零基础从头教学Linux(Day 32)

最新推荐文章于 2025-09-11 22:47:27 发布
原创 最新推荐文章于 2025-09-11 22:47:27 发布 · 858 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器 #防火墙

Linux防火墙-Firewalld

一、 概述

按表现形式划分:

软件防火墙: 集成在系统内部,Linux系统: iptablesfirewalldufw windows系统下:
windows defender
硬件防火墙: 华为防火墙、思科防火墙、奇安信防火墙、深信服防火墙等

按技术划分:

包过滤防火墙: 检查数据包的源IP、目的IP、源端口、目的端口、TCPsyn控制位
七层防火墙: 除了上述检查外,还会检查数据内容

防火墙的作用:

阻止来自网络外部的攻击、进行流量控制

二、 Linux防火墙

防火墙结构

用户态:

iptables使用iptables命令对防火墙规则进行管理,必须深度理解网络技术和四表五链,对
于初学者或者网络技术不达标的人员不友好
firewalld使用firewall-cmd命令对防火墙进行管理,采用的是区域划分的形式。不需要连接
底层的四表五链,对于初学者比较友好
ufw使用ufw命令对防火墙进行管理,命令简单易懂。

内核态:

四表: 从内核->用户的顺序: raw -> mangle -> nat -> filter
五链: inputoutputforwardpreroutingpostrouting

firewalld防火墙

区域分类

九大区域: blockdmzdropexternalhomeinternalpublictrustedwork
区域功能:

public 公共区域,默认区域

public (active)
target: default #区域类型规则
icmp-block-inversion: no
interfaces: ens33 #属于该区域的接口
sources: #来源
services: dhcpv6-client ssh #放行服务的名称
ports: #放行端口号
protocols: #放行协议
masquerade: no #NAT地址转换
forward-ports: #转发端口
source-ports: #源端口
icmp-blocks: #ICMP的阻塞类型,ping的阻塞
rich rules: #富规则

home: 家庭区域

home
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client mdns samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

work: 工作区域

work
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

trusted: 完全信任区域

trusted
target: ACCEPT #不采用默认规则,放行一切
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

internal: 内部区域 (连接内部网络)

internal
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client mdns samba-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

external: 外部区域 (连接外部网络,例如: internet网络)

ternal
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh
ports:
protocols:
masquerade: yes #默认进行NAT地址转换
forward-ports:
source-ports:
icmp-blocks:
rich rules:

dmz: 非军事化管理区域(内部的服务器放于该区域)

dmz
target: default
icmp-block-inversion: no
interfaces:
sources:
services: ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

drop: 丢弃区域 (丢弃一切流量,不给出任何回应)

drop
target: DROP
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

block: 阻塞区域 (拒绝任何流量,但给出回应)

block
target: %%REJECT%%
icmp-block-inversion: no
interfaces:
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

firewall-cmd命令用法

关键字:

--list-*
--get-*
--set-*
--add-*
--remove-*
--change-*
--zone=
命令分类:
查看: 
#查看所有区域的详细信息
[root@localhost ~]# firewall-cmd --list-all-zones
#查看指定区域的详细信息
[root@localhost ~]# firewall-cmd --list-all --zone=public
#查看指定区域的放行服务
[root@localhost ~]# firewall-cmd --list-services --zone=public
#查看指定区域的放行端口
[root@localhost ~]# firewall-cmd --list-ports --zone=public
#查看指定区域包含的网络接口
[root@localhost ~]# firewall-cmd --list-interfaces --zone=public
#查看指定区域的放心协议
[root@localhost ~]# firewall-cmd --list-protocols --zone=public
#查看指定区域的ICMP阻塞类型
[root@localhost ~]# firewall-cmd --list-icmp-blocks --zone=public
#查看指定区域的放行源地址
[root@localhost ~]# firewall-cmd --list-sources --zone=public
#查看指定区域的源端口
[root@localhost ~]# firewall-cmd --list-source-ports --zone=public
#查看指定区域的富规则
[root@localhost ~]# firewall-cmd --list-rich-rules --zone=public
#查看指定区域的转发端口
[root@localhost ~]# firewall-cmd --list-forward-ports --zone=public
#查看firewalld支持的服务类型
[root@localhost ~]# firewall-cmd --get-services
#查看firewalld的默认区域
[root@localhost ~]# firewall-cmd --get-default-zone
#查看firewalld支持的ICMP的阻塞类型
[root@localhost ~]# firewall-cmd --get-icmptypes
#查看firewalld所有的活动区域
[root@localhost ~]# firewall-cmd --get-active-zones
#查看指定网络接口所属区域
[root@localhost ~]# firewall-cmd --get-zone-of-interface=ens33
#查看所有区域名称
[root@localhost ~]# firewall-cmd --get-zones
添加: 
#添加指定服务到指定区域
[root@localhost ~]# firewall-cmd --add-service=http --zone=public
success
#添加端口到指定区域
[root@localhost ~]# firewall-cmd --add-port=80/tcp --zone=public
success
#添加指定协议到指定区域
[root@localhost ~]# firewall-cmd --add-protocol=ah --zone=public
success
#添加ICMP阻塞类型到指定区域
[root@localhost ~]# firewall-cmd --add-icmp-block=echo-request --zone=public
success
#windows端验证
C:\Users\zzh>ping 192.168.115.129
正在 Ping 192.168.115.129 具有 32 字节的数据:
来自 192.168.115.129 的回复: 无法访问目标主机。
来自 192.168.115.129 的回复: 无法访问目标主机。
来自 192.168.115.129 的回复: 无法访问目标主机。
#添加指定网络接口到指定区域
[root@localhost ~]# firewall-cmd --add-interface=ens33 --zone=work
success
#添加指定区域的放行源地址
[root@localhost ~]# firewall-cmd --add-source=192.168.1.0/24 --zone=work
success
#添加指定区域的放行源端口
[root@localhost ~]# firewall-cmd --add-source-port=999/tcp --zone=work
success
#添加转发端口到指定区域
[root@localhost ~]# firewall-cmd --add-forwardport=port=8080:proto=tcp:toport=80:toaddr=192.168.115.115 --zone=work
success
#添加地址转换功能到指定区域
[root@localhost ~]# firewall-cmd --add-masquerade --zone=work
success
#验证添加
[root@localhost ~]# firewall-cmd --list-all --zone=public
修改: 
#修改默认区域
[root@localhost ~]# firewall-cmd --set-default-zone=work
success
#修改网络接口所属区域
[root@localhost ~]# firewall-cmd --change-interface=ens33 --zone=internal
success
[root@localhost ~]# firewall-cmd --change-zone=ens33 --zone=external
success
#追加指定区域的放行源地址
[root@localhost ~]# firewall-cmd --change-source=192.168.2.0/24 --zone=work
success
删除: 
#删除指定服务到指定区域
[root@localhost ~]# firewall-cmd --remove-service=http --zone=public
success
#删除端口到指定区域
[root@localhost ~]# firewall-cmd --remove-port=80/tcp --zone=public
success
#删除指定协议到指定区域
[root@localhost ~]# firewall-cmd --remove-protocol=ah --zone=public
success
#删除ICMP阻塞类型到指定区域
[root@localhost ~]# firewall-cmd --remove-icmp-block=echo-request --
zone=public
success
#删除指定网络接口到指定区域
[root@localhost ~]# firewall-cmd --remove-interface=ens33 --zone=work
success
#删除指定区域的放行源地址
[root@localhost ~]# firewall-cmd --remove-source=192.168.1.0/24 --zone=work
success
#删除指定区域的放行源端口
[root@localhost ~]# firewall-cmd --remove-source-port=999/tcp --zone=work
success
#删除转发端口到指定区域
[root@localhost ~]# firewall-cmd --remove-forwardport=port=8080:proto=tcp:toport=80:toremover=192.168.115.115 --zone=work
success
#删除地址转换功能到指定区域
[root@localhost ~]# firewall-cmd --remove-masquerade --zone=work
success
#验证删除
[root@localhost ~]# firewall-cmd --list-all --zone=public
保存规则: 
#逐行规则保存
[root@localhost ~]# firewall-cmd --remove-masquerade --zone=work --permanent
#一次性保存所有规则
[root@localhost zones]# firewall-cmd --runtime-to-permanent
success
#保存的规则存储路径
/etc/firewalld/zones
案例:
禁止外部主机ping本机 
#本机IP:192.168.115.129 ens33 NAT
#外部IP:192.168.115.128
#防火墙配置
[root@localhost ~]# firewall-cmd --add-interface=ens33 --zone=work
success
[root@localhost ~]# firewall-cmd --add-icmp-block=echo-request --zone=work
success
#验证
[root@localhost ~]# ping -c 4 192.168.115.129
PING 192.168.115.129 (192.168.115.129) 56(84) bytes of data.
From 192.168.115.129 icmp_seq=1 Destination Host Prohibited
From 192.168.115.129 icmp_seq=2 Destination Host Prohibited
From 192.168.115.129 icmp_seq=3 Destination Host Prohibited
From 192.168.115.129 icmp_seq=4 Destination Host Prohibited
--- 192.168.115.129 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3001ms
允许外部主机访问本机的http服务 
#本机IP:192.168.80.128 ens34 vmnet3
#外部IP:192.168.80.129
#######环境配置 开始#########
##本机安装httpd服务
#改变SElinux的规则
[root@localhost ~]# setenforce 0
[root@localhost ~]# yum install -y httpd
##启动httpd服务
[root@localhost ~]# systemctl start httpd
##修改httpd服务的监听IP
[root@localhost ~]# vim /etc/httpd/conf/httpd.conf
Listen 192.168.80.128:80
##重启httpd服务
[root@localhost ~]# systemctl restart httpd
##验证服务监听状态
[root@localhost ~]# netstat -naptu | grep :80
tcp 0 0 192.168.80.128:80 0.0.0.0:* LISTEN
5884/httpd
#######环境配置 结束#########
#防火墙配置
[root@localhost ~]# firewall-cmd --change-interface=ens34 --zone=dmz
success
##客户端验证访问##
[root@localhost ~]# curl 192.168.80.128
curl: (7) Failed connect to 192.168.80.128:80; 拒绝连接
##发现无法访问###
#服务端查看dmz区域信息
[root@localhost ~]# firewall-cmd --list-all --zone=dmz
dmz (active)
target: default
icmp-block-inversion: no
interfaces: ens34
sources:
services: ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
#发现没有放心http服务
#配置dmz区域http服务放行策略
[root@localhost ~]# firewall-cmd --add-service=http --zone=dmz
success
dmz (active)
target: default
icmp-block-inversion: no
interfaces: ens34
sources:
services: http ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
允许外部主机访问本机的某个端口号 
#前置环境如上
#防火墙配置
[root@localhost ~]# firewall-cmd --add-port=801/tcp --zone=dmz
success
#放行服务的本质实际上是放行了该服务的默认端口号!!!
#假如服务改变了监听端口号,只需放行对应的端口号即可!!!
#客户端验证
[root@localhost ~]# curl 192.168.80.128:801

小白银子
关注
Redis框架从入门到学精(全)
码农研究僧的博客
07-02 2万+
目录前言1.NoSQL2.Redis2.1 软件安装数据类型 前言 解决功能新问题:JAVA jsp rdsms tomcat html linux jdbc svn 解决发展性问题:strtus spring springmvc hibernate mybatis 解决性能问题:NOSQL java 线程 hadoop nginx mq elasticsearch 1.NoSQL NoSQL特点 非关系型数据库,不依赖业务逻辑数据库存储,以简单key-value存储 适用于 ~高并发读写 ~海量数据读
Python数据分析_day_1
AGI爱好者_数仓&可视化&数据分析工程师_Vae’伯乐‘
12-24 792
Python作为当下最为流行的编程语言之一可以独立完成数据分析的各种任务数据分析领域里有海量开源库机器学习/深度学习领域最热门的编程语言在爬虫,Web开发等领域均有应用与Excel,PowerBI,Tableau等软件比较Excel有百万行数据限制PowerBI ,Tableau在处理大数据的时候速度相对较慢Excel,Power BI 和Tableau 需要付费购买授权Python功能远比Excel,PowerBI,Tableau等软件强大。
零基础从头教学LinuxDay 25)
xiaobaiyinzi的博客
09-01 1188
Shell支持整数运算(let、$[]、$(())、expr、declare、bc)和浮点数计算(bc工具)。逻辑运算包括与、或、非、异或及短路运算。条件测试语法含test、[]、[[]]、(())四种,区别在于功能扩展和兼容性。测试类型涵盖文件(-f、-d)、字符串(=、!=)、整数(-eq、-ne)等,并支持变量测试和组合条件(-a、-o或&&、||)。实用示例包括磁盘监控、密码校验和菜单选择。read命令支持输入读取、超时(-t)和密码隐藏(-s)。全文系统讲解基础与进阶应用,适合Shell学习者参考
零基础从头教学LinuxDay 22)
xiaobaiyinzi的博客
08-28 1314
本文介绍了Linux系统中的进程管理命令和使用方法。主要内容包括:1. 进程查看命令:pstree查看进程树关系,ps显示进程瞬间状态,top/htop动态监控进程;2. 进程管理命令:kill通过PID终止进程,pkill/killall按进程名终止;3. 进程类型:前台进程占用终端,后台进程持续运行。详细解析了各命令参数、输出字段含义及常见进程状态(如R运行、S休眠、Z僵尸进程等),并提供了进程优先级调整、查找特定进程等实用技巧。
零基础从头教学LinuxDay 24)
xiaobaiyinzi的博客
08-30 1130
本文详细介绍了Shell脚本编程中的变量用法,包括变量类型、命名规则、定义与引用方式、作用域等核心概念。主要内容涵盖:1. 变量分类(内置变量、用户变量、预定义变量等)及其数据类型;2. 变量命名规范与命名法则;3. 普通变量与环境变量的作用域差异;4. 位置变量和特殊变量($0、$*、$@等)的使用;5. 退出状态码变量$?的应用;6. 命令行展开顺序与防止扩展的方法;7. set命令对脚本安全的控制。通过具体实例演示了变量赋值、引用、环境变量传递等操作,并对比了弱引用与强引用的区别。
零基础从头教学LinuxDay 8)
xiaobaiyinzi的博客
08-08 1539
Linux系统权限管理分为普通权限和特殊权限。普通权限通过r/w/x控制用户(u)、组(g)、其他(o)的访问,使用chmod、chown、umask命令管理。特殊权限包括SUID(临时提权,如passwd命令)、SGID(继承属组)和SBIT(防误删),实现更精细的权限控制。ACL机制通过setfacl/getfacl命令支持单个用户/组的权限设置。全文通过命令行示例详细讲解权限管理的核心概念和操作技巧。
零基础从头教学LinuxDay 26)
xiaobaiyinzi的博客
09-02 896
Shell字符串详解:Shell字符串可由单引号、双引号或不加引号表示,三种方式在处理变量和特殊字符时有差异。单引号字符串原样输出,双引号会解析变量,不加引号则不能包含空格。字符串操作包括拼接(直接并列变量)、截取(${string:start:length}从左右计数)和格式化输出(printf命令)。截取方式包括位置截取和字符匹配截取(使用#/%符号)。Shell配置文件分为全局(/etc/)和个人(~/)两类,按登录方式(交互式/非交互式)加载不同配置,主要功能包括环境变量定义和命令别名设置。
零基础从头教学LinuxDay 1)
xiaobaiyinzi的博客
07-29 1080
本文介绍了Linux系统常用的58个命令及其功能,包括文件操作(如ls、cd、cp)、系统管理(如reboot、chmod)和网络工具(如ping、ssh)等。文章还详细说明了命令行基础操作,包括命令类型、自动补全和帮助文档查询方法(help、man、info)。此外,提供了系统信息查询(CPU、内存、磁盘)和修改(主机名、时间)的具体命令,并介绍了路径类型、目录操作等基本概念。这些命令和操作涵盖了Linux系统日常使用的主要场景,是系统管理和维护的基础知识。
零基础从头教学LinuxDay 27)
xiaobaiyinzi的博客
09-04 1214
Shell脚本流程控制摘要 本文介绍了Shell脚本中的主要流程控制结构,包括条件选择和循环语句。 条件选择 if语句:单分支、双分支和多分支结构,支持嵌套 case语句:基于模式匹配执行不同分支,支持通配符 循环结构 for循环:三种格式,支持列表生成和C语言风格 while循环:条件判断和无限循环 循环控制:continue和break语句使用 shift技术:参数处理技巧 实用案例 BMI计算器 九九乘法表打印 服务器负载监控 文件备份脚本 点餐系统实现 文中提供了大量示例代码和实际应用场景,帮助理解
零基础从头教学LinuxDay 20)
xiaobaiyinzi的博客
08-26 988
本文详细介绍了Linux系统的网络管理方法,主要包括网络参数配置、路由设置、网络连接查看和网卡绑定技术。内容涵盖图形化NetworkManager和命令行配置方式,详细讲解ifconfig、ip、route等命令的使用,并提供单一路由和双路由实验案例。此外,还介绍了bond绑定技术的7种模式及配置方法,包括RockyLinux9的nmcli配置示例。文章最后简要提及网络诊断工具tcpdump和ab压力测试的使用。全文提供了大量实用命令和配置文件示例,适合Linux系统管理员参考学习网络配置与管理技术。
零基础从头教学LinuxDay 23)
xiaobaiyinzi的博客
08-30 1076
本文介绍了Shell脚本编程的基础知识,包括编程语言分类、脚本基本结构和执行方式。Shell是一种动态弱类型语言,无需声明变量类型,支持隐式转换。脚本包含命令组合、变量、表达式和控制语句,首行需指定解释器路径(#!)。创建脚本后需赋予执行权限,可通过子shell或source命令运行。文章详细讲解了字符串操作(拼接、长度获取、截取)和脚本注释规范,并提供了备份脚本实例。最后总结了常见脚本错误类型(语法、命令、逻辑错误)及其调试方法。
Python基础知识点(个人记录)
weixin_44283270的博客
05-29 1415
不可变类型:int、long、float、complex、string、bool、tuple。其中可变类型不能作为字典的key,因为它们没有__hash__()方法。python中的类型分可以分为两类,可变类型和不可变类型。非空的字典、列表、字符串0都是true!可变类型:dict、list、set。涉及字符串拆分、类函数和对象调用。1)true和false。
ANTLR巨型教程
最佳 Java 编程
06-06 3230
解析器是功能强大的工具,使用ANTLR,您可以编写可用于多种不同语言的各种解析器。 在本完整的教程中,我们将要: 解释基础 :解析器是什么,解析器可以用于什么 了解如何设置要从Javascript,Python,Java和C#中使用的ANTLR 讨论如何测试解析器 展示ANTLR中最先进,最有用的功能 :您将学到解析所有可能的语言所需的一切 显示大量示例 也许...
海豚调度器DolphinScheduler--单机版DolphinScheduler 入门到实践:进阶使用
天冬忘忧的博客
09-12 1801
在现代数据处理和工作流管理中,DolphinScheduler 以其强大的调度能力和易用性,成为了许多企业和开发者的首选工具。本文将深入探讨 DolphinScheduler 的进阶使用技巧,包括参数传递、资源中心管理、告警通知配置,以及如何在真实项目中高效使用 DolphinScheduler。
Linux 防火墙 Iptables
最新发布
ZYMFZ的博客
09-11 657
高效稳定:基于内核工作,数据包过滤效率高,能稳定应对高并发网络场景。灵活可扩展:通过 “表 - 链 - 规则” 的结构,可适配不同网络环境(如局域网共享上网、服务器发布),且支持丰富的扩展模块。易上手:相较于其他防火墙工具,命令逻辑清晰,学习成本较低,同时具备强大的定制能力。
Linux 系统监控 + 邮件告警实战:CPU、内存、IO、流量全覆盖
2503_93012413的博客
09-07 1046
要实现邮件告警,首先需要开启邮箱的 SMTP 服务(用于发送邮件),并获取授权码(替代登录密码,更安全)。以 QQ 邮箱为例,其他邮箱(163、139)步骤类似。[email protected](可同发件人)vjcjarmmmuleecce(示例)SMTP 端口(SSL 加密)xxxxxxxx(自行获取)邮箱 SMTP 服务器地址。邮箱授权码(非登录密码)发件人邮箱(告警邮箱)收件人邮箱(运维邮箱)
Linux】命名管道
2402_82757055的博客
09-09 756
之前说过的匿名管道只能实现有“血缘关系”进程之间的通信,如果想要实现进程和进程之间的通信就要用。进程和进程之间的通信也是需要让不同的进程看到同一份资源,使⽤来做这项⼯作。1.命名管道的创建和删除。
linux常见的基础命令及其作用
hlx250217的博客
09-11 636
Linux基础命令可分为几大类:文件操作(ls/cd/mkdir/cp/mv/rm)、内容查看(cat/less/head/tail)、系统信息(top/df/free)、权限管理(chmod/chown)、用户管理(sudo/useradd/passwd)、压缩解压(tar/zip)、网络工具(ifconfig/curl/wget)和文本处理(grep/wc)。这些命令支持文件管理、系统监控、网络配置等核心操作,如ls查看目录、chmod修改权限、grep搜索文本等。掌握这些命令是使用Linux系统的基础
系统是Rocky Linux 9.6,用比对工具compare beyond 工具中私钥连接连不上
qq_1259799716的博客
09-10 361
新版Beyond Compare升级了加密库,支持RFC 8332规范的SHA-256/SHA-512签名方案,即使密钥类型仍显示为ssh-rsa,实际签名方式已更安全。旧版工具使用传统的ssh-rsa(SHA-1)签名方式,而现代SSH服务端(如OpenSSH 8.8+)默认要求rsa-sha2-256或rsa-sha2-512签名。RSA密钥文件格式(如id_rsa)本身不包含签名方式信息,实际签名算法由客户端在连接时动态选择。升级下新的工具,新的工具已经支持了这种加密方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值