• 如何使用FirewallD限制网络访问

    作为一个Linux用户,你可以使用firewalld防火墙选择允许或限制对某些服务或者IP地址的网络访问,这是CentOS/RHEL 8以及诸如Fedora的大部分基于RHEL发行版原生的。

    firewalld防火墙使用firewall-cmd命令行工具配置防火墙规则。

    在我们执行任何配置前,首先使用systemctl工具启用firewalld服务,如下:

    ​[root@localhost blctrl]# systemctl enable firewalld

    一旦启用了,我们现在可以通过执行以下命令启动firewalld:

    [root@localhost blctrl]# systemctl start firewalld

    你可以通过运行以下命令验证firewalld的状态并且以下输出确认了firewalld启动了并且在运行。

    1. [root@localhost blctrl]# systemctl status firewalld
    2. ● firewalld.service - firewalld - dynamic firewall daemon
    3.    Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
    4.    Active: active (running) since Thu 2022-07-21 19:40:25 CST; 4h 8min left
    5.      Docs: man:firewalld(1)
    6.  Main PID: 689 (firewalld)
    7.    CGroup: /system.slice/firewalld.service
    8.            └─689 /usr/bin/python2 -Es /usr/sbin/firewalld --nofork --nopid

    使用firewalld配置规则

    现在我们使firewalld运行了,我们直接制定一些规则。firewalld允许你添加和阻塞端口,黑名单,以及白名单IP,提供对服务器访问的地址。一旦完成这些配置,总是确保你为了使新规则生效重载这个防火墙。

    添加一个TCP/UDP端口

    添加一个端口,用于HTTPS的443,使用以下语法。注意:你必须在这个端口号之后指定端口是TCP或UDP。

    1. [root@localhost blctrl]# firewall-cmd --add-port=443/tcp --permanent
    2. success

    类似地,要添加一个UDP端口,按如下指定这个UDP选项:

    1. [root@localhost blctrl]# firewall-cmd --add-port=53/udp --permanent
    2. success

    --permanent标记确保即使在重启后规则有效。

    阻塞一个TCP/UDP端口

    TCP 80端口先前已经被添加到了规则中了,用浏览器测试:

    要阻塞一个TCP端口,如TCP 80,运行以下命令:

    1. [root@localhost blctrl]# firewall-cmd --remove-port=80/tcp --permanent
    2. success
    3. [root@localhost blctrl]# firewall-cmd --reload
    4. success

    再次用浏览器测试:

     类似地,封锁一个UDP端口,将按照相同语法:

    1. [root@localhost blctrl]# firewall-cmd --remove-port=53/udp --permanent
    2. success
    3. [root@localhost blctrl]# firewall-cmd --reload
    4. success

    允许一个服务

    在/etc/services文件中定义了网络服务。要允许像https地服务,执行命令:

    1. [root@localhost blctrl]# firewall-cmd --add-service=https
    2. success

    阻塞一个服务

    要阻塞一个服务,例如,https,执行:

    1. [root@localhost blctrl]# firewall-cmd --remove-service=https
    2. success

    白名单一个IP地址

    要允许单个IP地址穿过防火墙,执行命令:

    1. [root@localhost blctrl]# firewall-cmd --permanent --add-source=192.168.3.244
    2. success
    3. [root@localhost blctrl]# firewall-cmd --reload
    4. success

    你也可以使用CIDR标注允许一个IPs范围或者整个子网。例如,以255.255.255.0允许一整个子网。

    1. [root@localhost blctrl]# firewall-cmd --permanent --add-source=192.168.3.0/24
    2. success

    移除一个白名单IP地址

    如果你在防火墙上移除一个白名单IP,使用--remove-source标记:

    1. [root@localhost blctrl]# firewall-cmd --permanent --remove-source=192.168.3.244
    2. success

    对于整个子网:

    1. [root@localhost blctrl]# firewall-cmd --permanent --remove-source=192.168.3.0/24
    2. success

    阻塞一个IP地址:

    到目前为止,我们已经看到了你如何添加和移除端口和服务以及添加和移除白名单IPs。要阻塞一个IP地址,'rich rules'用于这个目的。

    例如,要阻塞这个IP 192.168.3.244,运行命令:

    1. [root@localhost blctrl]# firewall-cmd --add-rich-rule="rule family='ipv4' source address='192.168.3.244' reject"
    2. success

     在192.168.3.244上进行测试:

    运行阻塞命令前:可以ping通

    1. [blctrl@localhost ~]$ ping -c2 192.168.3.246
    2. PING 192.168.3.246 (192.168.3.246) 56(84) bytes of data.
    3. 64 bytes from 192.168.3.246: icmp_seq=1 ttl=64 time=0.466 ms
    4. 64 bytes from 192.168.3.246: icmp_seq=2 ttl=64 time=0.559 ms
    5.  
    6. --- 192.168.3.246 ping statistics ---
    7. 2 packets transmitted, 2 received, 0% packet loss, time 999ms
    8. rtt min/avg/max/mdev = 0.466/0.512/0.559/0.051 ms

    运行阻塞命令后,ping不通了

    1. [blctrl@localhost ~]$ ping -c2 192.168.3.246
    2. PING 192.168.3.246 (192.168.3.246) 56(84) bytes of data.
    3. From 192.168.3.246 icmp_seq=1 Destination Port Unreachable
    4. From 192.168.3.246 icmp_seq=2 Destination Port Unreachable
    5.  
    6. --- 192.168.3.246 ping statistics ---
    7. 2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1000ms

    要阻塞整个子网,运行:

    [root@localhost blctrl]# firewall-cmd --add-rich-rule="rule family='ipv4' source address='192.168.3.0/24' reject"

    保存防火墙规则

    如果你对防火墙规则做了任何修改,为了立即应用更改,你需要运行以下命令:

    1. [root@localhost blctrl]# firewall-cmd --reload
    2. success

    查看防火墙规则

    要看一下在防火墙中所有规则,执行这个命令:

    1. [root@localhost blctrl]# firewall-cmd --list-all
    2. public (active)
    3.   target: default
    4.   icmp-block-inversion: no
    5.   interfaces: eth0
    6.   sources:
    7.   services: dhcpv6-client ssh
    8.   ports: 443/tcp
    9.   protocols:
    10.   masquerade: no
    11.   forward-ports:
    12.   source-ports:
    13.   icmp-blocks:
    14.   rich rules:
    15.         rule family="ipv4" source address="192.168.3.244" reject

  • 相关阅读:
    学生管理系统
    GZ038 物联网应用开发赛题第4套
    [LeetCode308周赛] [前缀和] [栈] [拓扑排序]
    asp.net外卖网站系统VS开发mysql数据库web结构c#编程Microsoft Visual Studio
    golang语言的gofly快速开发框架如何设置多样的主题说明
    【编程题】最小农田浇水费用
    MyBatis 如何实现缓存(一级缓存和二级缓存)呢?
    【代码随想录】算法训练计划28
    安全测试专家强烈推荐的13款免费的测试工具
    深入理解 MyBatis
  • 原文地址:https://blog.csdn.net/yuyuyuliang00/article/details/125913307