Linux 防火墙配置指南:firewalld 端口管理应用案例(二十个实列)

avatar
作者
猴君
阅读量:2

   

🏡作者主页:点击! 

🐧Linux基础知识(初学):点击!

🐧🐧Linux高级管理专栏:点击!

🔐Linux中firewalld防火墙点击!

⏰️创作时间:2024年7月5日9点11分

🀄️文章质量:95分

​​


目录

案例1: 开放单个端口

案例2: 开放端口范围

案例3: 开放UDP端口

案例4: 关闭特定端口

案例5: 查询特定端口是否开放

案例6: 列出所有开放的端口

案例7: 开放多个端口

案例8: 在特定区域开放端口

案例9: 临时开放端口(重启后失效)

案例10: 将端口转发到另一个IP

案例11: 在特定区域临时开放端口

案例12: 拒绝所有入站连接

案例13: 添加特定服务的规则

案例14: 移除特定服务的规则

案例15: 设置默认区域

案例16: 列出特定区域中的所有端口

案例17: 将网络接口分配到特定区域

案例18: 永久封禁某个IP地址

案例19: 允许特定IP地址的所有流量

案例20: 在特定区域启用端口转发

总结


前言

在本指南中,我们将通过十个实际案例,详细介绍如何使用 firewalld 管理和配置系统端口。无论您是刚开始学习 Linux 防火墙配置,还是希望深入了解 firewalld 的高级功能,这些案例都将为您提供实用的指导和参考。让我们一起探索如何确保系统安全并优化网络访问吧!

案例1: 开放单个端口

如果需要开放一个特定的端口,例如 8080 端口,可以使用以下命令:

firewall-cmd --permanent --add-port=8080/tcp
 

案例2: 开放端口范围

要开放一系列端口,例如从 5000 到 5500 端口,可以使用以下命令:

firewall-cmd --permanent --add-port=5000-5500/tcp
 

案例3: 开放UDP端口

如果需要开放一个 UDP 端口,例如 123 端口,可以使用以下命令:

firewall-cmd --permanent --add-port=123/udp
 

案例4: 关闭特定端口

如果需要关闭一个已经开放的端口,例如 8080 端口,可以使用以下命令:

firewall-cmd --permanent --remove-port=8080/tcp
 

案例5: 查询特定端口是否开放

要查询某个端口是否已经开放,例如 80 端口,可以使用以下命令:

firewall-cmd --query-port=80/tcp
 

案例6: 列出所有开放的端口

如果需要查看系统中所有已经开放的端口,可以使用以下命令:

firewall-cmd --list-ports
 

案例7: 开放多个端口

可以一次性开放多个端口,例如 3000、4000 和 5000 端口,可以使用以下命令:

firewall-cmd --permanent --add-port={3000/tcp,4000/tcp,5000/tcp}
 

案例8: 在特定区域开放端口

如果需要在特定区域(例如 public 区域)开放一个端口,例如 8888 端口,可以使用以下命令:

firewall-cmd --zone=public --permanent --add-port=8888/tcp
 

案例9: 临时开放端口(重启后失效)

如果只需要临时开放一个端口,例如 9999 端口,可以使用以下命令:

firewall-cmd --add-port=9999/tcp
 

案例10: 将端口转发到另一个IP

如果需要将一个端口的流量转发到另一个 IP 地址,例如将 80 端口的流量转发到 192.168.1.100 的 8080 端口,可以使用以下命令:

firewall-cmd --permanent --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100
 

案例11: 在特定区域临时开放端口

如果您希望在特定区域临时开放一个端口,可以使用以下命令。此更改将在系统重启后失效:

firewall-cmd --zone=public --add-port=7070/tcp
 

案例12: 拒绝所有入站连接

为了提高系统安全性,有时需要拒绝所有入站连接。可以使用以下命令来完成此操作:

firewall-cmd --panic-on

要取消此设置并恢复正常操作,请使用:

firewall-cmd --panic-off
 

案例13: 添加特定服务的规则

Firewalld 支持通过服务名来添加规则。例如,如果您希望开放 HTTP 服务,可以使用以下命令:

firewall-cmd --permanent --add-service=http
 

案例14: 移除特定服务的规则

如果您不再需要某个服务的规则,可以将其移除。例如,要移除 HTTP 服务的规则:

firewall-cmd --permanent --remove-service=http
 

案例15: 设置默认区域

默认区域是当接口未绑定到特定区域时所使用的区域。您可以通过以下命令设置默认区域为 public:

firewall-cmd --set-default-zone=public  

案例16: 列出特定区域中的所有端口

要查看某个区域中所有开放的端口,可以使用以下命令。例如,列出 public 区域中的所有端口:

firewall-cmd --zone=public --list-ports
 

案例17: 将网络接口分配到特定区域

为了更好地管理网络流量,可以将特定的网络接口分配到指定区域。例如,将 eth0 接口分配到 public 区域:

firewall-cmd --zone=public --change-interface=eth0
 

案例18: 永久封禁某个IP地址

如果需要永久封禁来自某个 IP 地址的所有流量,可以使用以下命令:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" reject'
 

案例19: 允许特定IP地址的所有流量

相反,如果需要允许来自某个 IP 地址的所有流量,可以使用以下命令:

firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" accept'
 

案例20: 在特定区域启用端口转发

在某些情况下,您可能需要在特定区域内启用端口转发。例如,在 public 区域启用端口 8080 到 80 的转发:

firewall-cmd --zone=public --permanent --add-forward-port=port=80:proto=tcp:toport=8080
 

请记住,每次修改防火墙规则后,都需要重新加载防火墙配置以使更改生效:

firewall-cmd --reload 通过以上这些实例,您可以更加灵活地使用 firewalld 管理和配置系统端口,确保系统的安全性和网络的高效访问。

总结

这些例子涵盖了常见的服务器角色和应用场景。在实际操作中,我们还需要根据具体的网络拓扑、安全策略和应用需求来精细调整防火墙规则。例如,可能需要限制特定IP地址或网段的访问,设置端口转发,或者配置更复杂的富规则等。

此外,作为一个经验丰富的Linux运维工程师,我还建议定期审核防火墙规则,移除不再需要的规则,并使用如firewall-cmd --list-all这样的命令来检查当前的防火墙配置,确保系统安全性和性能的平衡。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!