Centos7ファイアウォールファイアウォールの基本操作

序文

centos6バージョンでは、ファイアウォールで使用されるiptables、iptablesは静的ファイアウォールです。つまり、開いているポートを動的に追加することはできません。有効にするには、構成ファイルに開いているポートを追加してから、iptablesを再起動する必要があります。 centos7ファイアウォールは、動的なfirewalldを使用します。コマンドを使用して開いているポートを追加すると、サービスを再起動しなくても変更を有効にできます。

ファイアウォール管理

systemctl enable firewalld       #起動を設定する
systemctl start firewalld        #オープンサービス
systemctl statusfirewalldまたはfirewall-cmd --state    #ステータスを確認する
systemctl disable firewalld    #やめる
systemctl stop firewalld       #無効にする

エリア管理

ネットワークを異なるエリアに分割することにより、異なるエリア間のアクセス制御戦略が策定され、異なるプログラムエリア間で送信されるデータフローを制御します。たとえば、インターネットは信頼できないゾーンですが、内部ネットワークは信頼性の高いゾーンです。 [ネットワークセキュリティ](https://cloud.tencent.com/product/ns?from=10680)モデルは、インストール時、初期起動時、およびネットワーク接続の最初の確立時に初期化できます。このモデルは、ホストが接続されているネットワーク環境全体の信頼性レベルを記述し、新しい接続を処理する方法を定義します。次のように、いくつかの異なる初期化ゾーンがあります。信頼できるゾーンを除いて、すべてのゾーンはデフォルトで拒否されます。

一般的な操作

注:-zone = zoneがルールの後に追加されない場合、デフォルトでデフォルトゾーンに追加されます。注:永続的であり、ルールはリロード後も存在します。追加されない場合、ルールはリロード後に無効になります。1.すべての領域とルールを表示する

[ root@lianst ~]# firewall-cmd --list-all-zones
work
 target:default
 icmp-block-inversion: no
 interfaces: 
 sources:.....<その他の省略>
  1. すべてのエリアを表示
[ root@lianst ~]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block
  1. すべての有効領域を表示
[ root@lianst ~]# firewall-cmd --get-active-zones
public
 interfaces: venet0
  1. 200.1.1.0/24ネットワークセグメントから受信したデータは、検査のために作業領域に入ります(永続的とは構成ファイルへの永続的な書き込みを意味します)
[ root@lianst ~]# firewall-cmd --permanent --add-source=200.1.1.0/24--zone=work
  1. Firewalld構成ファイルをリロードします
[ root@lianst ~]# firewall-cmd --reload 
success
  1. eth0から受信したデータは、検査のためにdmz領域に入ります。
[ root@lianst ~]# firewall-cmd --permanent --add-interface=eth0 --zone=dmz
  1. 信頼できるゾーンをデフォルトゾーンとして設定します
[ root@lianst ~]# firewall-cmd --set-default-zone=trusted
  1. 作業領域に追加して、httpサービスへのアクセスを許可します
[ root@lianst ~]# firewall-cmd --permanent --add-service=http --zone=work
  1. 作業領域へのtcp3260ポートへのアクセスを許可するルールを追加します
[ root@lianst ~]# firewall-cmd --permanent --add-port=3260/tcp --zone=work
  1. デフォルトゾーンにルールを追加し、ポート8080にアクセスすると自動的にポート80に切り替わります
[ root@lianst ~]# firewall-cmd --permant --add-forwardpord=port=8080:proto=tcp:toport=80
  1. ファイアウォールを介したsshサービスを許可する
[ root@lianst ~]# firewall-cmd --enable service=ssh(--無効:禁止)
  1. ブロック111.73.157.199アクセス
[ root@niaoyun software]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="111.73.157.199" drop'

ダイレクトモード

FirewallDにはダイレクトモードが含まれており、TCPポート443を開くなどのいくつかのタスクを完了するために使用できます。

[ root@lianst ~]# firewall-cmd --direct -add-rule ipv4 filter INPUT 0-p tcp --dport 443-j ACCEPT
[ root@lianst ~]# firewall-cmd --reload

その他のコマンド

  1. サービスリストを見る
[ root@lianst ~]# firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client ceph ceph-mon dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openV** pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster radius rpc-bind rsyncd samba samba-client sane smtp smtps snmp snmptrap squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server
  1. 一時的にsambaサービスが600秒経過するのを許可します
[ root@lianst ~]# firewall-cmd --enable service=samba --timeout=600
  1. ゾーンからインターフェイスを削除します
[ root@lianst ~]# firewall-cmd trusted --remove-interface=eht0
  1. ゾーンからサービスを削除します
[ root@lianst ~]# firewall-cmd --zone=public--remove-service=http

Recommended Posts

Centos7ファイアウォールファイアウォールの基本操作
Centos7ファイアウォールファイアウォールの実際の操作
Centosの基本コマンド
CentOS7の基本構成
CentOS7はiptablesファイアウォールをインストールします
Centos7-ファイアウォールファイアウォールの基本的な説明
CentOS8インストールGitと基本構成
Pythonファイル操作の基本的なプロセス分析