将设为首页浏览此站
开启辅助访问 天气与日历 收藏本站联系我们切换到窄版

易陆发现论坛

 找回密码
 开始注册
查看: 60|回复: 4
收起左侧

删除firewalld的防火墙规则

[复制链接]
发表于 2022-12-20 15:00:13 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?开始注册

x
[root@example-dn-01 ~]# vim /etc/firewalld/zones/public.xml
! {8 j6 E0 M$ i1 N6 G. k' Qpublic.xml      public.xml.old  
6 i0 c: B; H$ C3 F[root@example-dn-01 ~]# vim /etc/firewalld/zones/public.xml
% I; a: H0 y! a& i# s, ^3 M( Q3 L) X8 W删除需要删除的规则% x3 l  W  g4 R4 `7 G
9 k& E/ [" ^' q* |; x5 t
重启firewalld-cmd 服务9 Y5 Z2 ]2 g' [# ~( t. v& ]
. r. H3 K0 ?2 z2 _+ G: ?! \
- y( N# }6 w$ c4 r3 `. A( L
 楼主| 发表于 2022-12-20 15:00:14 | 显示全部楼层
或者! C+ k) r6 x# b/ z2 [( p
firewall-cmd  --zone=public --remove-rich-rule="rule family=ipv4 source address="192.168.100.71" port port="9092" protocol="tcp" accept"    删除该条策略
 楼主| 发表于 2022-12-20 16:11:18 | 显示全部楼层
1、查询、禁用、删除、自定义 firewalld 服务的 ping 响应:/ W8 E8 \' w2 q& M3 C9 p; d1 h5 x
$ T: y% `2 R1 n0 X. W
[root@centos-test ~]# firewall-cmd --zone=public --query-rich-rule="rule protocol value='icmp' drop"
* j) _# O4 a/ k9 i% t1 Y0 Z& X* c+ E# k  ?* H  M/ u% d
[root@centos-test ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule protocol value='icmp' drop"1 K8 V! \% S2 Z$ u" p. ^2 i

2 H; \5 D) S: j, _7 l  ^6 z- {  E[root@centos-test ~]# firewall-cmd --permanent --zone=public --remove-rich-rule="rule protocol value='icmp' drop"
) M1 |( y3 S& W' _- T2 ]. I% E$ O
9 }, P3 g. c, |! o  e[root@centos-test ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' protocol value='icmp' accept"5 m7 E0 z$ f1 @/ p
" a: Q+ ^* T( p" g2 S' r* t) ~' J% \
# 允许172.16.1.10主机ping。
9 ]; ~5 |9 ?# u2 f8 |, j8 X6 l+ x) _7 Z

- m8 {& O& d* r" N9 _5 x, t6 ]2 [
- z- E# C8 u0 |" d3 g2、添加或拒绝某个IP访问ssh端口:
# a8 H( D* |8 q6 c: h9 v* s( G  h5 }! W
[root@centos-test ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' service name='ssh' accept"
+ S3 I$ ?# j9 k' w1 ]# ]( a! Z' c! ]8 t4 a2 S5 [% w" w
[root@centos-test ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.0/24' port protocol='tcp' port='22' accept"
/ |% {+ v; Y: v7 n2 d3 }: H4 m  [+ \- m0 `; I6 O" _2 F
# 允许172.16.1.0/24网段的主机访问22端口。* r" Z- m  T! n4 @2 S% o2 }
' Y  ?: f& e/ N. J; I8 |( L
[root@centos-test ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' service name='ssh' reject"
5 v7 P3 r; s  b1 V6 T' E/ s- D
! ]# P6 t# S) P( s/ W8 [[root@centos-test ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' service name='ssh' drop"3 a, Z) k# R9 b: E$ I# D
' o' }2 M7 u0 r7 o0 C) @
# reject 和 drop 的效果是一样的。
+ j7 U) U0 x0 o  n% n0 b/ }: ^9 _6 ^0 ^4 }5 Z% V8 u; g
& P! `. y, A. A
" V0 b$ N) V2 Z6 T& r. ^
3、列出所有多语言规则:
# `1 x3 D6 K* r$ F) f
* W- q; S- q# a! R) ffirewall-cmd --zone=public --list-rich-rules+ W( Q  j1 V, _) g0 t
( z; y) d* p# s# Y# o9 C# e3 v6 @+ h

/ R3 o. {) n- U8 H* g1 c/ K  N/ @" s9 i9 s! N
4、允许172.16.1.10主机所有连接:- c3 u3 v0 o! p6 Q+ r# }
; j! ^8 r0 b) Q
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' accept". ?% _0 N5 H( @7 ~. _6 ~! O+ M

% r4 Q. o4 `" E4 I& r  }' E& n' s" y7 l  X) l2 u0 S
5 y+ g( B0 a0 ^. O  X# X% D6 \
5、每分钟允许2个新连接访问ftp服务:
" z4 P. c9 N" @7 y* c$ [
5 F9 V! u$ @9 Q& j: ]firewall-cmd --permanent --zone=public --add-rich-rule="rule service name='ftp' limit value='2/m' accept"* h& \. H0 M) M

# s* j7 h$ K2 D- _7 M
$ d( T+ `8 J7 K$ x  F
* c. p: @" B. j, Q' h6、同意新的 IPv4 和 IPv6 连接 FTP,并使用审核每分钟登录一次:/ b) f' M) S" y; ~+ ]. k

+ O/ ~9 P7 k' g- u' [firewall-cmd --permanent --zone=public --add-rich-rule="rule service name='ftp' log limit value='1/m' audit accept"
6 o) Z) V# B7 E  K, ^8 f( G+ J( c' Q+ C* z; H# j
: w- ?  l* q6 j4 F4 a& W- W
: G8 n4 T5 S) w' r' s! M; q
7、允许172.16.1.0网段中的主机访问ftp服务:
1 f& l2 v- B' a( p
" H( u& }0 c; Yfirewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.0/24' service name='ftp' accept"
  ?0 K1 K0 T) m; F0 O$ i' d$ m. d* p7 S/ @
5 T2 A% v7 i0 h) J; {. @1 r
% B! ^' V! H. D
8、将来自172.16.1.0/24网段访问本地8080端口的流量转发到172.16.1.208主机的80端口(源地址转换):
0 ~5 H  |! G" c$ ?) q& \* x" R7 X$ M: J, [" o, t/ B1 ?( [9 Q
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.0/24' forward-port port='8080' protocol='tcp' to-port='80' to-addr='172.16.1.208'"
$ T7 ^3 c  E7 p/ U) v/ V0 d
; b, N  h% E4 l3 k# 伪装(需要开启masquerade),将来自局域网172.16.1.0/24网段访问外网的流量映射为网络出口公网IP,即修改源IP地址。
# \# ]9 I: D6 f5 g7 h* G1 B3 r9 Q

! g5 h. x  j( U7 ^1 I+ S, M( T3 p# t7 L) c- C+ e1 X0 Q
9、禁止172.16.1.10访问https服务,并返回错误信息:
3 |  a. V3 U! S3 J3 J1 e+ ]& i( C5 O2 R% _' ^1 L. H
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' service name='https' reject"
6 \/ l; G5 o% q$ t3 r- y! ?+ x1 g% s  R! V* h0 q- n, O
# 如果是drop的话是直接丢弃,会返回timeout(连接超时)。
" b9 z1 v  q$ Q& e: ~% U! g+ g/ Y/ q& ~( k* p

) {8 m4 s6 d! S# @& Z' N! m
: E; H5 g5 f5 {7 R& p% r" P& K10、每分钟允许2个新连接访问ftp服务:0 R/ U2 O8 z# Z

& c! v8 ]: o$ r, Afirewall-cmd --permanent --zone=public --add-rich-rule="rule service name='ftp' limit value='2/m' accept"
. o) b  ~% A: t* b+ Z; u/ g" u+ g- d- k

6 y+ t4 @2 v. Y
! d7 p6 F) ~; A8 a11、允许新的ipv4和ipv6连接ftp,并使用日志和审核,每分钟允许访问一次:
# k2 j* X7 c0 `8 u
  n0 E! F5 W1 r5 y" a4 u% T/ bfirewall-cmd --permanent --zone=public --add-rich-rule="rule service name='ftp' log limit value='1/m' audit accept"
- I+ s0 \6 C5 S4 O1 u
; e7 K" r/ o- w1 f# ^/ I% m" X) H; G: m0 b0 w

9 w6 o9 c% a* D12、将来自172.16.1.0/24网段访问本机8080端口的流量转发到本机的80端口:
4 b& m1 U* n2 k; Y/ f( a( E. L* I! N
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.0/24' forward-port port='8080' protocol=tcp to-port=80"4 b% A6 A0 S3 ?  u
, x, E- t6 ^! |* S% K! n* e
# N' q# X& S: H- Z+ {7 d
, m( q8 q7 x1 q' a7 ^5 Q
13、允许一个IP(172.16.1.10)仅能通过指定端口(8080-8090)访问到目标(172.16.1.12):" F! l5 J! Z8 ^9 m/ y

; D  J& B: M! B9 h/ l0 |firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' destination address='172.16.1.12/32' port port='8080-8090' protocol='tcp' accept"# R7 H) C" |9 [) p" Q* I
2 D/ J' o3 [2 B7 q  E

2 S, k( ~9 ^4 N8 D
! d+ d5 A6 ~/ j0 o' y# U3 u! P5 l14、添加、删除 firewalld 服务可以访问的IP地址:
* }; z8 k2 U) K: c3 b, o* {/ f" {2 U& K( Y
firewall-cmd --permanent --zone=public --add-rich-rule="rule family='ipv4' source address='172.16.1.10' port port='80' protocol='tcp' accept"5 C- i4 d* j) d' z0 F$ P

/ J1 y- R& Y6 G# 允许172.16.1.10主机访问80端口。
' v2 G  ?3 n8 S( }
- c3 B2 x5 r$ Nfirewall-cmd --permanent --zone=public --remove-rich-rule="rule family='ipv4' source address='172.16.1.10' port port='80' protocol='tcp' accept"' k& i. u$ ?  Q
/ O, Q/ ^3 z, ]& E) L9 y
# 移除172.16.1.10主机访问80端口的策略。9 [, t7 E- ]5 h5 S( D! s* w
+ }! r6 r" y! Q5 z/ y6 y

& n3 w7 x9 I# o' W/ q9 r
. c3 i3 h- u: W; j! s4 s) X7 N! s1 T2.5、补充:: o2 M. {2 t7 I, G$ e( z! t
: q8 {7 P6 H" B) M( f- i' b7 E/ G1 _
1、地址转换问题:
2 I7 R! v# n6 z5 }% \7 [( V& y' u3 o% K* P. K- u( O4 z
(1)源地址转换,就是我们平常说的代理上网,应用场景就是代理内网用户上网。
! V' t( O. ]6 m
- Z6 D0 d* Y3 g9 f; I7 n; a(2)目的地址转换,就是我们常说的端口映射,应用场景是发布服务到外网。5 m2 I8 v: j) L+ `% z3 }( L2 q: w
' O# d& k. Z! _: {8 N' R- r
(3)双向地址转换,就是先将数据包的目的地址转换后再转换源地址,应用场景是内网以公网ip访问内网的业务系统。
; W8 B( g, ^$ r4 Y* b; D
, E: X6 k7 ~5 a3 l1 `- b9 O) Q0 C" r. ~
. Y0 t) w' U3 ~( \+ [
2、如何清除 firewalld 服务规则:
. w3 v* J7 E0 l) H4 W. s& A- N1 B
(1)如果防火墙配置了规则很多如果清空规则呢,firewalld默认没有命令来清空规则。但是我们可以通过编辑配置文件来清除规则。9 r& |$ o# r& y( v
) @- F$ L5 P, ]/ i/ }. {- Z5 Y7 J7 U
/etc/firewalld/zones/ 此处为配置生效后保存的配置文件,当用命令每次将新的配置写入到配置文件之中后,系统会自动的备份以
6 i# `3 @$ y; D# c7 p( u4 J3 {( h. \+ S/ I; u  [# f
前的文件。如果是手动修改需要先对配置文件进行备份。
' t! u! E# B; |2 \% j- a9 ^. `3 [& T4 Z* @* t
[root@centos-test ~]# ls /etc/firewalld/zones& }7 h" E4 p; X/ e  L

& d/ G6 y8 B- x& Jpublic.xml public.xml.old; R% \7 z; U1 @1 q. }  C  I+ ~1 |
; S+ G* G2 Y2 o2 r
% {9 G2 g2 T5 K% Z9 s+ D

! @" v2 M6 A. U8 T- Z3、使用默认模板的形式添加服务(用于定制服务端口):
1 z5 n' P0 |7 Q2 b) I
. `9 J4 g8 x6 R: [(1)所有的默认规则都可以在 /usr/lib/firewalld/ 中找到:
- P3 O) y7 e2 Z4 R4 t" g+ n' Z) j. ^2 A( F
[root@centos-test ~]# ls /usr/lib/firewalld/9 ]' s. [7 m  E5 M

; V% X/ y% M( [# Y3 {helpers icmptypes ipsets services xmlschema zones
! n0 ]" d' c* `; Y4 Y0 N+ }+ [% n2 H! ~1 X9 N! X0 O
5 \1 F8 r0 O. `; g. W
! ~& q5 I* H% D' T) P
(2)复制默认目录下的规则到配置目录下:
+ w: P  m: |- t3 p7 o6 v& C: ~$ H" n$ R) e
[root@centos-test ~]# cp -a /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services/5 K9 D; Q2 v2 M) w
' p" `9 Y; r1 S0 w! H- ?; u' E

* r0 j+ y9 U3 J. z1 t2 r5 l0 A1 v! I8 [
(3)配置文件中包含了服务名,端口,还有服务的相关说明:2 L7 X7 c0 |- c- R% f

$ N9 e( c+ h% z/ B  K[root@centos-test ~]# cat /etc/firewalld/services/ftp.xml
& u4 N2 t% r4 M& D; V" I1 X! x7 ]$ P& C0 \1 [
<?xml version="1.0" encoding="utf-8"?>4 F0 \- @- Z! e
; Q- ]% `" x/ v
<service>% y8 q6 L$ R# w/ u* F
0 z, s) Y& M$ M+ [  U
<short>FTP</short>3 |3 w* m5 W) m2 ?9 \
9 K3 T& L- X- d7 Z9 }
<description>FTP is a protocol used for remote file transfer. If you plan to make your FTP server publicly available, enable this option. You+ O# X$ J6 `) H# q. U& t! E

+ @6 _3 j, P1 R$ j9 s3 d" a% tneed the vsftpd package installed for this option to be useful.</description> <port protocol="tcp" port="21"/>5 W1 ]+ y$ E( o. }+ b+ K, w2 }7 R
1 [+ P* b8 g# |( ]
<module name="nf_conntrack_ftp"/>/ N+ y/ W# ?2 u' j9 o! [$ F$ J

6 ^  G, E1 K5 t* C</service>' k* _8 q  ]: j3 f2 z

( ~; X% E1 v: q1 b- ~8 `. j
) p5 C! Y6 Y5 Y5 Z6 b" c* ?5 X1 w  [0 C3 T, N
(4)在 /etc/firewalld/zones/public.xml 中增加一行 <service name="ftp"/>:: Y# j% n" K. O  n
( u7 f' R: Z: J+ i: V( P
[root@centos-test ~]# vim /etc/firewalld/zones/public.xml7 Z3 e" Z7 A8 U  A: B3 d
# e" {4 Y- e1 ?" W+ ~
<?xml version="1.0" encoding="utf-8"?>6 X0 [8 @" T  D( p) ?( C- _

) ?0 i( q& h: X& C5 n8 T' X<zone>' `* y5 y- w3 i5 V" @" Y8 h

- _) |. P* S0 R3 r7 b* Z; _<short>Public</short>& V1 p& x$ S6 q2 f6 B% L. N

: C! T( W5 ^, E<description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming conn* ~0 z/ X* R9 K2 L

1 b( d% n2 b0 Aections are accepted.</description>" h& v. S3 R. t# v

! W6 d9 I0 [) {<service name="ssh"/>6 Q5 A/ Z% W$ X# O6 ?
8 [1 ?1 E( h( q! ^5 ~" }
<service name="dhcpv6-client"/>0 {0 [' h5 x2 o
4 t- t+ h) e0 _" @) z. F0 X0 a% m
<service name="ftp"/>
" R2 j. `2 \2 q1 E& [* w8 n0 F+ M$ n) i
</zone>9 _- |: x  I  o, J$ [6 L

9 r5 b8 K8 C( [2 J: n  r, x
" w* O- s! x: w! d# A( V0 X5 {" Q) u0 ^! N9 Z* n
(5)重载firewalld:4 V- w: _: C, n- d/ e3 ?; h

1 S% A. ~" ?9 y3 q+ @5 E[root@centos-test ~]# firewall-cmd --reload/ b# T% e! d) M

1 T. Q  m! E  _) \8 h9 b8 o
0 b5 A, r: {' |  N3 z) W0 T
. k' H8 X. F8 Z( a; O# }4 w' |: b(6)查看服务:
. W- D' t$ T) Z2 Y+ n3 T! ?8 J6 V  _. o  M% K2 E: u- j
[root@centos-test ~]# firewall-cmd --zone=public --list-service
% F1 q6 S* d+ H- O
1 j8 P4 p( H* V! A3 c! C; Mssh dhcpv6-client ftp* N- Y) [* Z& P; ]5 w# C7 g

  _" B7 q5 J8 R
 楼主| 发表于 2022-12-20 17:40:44 | 显示全部楼层

: `! }0 D' \! r7 @, Q1 U$ y1 [<?xml version="1.0" encoding="utf-8"?>
7 h) h' N1 X8 z  I$ T4 Y' P8 p<zone>2 Y' E' x- B9 F2 T! k+ V
  <short>Public</short>
: ^8 p" e$ {" d: s5 T  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>0 M3 K3 w* U3 V: G2 A. Z( A( G1 w
  <service name="ssh"/>8 u" |' P$ j4 S- t# S* l4 q
  <service name="dhcpv6-client"/>$ b# ^7 t& ?" `) V6 d% _2 H
  <service name="http"/>
' V/ [! {7 L0 Q, H7 U0 g  <port protocol="tcp" port="80"/>2 {' L. h! n0 U5 y' ?7 A& t
  <port protocol="tcp" port="8080"/>
$ \  f0 X, r3 r7 l; M! e, Y  <forward-port to-port="3366" protocol="tcp" port="3306"/>
6 H; _# x# X" e" Q; ~* H8 ~& q  <forward-port to-addr="192.168.22.55" to-port="8088" protocol="tcp" port="8080"/>0 m* s6 _+ D- W5 p5 x6 I, Y7 _
</zone>
* w5 m9 V4 }, K9 F& U1 V
 楼主| 发表于 2022-12-20 17:41:20 | 显示全部楼层
firewall-cmd --zone=public --list-forward-ports ) x  G, s/ D1 q) w/ }. ~4 X% X
port=8080:proto=tcp:toport=8088:toaddr=192.168.22.558 k( o  Z9 r. c
您需要登录后才可以回帖 登录 | 开始注册

本版积分规则

关闭

站长推荐上一条 /4 下一条

如有购买积分卡请联系497906712

QQ|返回首页|Archiver|手机版|小黑屋|易陆发现 点击这里给我发消息

GMT+8, 2023-2-9 14:18 , Processed in 0.059392 second(s), 21 queries .

Powered by LR.LINUX.cloud bbs168x X3.2 Licensed

© 2012-2022 Comsenz Inc.

快速回复 返回顶部 返回列表