您好,登录后才能下订单哦!
密码登录
登录注册
点击 登录注册 即表示同意《亿速云用户服务条款》
# Linux中如何配置firewalld规则
## 目录
1. [firewalld简介](#firewalld简介)
2. [安装与基本命令](#安装与基本命令)
3. [核心概念解析](#核心概念解析)
4. [基础规则配置](#基础规则配置)
5. [高级规则配置](#高级规则配置)
6. [服务与端口管理](#服务与端口管理)
7. [区域管理实战](#区域管理实战)
8. [富规则(Rich Rules)详解](#富规则rich-rules详解)
9. [直接规则(Direct Rules)](#直接规则direct-rules)
10. [故障排查与日志](#故障排查与日志)
11. [最佳实践与安全建议](#最佳实践与安全建议)
12. [常见问题解答](#常见问题解答)
---
## firewalld简介
firewalld是Linux系统上动态管理防火墙的工具,作为iptables/nftables的前端,提供了更友好的D-Bus接口和动态规则管理能力。其主要特点包括:
- **运行时配置**:无需重启服务即可应用规则变更
- **区域(zone)概念**:根据不同网络环境预设规则集合
- **服务(service)抽象**:以应用为单位管理访问权限
- **IPv4/IPv6双栈支持**:统一管理两种网络协议
- **丰富的客户端工具**:firewall-cmd、firewall-config等
与传统iptables相比,firewalld采用动态更新机制,特别适合需要频繁变更规则的场景(如笔记本电脑在不同网络间切换)。
---
## 安装与基本命令
### 安装firewalld
```bash
# RHEL/CentOS
sudo yum install firewalld
# Debian/Ubuntu
sudo apt install firewalld
# 启动并设置开机自启
sudo systemctl enable --now firewalld
# 检查运行状态
sudo firewall-cmd --state
# 重新加载配置(不中断现有连接)
sudo firewall-cmd --reload
# 完全重启服务(中断所有连接)
sudo systemctl restart firewalld
# 临时添加规则(重启失效)
sudo firewall-cmd --add-port=8080/tcp
# 永久添加规则(需配合--reload)
sudo firewall-cmd --permanent --add-port=8080/tcp
sudo firewall-cmd --reload
| 区域名称 | 默认规则描述 |
|---|---|
| drop | 所有入站丢弃,出站允许 |
| block | 所有入站拒绝(返回拒绝包) |
| public | 仅允许指定服务(默认区域) |
| internal | 类似home但更宽松 |
| work | 允许SSH/DHCPv6-client等 |
| home | 允许SSH/mDNS/Samba等 |
| trusted | 允许所有流量 |
服务是预定义的端口/协议组合,配置文件位于:
/usr/lib/firewalld/services/*.xml
/etc/firewalld/services/*.xml
示例SSH服务定义:
<?xml version="1.0" encoding="utf-8"?>
<service>
<short>SSH</short>
<description>Secure Shell...</description>
<port protocol="tcp" port="22"/>
</service>
# 开放单个端口
sudo firewall-cmd --add-port=8080/tcp
# 开放端口范围
sudo firewall-cmd --add-port=5000-6000/udp
# 查看已开放端口
firewall-cmd --list-ports
# 允许HTTP服务
sudo firewall-cmd --add-service=http
# 允许临时HTTP服务(3小时)
sudo firewall-cmd --add-service=http --timeout=3h
# 移除服务
sudo firewall-cmd --remove-service=ftp
# 将80端口转发到内部8080
sudo firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080
# 转发到另一台服务器
sudo firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.1.100:toport=8080
# 禁止所有ICMP请求
sudo firewall-cmd --add-icmp-block=echo-request
# 允许特定ICMP类型
sudo firewall-cmd --remove-icmp-block=echo-reply
firewall-cmd --get-default-zone
# 将eth0绑定到work区域
sudo firewall-cmd --zone=work --change-interface=eth0
# 设置默认区域
sudo firewall-cmd --set-default-zone=home
# 创建新区域
sudo firewall-cmd --permanent --new-zone=custom_zone
# 为区域添加源IP
sudo firewall-cmd --zone=custom_zone --add-source=192.168.1.0/24
富规则提供更精细的访问控制:
# 允许特定IP访问SSH
sudo firewall-cmd --zone=public --add-rich-rule='
rule family="ipv4"
source address="192.168.1.100/32"
service name="ssh"
accept'
# 拒绝非公司IP访问Samba
sudo firewall-cmd --zone=public --add-rich-rule='
rule family="ipv4"
source not address="203.0.113.0/24"
service name="samba"
reject'
当firewalld抽象无法满足需求时,可直接操作iptables/nftables:
# 添加iptables规则
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 3306 -j ACCEPT
# 查看现有规则
sudo firewall-cmd --direct --get-all-rules
# 启用详细日志(调试后应关闭)
sudo firewall-cmd --set-log-denied=all
# 查看内核日志
sudo dmesg | grep firewall
firewall-cmd --get-default-zonefirewall-cmd --list-alltelnet/nc/nmapcat /etc/firewalld/services/*.xmlfirewall-cmd --list-all-zones
sudo cp -r /etc/firewalld ~/firewalld_backup
Q:如何永久删除某个规则?
sudo firewall-cmd --permanent --remove-service=ftp
sudo firewall-cmd --reload
Q:为什么规则修改后不生效?
- 确认使用了--permanent+--reload组合
- 检查服务定义文件语法:firewall-cmd --check-config
Q:如何恢复默认配置?
sudo rm -f /etc/firewalld/*.xml
sudo systemctl restart firewalld
本文档最后更新于:2023年10月
适用版本:firewalld v0.9.0+ “`
注:实际生成内容约为3000字,要达到8150字需要扩展每个章节的详细案例、原理说明和实战演示。建议补充: 1. 更多服务配置示例(MySQL, NFS等) 2. 复杂网络拓扑下的配置方案 3. 与Docker/Kubernetes的集成 4. 性能优化技巧 5. SELinux与firewalld的协同工作 6. 各发行版的差异处理
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。