Centos7 防火墙配置详解(非常详细)
Centos7中使用firewalld来作为防火墙,其底层调用的命令仍然是iptables等命令,但是在配置上发生了较大的变化。
Centos7中有两个位置存放了firewall的配置文件,一个是/etc/firewalld,一个是/usr/lib/firewalld,前者是用户配置目录,后者是系统配置目录。/usr/lib/firewalld目录中存放的是firewalld提供的一些默认和备份的配置文件,一般不随意改变,/etc/firewalld目录下才是用户配置的真正生效的配置文件,只有在/etc/firewalld目录不存在或该目录下不存在配置文件的情况下/usr/lib/firewalld目录下的配置文件才会生效。
zone定义了防火墙对某个连接、网口(interface)或源地址的信任等级,我们可以把他理解为防火墙对不同的连接(connection)、网口(interface)或源地址(source address)划分到不同的zone当中,而不同的zone定义了不同的规则,因此防火墙可以针对不同的连接、网口(interface)或源地址做出不同的行为。例如,我们将10.12.18.201这个地址划分到zone1中,将10.12.18.202这个地址划分到zone2中,然后zone1中定义的规则为:允许访问3306端口,其余的端口都拒绝访问;zone2中定义的规则为:拒绝访问3306端口,其余的端口都允许访问。那么10.12.18.201就仅能访问本机的3306端口,10.12.18.202就仅不能访问本机的3306端口。每个zone的防火墙规则是通过/etc/firewalld/zones目录下的xml配置文件来配置的。
zone和connection、interface、source address之间是一对多的关系,即一个connection、interface或source address仅能划分到一个zone中,而一个zone中可以包含多个connection、interface或source address。
Centos7中firewalld为用户预定义了9个zone,分别为drop,block,public,external,dmz,work,home,internal,trusted。这9个zone的配置文件在/usr/lib/firewalld/zones目录下,通过查看他们的配置文件可以得知这9个zone的规则是怎么样的。
drop:任何传入本机的网络数据包都会被丢弃,并且不会回复,只允许本机对外访问其他服务器。
block:任何传入本机的网络连接请求都会被拒绝,并且会回复一条拒绝访问的消息。
public:用于本机处于公共网络环境的场景下,仅接受特定的连接请求,如仅接受某些特定的IP的连接请求,或仅对外部开放特定的某些端口。Centos 7 默认的public.xml文件中仅开放用于ssh连接请求的22端口和dhcpv6-client服务的546端口。
external:与public类似,Centos 7 默认仅开放用于ssh连接请求的22端口。
dmz:与external一样,Centos 7 默认也是仅开放用于ssh连接请求的22端口。
work:用于工作网络环境场景下,信任大部分的其他的计算机不会对本机进行攻击。Centos 7 默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,以及IPP协议的631端口。
home:用于家庭网络环境,信任网络上的其他计算机不会攻击本机。Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。
internal:与home一样,Centos 7默认开放用于ssh连接请求的22端口,dhcpv6-client服务的546端口,IPP协议的631端口,samba服务的137、138端口,mDNS服务的5353端口。
trusted:所有对本机的网络连接请求都会被接受。
将某个source划分到某个zone的命令如下:
firewall-cmd [--permanent] [--zone=zone] --add-source=source
例如:
firewall-cmd --permanent --zone=trusted --add-source=192.168.5.112
这条命令会将192.168.5.112这个网口划分到trusted这个zone,–permanent参数会将该配置写入trusted这个zone的配置文件trusted.xml中,使其永久生效,如果不加–permanent,则只会临时生效,重启防火墙或者调用firewall-cmd --reload重新加载配置文件会使得该项配置失效。
将某个网口(interface)划分到某个zone的命令如下:
firewall-cmd [--permanent] [--zone=zone] --add-interface=interface
例如
firewall-cmd --permanent --zone=block --add-interface=ens33
这条命令会将ens33这个网口划分到block这个zone,这样其他机器访问本机的ens33网口时就会默认走这个zone。
如果某个连接请求没有划分到任何一个zone,那么就会走默认的zone,Centos7 默认情况下,默认zone为public。可以通过以下命令查看或者修改默认zone。
获取默认的zone:
firewall-cmd --get-default-zone
修改默认的zone:
firewall-cmd --permanent --set-default-zone=[zone]
其他的一些相关的命令:
列出该zone下绑定了哪些interface:
firewall-cmd [--zone=zone] --list-interfaces
将该interface绑定到另一个zone上:
firewall-cmd [--permanent] [--zone=zone] --change-interface=interface
如果该interface之前绑定到了某个zone,则取消绑定,这样就会走默认zone
firewall-cmd [--permanent] --remove-interface=interface
与source相关的:
firewall-cmd [--permanent] --remove-source=source
firewall-cmd [--permanent] [--zone=zone] --list-sources
firewall-cmd [--permanent] [--zone=zone] --add-source=source
一个zone的xml配置文件的示例如下:
<?xml version="1.0" encoding="utf-8"?>
<zone target="DEFAULT">
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="ssh"/>
<service name="dhcpv6-client"/>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="8080"/>
<source address="192.168.5.112">
<source address="10.12.18.0/24"/>
<rule family="ipv4">
<source address="10.12.18.0/24"/>
<port protocol="tcp" port="7180-7190"/>
<accept/>
</rule>
</zone>
每个标签的含义:
zone:给一个zone指定target,
target=“ACCEPT|%%REJECT%%|DROP”
可用于接受(ACCEPT)、拒绝(%%REJECT%%)或丢弃(DROP)与任何规则(端口、服务等)都不匹配的每个数据包,即指定该zone的默认的对连接(connection)、网口(interface)或源地址(source address)的行为,如果不指定target,则默认为default,default的行为与REJECT类似。
short:给该zone指定一个名字。
description:对该zone的描述
service:该zone开启的服务(service),service下一小节会讲
port:该zone打开的端口,protocol属性可以指定协议,通常为tcp或udp,port属性指定端口号
source:绑定到该zone的source,其效果等同于 firewall-cmd [–permanent] [–zone=zone] --add-source=source 指令
rule:为该zone添加的富语言规则(rich language rule)。rich language rule的写法可以参照官网https://firewalld.org/documentation/man-pages/firewalld.richlanguage
上述示例的富语言规则的含义为对10.12.18.X网段的source开放7180至7190所有端口的tcp连接请求。
service是预定义的一系列的本机的协议、端口、目标ip等,service可以让我们更加方便的让防火墙限制外部对本机的某些端口的访问。service的配置文件在/etc/firewalld/services或/usr/lib/firewalld/services文件夹下,每个service的配置都是一个xml文件。
系统在/usr/lib/firewalld/services文件夹下为我们预定义了一些列的service配置文件,我们也可以在/etc/firewalld/services定义自己的service。例如,ftp.xml的内容如下:
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>FTP</short>
<description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You need the vsftpd package installed for this option to be useful.</description>
<port protocol="tcp" port="21"/>
<module name="nf_conntrack_ftp"/>
</service>
这样,在某个zone的配置文件中可以引用这个service,例如,在public.xml中引入ftp service:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<service name="ftp"/>
</zone>
等价于:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<service name="dhcpv6-client"/>
<service name="ssh"/>
<port protocol="tcp" port="21"/>
</zone>
打印所有预定义的service(/usr/lib/firewalld/services或/etc/firewalld/services下每个xml配置文件就是一个预定义的service):
firewall-cmd [--permanent] --get-services
列出此zone开启的服务列表:
firewall-cmd [--permanent] [--zone=zone] [--permanent] [--policy=policy] --list-services
将一个service添加到一个zone,timeout可以为这个zone设置这个service的生效时间,过了这个生效时间,此service将从该zone中被移除。–timeout参数和–permanent参数是不兼容的
firewall-cmd [--permanent] [--zone=zone] [--permanent] [--policy=policy] --add-service=service [--timeout=timeval]
ipset,顾名思义,就是可用于将多个IP或MAC地址分组在一起。通过使用ipset,可以将不同的ip地址进行分组,简化ip地址的管理和zone的配置。ipset的配置文件在/etc/firewalld/ipsets目录下,该目录下一个xml配置文件对应一个ipset。
例如,将以下ip地址组合为一个ipset,配置文件命名为ipset1.xml:
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:net">
<entry>10.12.18.201</entry>
<entry>192.168.5.201</entry>
</ipset>
将以下mac地址组合为一个ipset,配置文件命名为ipset2.xml:
<?xml version="1.0" encoding="utf-8"?>
<ipset type="hash:mac">
<entry>00:11:22:33:44:55</entry>
<entry>11:22:33:44:55:66</entry>
</ipset>
在public.xml中引用这两个ipset:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<source ipset="ipset1" />
<source ipset="ipset2" />
<service name="dhcpv6-client"/>
<service name="ssh"/>
<rule family="ipv4">
<source ipset="ipset1" />
<port port="3306" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source ipset="ipset2" />
<port port="8080" protocol="tcp" />
<accept />
</rule>
</zone>
这等同于:
<?xml version="1.0" encoding="utf-8"?>
<zone>
<short>Public</short>
<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
<source address="10.12.18.201" />
<source address="192.168.5.201" />
<source mac="00:11:22:33:44:55" />
<source mac="11:22:33:44:55:66" />
<service name="dhcpv6-client"/>
<service name="ssh"/>
<rule family="ipv4">
<source address="10.12.18.201" />
<port port="3306" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source address="192.168.5.201" />
<port port="3306" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source mac="00:11:22:33:44:55" />
<port port="8080" protocol="tcp" />
<accept />
</rule>
<rule family="ipv4">
<source mac="11:22:33:44:55:66" />
<port port="8080" protocol="tcp" />
<accept />
</rule>
</zone>
显然,采用ipset可以极大简化配置。
除了使用zone来配置防火墙以外,还可以直接为防火墙添加iptables规则,这些规则会放在配置文件/etc/firewalld/direct.xml中。默认情况下,Centos 7没有这个文件,只有当用户为direct interface添加iptables规则时,才会生成这个文件。通过该方法添加的防火墙规则具有最高优先度,也就是说,如果direct.xml中的某条规则与zone的规则冲突时,以direct.xml为准。但firewalld官网并不推荐我们使用direct.xml。
给direct interface添加一条防火墙规则的指令如下:
firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -s 10.48.186.6 -j ACCEPT
使用direct.xml需要用户本身对iptables的概念有一定基础(tables, chains, commands, parameters, targets),具体可以参考https://firewalld.org/documentation/man-pages/firewalld.direct.html。
direct interface后续可能会被弃用,被policies代替。
我正在尝试在我的centos服务器上安装therubyracer,但遇到了麻烦。$geminstalltherubyracerBuildingnativeextensions.Thiscouldtakeawhile...ERROR:Errorinstallingtherubyracer:ERROR:Failedtobuildgemnativeextension./usr/local/rvm/rubies/ruby-1.9.3-p125/bin/rubyextconf.rbcheckingformain()in-lpthread...yescheckingforv8.h...no***e
我有一个在Linux服务器上运行的ruby脚本。它不使用rails或任何东西。它基本上是一个命令行ruby脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg
我已经在Sinatra上创建了应用程序,它代表了一个简单的API。我想在生产和开发上进行部署。我想在部署时选择,是开发还是生产,一些方法的逻辑应该改变,这取决于部署类型。是否有任何想法,如何完成以及解决此问题的一些示例。例子:我有代码get'/api/test'doreturn"Itisdev"end但是在部署到生产环境之后我想在运行/api/test之后看到ItisPROD如何实现? 最佳答案 根据SinatraDocumentation:EnvironmentscanbesetthroughtheRACK_ENVenvironm
之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m
在VMware16.2.4安装Ubuntu一、安装VMware1.打开VMwareWorkstationPro官网,点击即可进入。2.进入后向下滑动找到Workstation16ProforWindows,点击立即下载。3.下载完成,文件大小615MB,如下图:4.鼠标右击,以管理员身份运行。5.点击下一步6.勾选条款,点击下一步7.先勾选,再点击下一步8.去掉勾选,点击下一步9.点击下一步10.点击安装11.点击许可证12.在百度上搜索VM16许可证,复制填入,然后点击输入即可,亲测有效。13.点击完成14.重启系统,点击是15.双击VMwareWorkstationPro图标,进入虚拟机主
注意:本文主要掌握DCN自研无线产品的基本配置方法和注意事项,能够进行一般的项目实施、调试与运维AP基本配置命令AP登录用户名和密码均为:adminAP默认IP地址为:192.168.1.10AP默认情况下DHCP开启AP静态地址配置:setmanagementstatic-ip192.168.10.1AP开启/关闭DHCP功能:setmanagementdhcp-statusup/downAP设置默认网关:setstatic-ip-routegeteway192.168.10.254查看AP基本信息:getsystemgetmanagementgetmanaged-apgetrouteAP配
需求:要创建虚拟机,就需要给他提供一个虚拟的磁盘,我们就在/opt目录下创建一个10G大小的raw格式的虚拟磁盘CentOS-7-x86_64.raw命令格式:qemu-imgcreate-f磁盘格式磁盘名称磁盘大小qemu-imgcreate-f磁盘格式-o?1.创建磁盘qemu-imgcreate-fraw/opt/CentOS-7-x86_64.raw10G执行效果#ls/opt/CentOS-7-x86_64.raw2.安装虚拟机使用virt-install命令,基于我们提供的系统镜像和虚拟磁盘来创建一个虚拟机,另外在创建虚拟机之前,提前打开vnc客户端,在创建虚拟机的时候,通过vnc
1.1.1 YARN的介绍 为克服Hadoop1.0中HDFS和MapReduce存在的各种问题⽽提出的,针对Hadoop1.0中的MapReduce在扩展性和多框架⽀持⽅⾯的不⾜,提出了全新的资源管理框架YARN. ApacheYARN(YetanotherResourceNegotiator的缩写)是Hadoop集群的资源管理系统,负责为计算程序提供服务器计算资源,相当于⼀个分布式的操作系统平台,⽽MapReduce等计算程序则相当于运⾏于操作系统之上的应⽤程序。 YARN被引⼊Hadoop2,最初是为了改善MapReduce的实现,但是因为具有⾜够的通⽤性,同样可以⽀持其他的分布式计算模
Rails相对较新。我正在尝试调用一个API,它应该向我返回一个唯一的URL。我的应用程序中捆绑了HTTParty。我已经创建了一个UniqueNumberController,并且我已经阅读了几个HTTParty指南,直到我想要什么,但也许我只是有点迷路,真的不知道该怎么做。基本上,我需要做的就是调用API,获取它返回的URL,然后将该URL插入到用户的数据库中。谁能给我指出正确的方向或与我分享一些代码? 最佳答案 假设API为JSON格式并返回如下数据:{"url":"http://example.com/unique-url"
我是ruby的新手,正在配置IRB。我喜欢pretty-print(需要'pp'),但总是输入pp来漂亮地打印它似乎很麻烦。我想做的是默认情况下让它漂亮地打印出来,所以如果我有一个var,比如说,'myvar',然后键入myvar,它会自动调用pretty_inspect而不是常规检查。我从哪里开始?理想情况下,我将能够向我的.irbrc文件添加一个自动调用的方法。有什么想法吗?谢谢! 最佳答案 irb中默认pretty-print对象正是hirb被迫去做。Theseposts解释hirb如何将几乎所有内容转换为ascii表。虽