務,讓網站正常對外提供服務
記住,防火牆配置不是一成不變的,你可以根據實際需求隨時調整規則。最重要的是理解每個配置背後的原理,這樣才能靈活應對各種場景。希望這篇文章能幫助你在實際工作中少走彎路,輕鬆搞定防火牆配置!
成功的路上沒有捷徑,只有不斷的努力與堅持。如果你和我一樣,堅信努力會帶來回報,請關注我,點個贊,一起迎接更加美好的明天!你的支援是我繼續前行的動力!"
"每一次創作都是一次學習的過程,文章中若有不足之處,還請大家多多包容。你的關注和點贊是對我最大的支援,也歡迎大家提出寶貴的意見和建議,讓我不斷進步。"
神秘泣男子
連結:https://blog.csdn.net/jxjdhdnd/article/details/146496275?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522e9f7031ae3ea8a46c4c37a63d054ba20%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=e9f7031ae3ea8a46c4c37a63d054ba20&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_ecpm_v1~hot_rank-2-146496275-null-null.142^v102^pc_search_result_base6&utm_term=linux%E9%98%B2%E7%81%AB%E5%A2%99&spm=1018.2226.3001.4187
(版權歸原作者所有,侵刪)
文末福利
就目前來說,傳統運維衝擊年薪30W+的轉型方向就是SRE&DevOps崗位。
為了幫助大家早日擺脫繁瑣的基層運維工作,給大家整理了一套高階運維工程師必備技能資料包,內容有多詳實豐富看下圖!
共有 20 個模組
······
以上所有資料獲取請掃碼
備註:最新運維資料
100%免費領取
(後臺不再回復,掃碼一鍵領取)
