Linux防火墙相关配置

防火墙策略【针对Centos】

firewall-cmd --help  #帮助命令

systemctl status firewalld   #查看防火墙状态
systemctl start firewalld    #开启防火墙
systemctl stop firewalld     #关闭防火墙
systemctl restart firewalld  #重启防火墙


systemctl enable firewalld   #开机自启防火墙
systemctl disable firewalld  #关闭开机自启防火墙
systemctl is-enabled firewalld  #查看是否开机自启

firewall-cmd --reload  #重新加载防火墙配置

防火墙配置规则

一、查看防火墙开放的规则

1. 可以查看配置 /etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <service name="cockpit"/>
  <port port="9527" protocol="tcp"/>
</zone>

2. 查看防火墙规则与之对应

[root@pc ~]#  firewall-cmd --list-all   #查看防火墙开放的规则
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens160
  sources:
  services: cockpit dhcpv6-client ssh
  ports: 9527/tcp
  protocols:
  forward: no
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:

二、防火墙新增放行规则

1. 命令行方式

firewall-cmd --permanent --add-port=9527/tcp   
#firewall-cmd：是Linux提供的操作firewall的一个工具； 
#--permanent：表示设置为持久；
#--add-port：标识添加的端口；

2. firewall中有Zone的概念，可以将具体的端口制定到具体的zone配置文件中

firewall-cmd --zone=public --permanent --add-port=8010/tcp
#--zone=public：指定的zone为public；

3. 通过新增服务的方式新增防火墙规则

firewall-cmd --permanent --add-service=ssh

4. 通过修改配置文件完成 /etc/firewalld/zones/public.xml

批量开放
firewall-cmd --permanent --zone=public --add-port=100-500/tcp

三、删除防火墙放行规则

1. 移除规则，新增完成会发现public.xml中会删除相应的配置

firewall-cmd --permanent --remove-port=9527/tcp
firewall-cmd --zone=public --permanent --remove-port=8010/

2. 直接修改配置文件 /etc/firewalld/zones/public.xml

四、修改完成刷新防火墙配置

firewall-cmd --reload  #重新加载防火墙配置

防火墙策略【针对Ubuntu】

sudo apt-get install ufw   #安装防火墙

sudo  ufw enable|disable  #开启/关闭
sudo  ufw default deny

sudo ufw reload  #重新加载防火墙配置


#开机自启
sudo  ufw enable
sudo  ufw default deny

防火墙配置规则

sudo ufw allow 80 允许外部访问80端口
sudo ufw allow 22/tcp

sudo ufw delete allow 80     禁止外部访问80 端口
sudo ufw delete allow 22/tcp 禁止外部访问80 端口

sudo ufw deny smtp 禁止外部访问smtp服务

sudo ufw delete allow smtp 删除上面建立的某条规则

sudo  ufw staus #查看相关规则

批量开启/关闭
ufw  allow 22:100/tcp
ufw  delete allow 22:100/tcp

修改完成刷新防火墙配置

sudo ufw reload