centos下firewall设置笔记

2017年6月12日 0条评论 382次阅读 0人点赞
《centos下firewall设置笔记》

查看所有打开的端口

# firewall-cmd --list-all
   target: default
   icmp-block-inversion: no
   interfaces: enp3s0
   sources: 
   services: ssh dhcpv6-client
   ports: 22/tcp 80/tcp ...
   protocols: 
   masquerade: no
   forward-ports: 
   source-ports: 
   icmp-blocks: 
   rich rules:

开放端口

 # firewall-cmd --permanent --zone=public --add-port=22/tcp; 
 # firewall-cmd --permanent --zone=public --add-port=80/tcp;
 # firewall-cmd --permanent --zone=public --add-port=443/tcp;
 # firewall-cmd --permanent --zone=public --add-port=3306/tcp;
 # firewall-cmd --reload 
--permanent 此参数作用是使设置永久生效,没有此参数重启后失效

批量开放端口

# firewall-cmd --permanent --zone=public --add-port=21-4000/tcp; 
# firewall-cmd --permanent --zone=public --add-port=22/tcp --add-port=80/tcp --add-port=443/tcp --add-port=822/tcp --add-port=3306/tcp  --add-port=8306/tcp; 
# firewall-cmd --permanent --zone=public --add-port=80/tcp --add-port=443/tcp --add-port=822/tcp --add-port=8306/tcp  --add-port=873/tcp;  
# firewall-cmd --reload 
--permanent 此参数作用是使设置永久生效,没有此参数重启后失效

删除

# firewall-cmd --permanent --zone=public --remove-port=20-500/tcp
# firewall-cmd --permanent --zone=public --remove-port=100-500/udp
# firewall-cmd --permanent --zone=public --remove-port=3690/udp
# firewall-cmd --reload

禁止访问

#禁止IP(123.44.55.66)访问机器
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="123.44.55.66" drop'

#禁止一个IP段,比如禁止116.255.*.*
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address="116.255.0.0/16" drop'

#禁止一个IP段,比如禁止116.255.196.*
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="116.255.196.0/24" drop'

#完整禁止一个IP\端口\协议,
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="203.168.26.189" port port="22" protocol="tcp" drop'
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/24" port port="80" protocol="tcp" reject'

#禁止机器IP(123.44.55.66)从防火墙中删除
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address="123.44.55.66" drop'




//查看规则,确认是否生效
firewall-cmd --zone=public --list-rich-rules

创建一个服务区域,如nfs

#firewall-cmd --permanent --new-zone=nfs
#firewall-cmd --permanent --zone=nfs --add-service=nfs
#firewall-cmd --permanent --zone=nfs --add-service=rpc-bind
#firewall-cmd --permanent --zone=nfs --add-service=mountd

#firewall-cmd --permanent --zone=nfs --add-source=192.168.0.0/24
#firewall-cmd --permanent --zone=nfs --add-source=192.168.0.100

#firewall-cmd --reload

删除一个服务区域

#firewall-cmd --permanent --delete-zone=xxx
#firewall-cmd --permanent --remove-service=rpc-bind

配置文件目录/etc/firewalld/zones

/etc/firewalld/zones
1、REJECT是一种更符合规范的处理方式,并且在可控的网络环境中,更易于诊断和调试网络/防火墙所产生的问题;

2、DROP则提供了更高的防火墙安全性和稍许的效率提高,但是由于DROP不很规范(不很符合TCP连接规范)的处理方式,可能
会对你的网络造成一些不可预期或难以诊断的问题。

firewall No module named ‘six’修复

/usr/lib/python3.6/site-packages
查看该目录是否有一个叫做"six.py"的文件,无有则从其他系统拷贝一个过来
点赞
知识共享许可协议
本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可

发表评论

邮箱地址不会被公开。 必填项已用*标注