20200813-Linux- CentOs防火墙基础使用

20200813-Linux- CentOs防火墙基础使用

八月 13, 2020

20200813-Linux- CentOs防火墙基础使用

Centos7 firewall

官方参考文档:

https://firewalld.org/documentation/

状态选项参数:

1
--state

检查firewalld守护程序是否处于活动状态(即正在运行)。如果处于活动状态,*RUNNING_BUT_FAILED则返回退出代码0;如果启动失败,则返回退出代码0 *NOT_RUNNING*。请参阅“退出代码”部分。这还将状态打印到STDOUT*。

1
--reload

重新加载防火墙规则并保留状态信息。当前的永久配置将成为新的运行时配置,即,如果所有运行时仅更改完成,直到重新加载丢失(如果它们也未处于永久配置中)。

注意:通过直接接口应用的运行时更改不会受到影响,因此将保留在原处,直到完全重新启动firewalld守护程序为止。

1
--complete-reload

完全重新加载防火墙,甚至是netfilter内核模块。这很可能会终止活动连接,因为状态信息会丢失。仅在严重的防火墙问题时才应使用此选项。例如,如果存在状态信息问题,则使用正确的防火墙规则无法建立连接。

注意:通过直接接口应用的运行时更改不会受到影响,因此将保留在原处,直到完全重新启动firewalld守护程序为止。

基本使用方法

放行端口:

firewall-cmd --permanent --add-port=80/tcp

  • –permannet #永久生效
  • –add-port #添加一个指定的端口和端口类型
  • 80/tcp #端口和端口类型

移除以开放的端口:

firewall-cmd --permanent --remove-port=80/tcp

  • –permannet #永久生效
  • –remove-port #移除一个指定的端口和端口类型
  • 80/tcp #端口和端口类型

查询开放端口:
` firewall-cmd –list-ports
image.png

丢弃icmp包(禁ping)

firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'

  • –add-rich-rule #建新一个富有规则(翻译来源百度参考与官方资料类iptables规则)
  • rule protocol value=icmp drop #规则协议值为丢弃icmp

参考资料:

https://firewalld.org/documentation/man-pages/firewall-cmd

https://zhuanlan.zhihu.com/p/23519454

https://www.computernetworkingnotes.com/rhce-study-guide/firewalld-rich-rules-explained-with-examples.html

测试:

默认规则时:

image.png

添加规则后:
image.png

image.png

Centos6 iptables

参考资料:

http://www.zsythink.net/archives/1199

http://www.netfilter.org/

禁止ping:

未启用规则前:

image.png

1
iptables -I INPUT -p icmp --icmp-type any -j DROP

启用规则后

image.png