设为首页
收藏本站
开启辅助访问
切换到窄版
登录
立即注册
快捷导航
发布信息
搜索
搜索
首页
优惠促销
云服务器
独立服务器
站群服务器
母鸡服务器
服务器托管
全球云服务器
技术文档
联系
每日签到
本版
文章
帖子
用户
主机测评网
»
论坛
›
技术文档
›
其他教程
›
如何在CentOS 8上配置和管理防火墙
返回列表
发新帖
如何在CentOS 8上配置和管理防火墙
[复制链接]
|
主动推送
38
|
0
|
2024-9-11 18:10:54
|
显示全部楼层
|
阅读模式
防火墙是一种监测和过滤传入和传出网络流量的方法。它通过定义一套安全规则来确定是否允许或阻止特定的流量。一个正确配置的防火墙是整个系统安全的最重要方面之一。
CentOS 8提供了一个名为firewalld的防火墙守护程序。它是一个完整的解决方案,有一个D-Bus接口,允许你动态地管理系统的防火墙。
在本教程中,我们将讨论如何配置和管理CentOS 8的防火墙。我们还将解释FirewallD的基本概念。
前提条件
要配置防火墙服务,你必须以root或具有sudo权限的用户登录。
Firewalld的基本概念
firewalld使用区域和服务的概念。根据你要配置的区域和服务,你可以控制允许或阻止哪些流量进入或流出系统。
Firewalld可以通过firewall-cmd命令行工具进行配置和管理。
在CentOS 8中,iptables被nftables取代,成为Firewalld守护进程的默认防火墙后端。
Firewalld区域
区域是预定义的规则集,指定你的计算机所连接的网络的信任程度。你可以将网络接口和来源分配给一个区域。
下面是FirewallD提供的区,根据区的信任级别从不信任到信任排列。
DROP:所有传入的连接都被丢弃,没有任何通知。只允许出站连接。BLOCK:所有进入的连接都会被拒绝,对于IPv4来说是icmp-host-prohibited消息,对于IPv6n来说是icmp6-adm-prohibited。只允许出站连接。PUBLIC:用于不受信任的公共区域。你不信任网络上的其他计算机,但你可以允许选定的传入连接。EXTERNAL:用于外部网络,当你的系统作为一个网关或路由器时,启用NAT伪装。只允许选定的传入连接。INTERNAL:用于内部网络,当你的系统作为一个网关或路由器时。网络上的其他系统通常是被信任的。只允许选定的传入连接。DMZ: 用于位于非军事区的计算机,这些计算机对网络其他部分的访问受到限制。只允许选定的传入连接。WORK:用于工作机。网络上的其他计算机通常是被信任的。只允许选定的传入连接。HOMG:用于家用机。网络上的其他计算机通常是被信任的。只允许选定的传入连接。TRUST:所有网络连接都被接受。信任网络中的所有计算机。
防火墙服务
防火墙服务是预定义的规则,适用于一个区域内,并定义必要的设置,以允许特定服务的传入流量。服务允许你在一个步骤中轻松执行几个任务。
例如,服务可以包含关于开放端口、转发流量等的定义。
Firewalld运行时和永久设置
Firewalld使用两个分离的配置集,运行时和永久配置。
运行时配置是实际运行的配置,在重启时不会持续存在。当Firewalld守护进程启动时,它会加载永久配置,成为运行时配置。
默认情况下,当使用firewall-cmd工具对Firewalld配置进行修改时,这些修改被应用到运行时配置中。要使更改永久化,请在命令中添加 --permanent 选项。
要在两个配置集中应用这些变化,你可以使用以下两种方法之一。
更改运行时配置并使其永久化。
$ sudo firewall-cmd $ sudo firewall-cmd --runtime-to-permanent
改变永久配置并重新加载firewalld守护进程。
$sudo firewall-cmd --permanent $ sudo firewall-cmd --reload
启用FirewallD
在CentOS 8上,Firewalld已经安装并默认启用。如果由于某些原因,它没有安装在你的系统上,你可以通过输入以下内容来安装和启动该守护程序。
$ sudo dnf install firewalld$ sudo systemctl enable firewalld --now
你可以用以下方法检查防火墙服务的状态。
$ sudo firewall-cmd --state
如果防火墙被启用,该命令应该打印正在运行。否则,你将看到未运行。
Firewalld分区
如果你没有改变它,默认区域被设置为公共区域,所有网络接口都被分配到这个区域。
默认区域是用于所有没有明确分配给其他区域的东西。
你可以通过输入以下内容查看默认区。
$ sudo firewall-cmd --get-default-zone
public
要获得所有可用区域的列表,请键入。
$ sudo firewall-cmd --get-zones
block dmz drop external home internal public trusted work
要查看活动区和分配给它们的网络接口。
$ sudo firewall-cmd --get-active-zones
下面的输出显示,接口eth0和eth1被分配到公共区。
public interfaces: eth0 eth1
你可以用以下方法打印区域配置设置。
$ sudo firewall-cmd --zone=public --list-all
public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
从上面的输出中,我们可以看到公共区域是激活的,并且使用默认的目标,即REJECT。输出还显示,该区域被eth0和eth1接口使用,并允许DHCP客户端和SSH流量。
如果你想检查所有可用区域的配置,请输入。
回复
使用道具
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
哈哈SE7
117
主题
0
回帖
10
积分
新手上路
新手上路, 积分 10, 距离下一级还需 40 积分
新手上路, 积分 10, 距离下一级还需 40 积分
积分
10
加好友
发消息
回复楼主
返回列表
网络技术教程
软件使用教程
Windows教程
Centos教程
Ubuntu教程
Linux其他教程
综合教程
其他教程
其他文档
服务器商家推荐
华夏互联
蓝速云
米图云
全球云
文章
1
苹果电脑MAC系统登录Windows远程桌面
2
Debian拓展硬盘工具。cloud-utils-growpart、xfsprogs
3
安卓Android手机怎么使用V2rayNG?
4
WINDOWS系统电脑怎么使用WINXRAY?
5
notepad++.8.5.7编辑器,代码编辑器
6
DirectX修复工具增强版_V4.3.0.40864版本DLL修复工具C++安装
7
Visual C++运行库合集包完整版VisualCppRedist_AIO_x86_x64
8
ChromeSetup谷歌浏览器一键安装