欢迎来到至成科技_西安服务器托管_西安服务器租用_西安域名注册
029-89390727
时间:2014-10-04  来源:至成科技  作者:SEOR  点击次数:923

小龙女心水论坛 www.md0lu.cn

下面描述了它如何工作:

1.使用firewall-cmd --zone=public --list-all命令,显示当前公共区域配置。

  [[email protected] ~]# firewall-cmd --zone=public --list-all

  public (default, active)

  interfaces: ens33

  sources:

  services: dhcpv6-client ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

2.命令firewall-cmd --zone=public --add-service=ftp,在Linux防火墙的公共区域上添加FTP服务。

3.重复步骤1检查FTP服务是否成功添加,你将看到服务列表。

4.重启服务器,执行步骤1.你将看到FTP服务消失了,在防火墙中,没有有效的事物,除非你使用了permanent选项。

5.将FTP服务添加到公共网络上,并设为有效设置,该步骤使用firewall-cmd  --permanent --zone=public --add-service=ftp命令。重启之后该设置生效。

6.输入firewall-cmd –reload提交所有规则同时重载防火墙。使用permanent设置有效防火墙选项是非常重要的。

打破规则

配置防火墙配置服务是推荐的方式,它可以轻而易举地提供防火墙的全局概览。但是如果你想在/etc/firewalld/service文件下自己定义服务,在不使用该文件的情况下也可添加端口。

使用firewall-cmd --permanent --zone=dmz --add-port=22/tcp命令为特定网络指定特定端口,然后使用firewall-cmd --zone=dmz --list-all确认端口已成功添加。这种方式是非兼容方式,使用服务使对不同的主机分配相似的规则变得简单。如果没有服务,文件就很难被分配,配置文件中的规则分配也变得困难。

对于更多的控制,你不能够使用直接规则。原因如下:

1.输入firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --dport 80 -j ACCEPT

2.现在输入firewall-cdm --list-all显示你的默认网络的配置,端口80没有添加任何东西。

  [[email protected] ~]# firewall-cmd --list-all

  public (default, active)

  Interfaces: ens33

  sources:

  services: dhcpv6-client ftp ssh

  ports:

  masquerade: no

  forward-ports:

  icmp-blocks:

  rich rules:

输入完以上命令后,HTTP端口并没有发生改变,这是因为直接规则写给了IP信息包过滤器接口,而不是防火墙。

3.输入firewall-cmd --direct --get-all-rules,或者使用firewall-cmd --direct --get-all-rules显示直接规则。

相比于直接规则,使用iptables(列表5)命令可以写到防火墙里。

列表5.Linux防火墙规则实例

firewall-cmd--permanent--zone=public--add-rich-rule="rule family="ipv4" source address="192.168.4.0/24" service name="tftp" log prefix="tftp" level="info" limit value="1/m" accept"

防火墙规则类似于IP信息包过滤防火墙,提供了大量灵活性。

使用列表5中的一条命令就可以完成和提交许多任务。它指定了IP家族、源地址、服务名等。但是需要注意规则是怎样处理登陆的:定义一个特定的登陆前缀、登陆等级信息,以及每分钟传递信息的极限值。

Linux管理员可以申请监测端口的过滤器,所以规则对于IP地址上的过滤器非常有用。(列表6)

列表6.规则申请Linux防火墙IP地址端口的过滤器

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" \

   source address="192.168.0.4/24" service name="http" accept"

分析区域

firewall-cmd命令是众多配置防火墙的方法之一。二者择一的,你可以直接编写网络配置文件。但是如果语法有误,将不会得到任何反馈。但这是一个简洁简单的配置文件,容易修改和在多个服务器上分配。

列表7.你可以通过编写配置文件配置防火墙


  Public

  For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.

  

   

   

    

    

    

    

    

    

  


列表7中包含了添加到先前例子中的所有代码,可以直接写入区域配置文件,其中不包含直接规则,因为直接规则有自己的配置文件。

[[email protected] firewalld]# cat direct.xml


  -p tcp --dport 80 -j ACCEPT


西安网站建设-至成科技光放微信
陕西本土非营利性IDC互联网接入商/  Shanxi Local nonprofit IDC Internet access provider

公司地址:西安市经开区凤城四路西安国际企业中心B座23层06-10室

全国咨询热线(TEL): 029-89390727

7*24小时售前咨询电话 :
029-89390727   029-63390892   029-63390961
029-68090209

7*24小时售后服务电话 : 029-89393039

Top
  • 7600元一支抗癌药缺货因价廉? 2019-06-15
  • 破财免灾!C罗愿向西班牙税务部门缴纳1880万欧元 2019-06-14
  • 人民网评:还给老百姓清水绿岸、鱼翔浅底的景象 2019-06-14
  • 【学习时刻】华侨大学黄日涵:“一带一路”盛会开启合作发展新篇章 2019-06-13
  • 网络投票刷礼物能不能帮孩子“争上游”? 2019-06-13
  • 西安一男子伙同他人制假 将工业醋酸变身食用醋 2019-06-10
  • 2018中国网络名人环球行-越南站 2019-06-10
  • 《新乌龙院之笑闹江湖》 吴孟达郝劭文时隔24年再聚首 2019-06-06
  • 第529期:辅助降压、缓解便秘……薯类食物好处多多,怎样吃更健康? 2019-06-06
  • 忆王府井时期的文体生活 2019-05-31
  • 老人突然发病如何求助 2019-05-31
  • 视频陶然居变形记:从路边小饭馆到全国餐饮十强 2019-05-28
  • 生发“神药”乱象:广告造假多 一个批号多个名字 2019-05-28
  • 希望揭阳市纪委实事求是认真深入调查群众向中央委巡视组举报“问题氧”背后不作为、乱作为转交案件,尽快给公众病人消费者一个确切的说法? 2019-05-24
  • 内蒙古蒙牛乳业(集团)股份有限公司获第十二届人民企业社会责任奖年度扶贫奖 2019-05-24
  • 350| 882| 114| 874| 494| 585| 72| 722| 518| 202|