当前位置：首页 > news >正文

ubuntu防火墙(三)——firewalld使用与讲解

news 来源：原创 2025/7/15 5:49:56

本文是Linux下，用ufw实现端口关闭、流量控制(二)

firewalld使用方式

firewalld 是一个动态管理防火墙的工具，主要用于 Linux 系统（包括 Ubuntu 和 CentOS 等）。它提供了一个基于区域（zones）和服务（services）的管理方式，使得防火墙的配置和管理更加灵活和易于使用。以下是如何使用 firewalld 管理防火墙的基本步骤和命令。

1. 安装 firewalld

在大多数 Linux 发行版中，firewalld 默认是预装的。如果没有安装，可以使用以下命令进行安装：

# 在 Ubuntu 上
sudo apt install firewalld# 在 CentOS 上
sudo yum install firewalld

2. 启动和启用 firewalld

启动 firewalld 服务并设置为开机自启：

# 启动 firewalld
sudo systemctl start firewalld# 设置开机自启
sudo systemctl enable firewalld

3. 查看当前状态

可以使用以下命令查看 firewalld 的状态：

sudo systemctl status firewalld

4. 基本命令

查看当前区域和规则：

sudo firewall-cmd --get-active-zones

查看特定区域的规则：

sudo firewall-cmd --zone=public --list-all

5. 管理区域

firewalld 使用区域来定义不同的信任级别。可以使用以下命令添加、删除或更改区域的规则。

添加服务到区域：

sudo firewall-cmd --zone=public --add-service=http --permanent

移除服务：

sudo firewall-cmd --zone=public --remove-service=http --permanent

重新加载配置：

sudo firewall-cmd --reload

6. 添加和移除端口

可以直接添加或移除特定端口：

添加端口：

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

移除端口：

sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent

7. 临时和永久规则

使用 --permanent 选项添加的规则在重启后仍然有效。没有 --permanent 选项的规则在重启后会失效。

8. 查看帮助

可以使用以下命令查看 firewalld 的帮助信息：

firewall-cmd --help

总结

firewalld 提供了一种灵活且易于管理的方式来配置 Linux 防火墙。通过使用区域和服务的概念，用户可以轻松地管理网络流量和安全策略。使用 firewalld 时，确保定期检查和更新防火墙规则，以保持系统的安全性。

问答

ubuntu中firewall-config和ufw会冲突吗，可以一起管理防火墙吗
在 Ubuntu 中，firewall-config 和 ufw（Uncomplicated Firewall）是两种不同的防火墙管理工具，它们可以用来配置和管理防火墙规则，但它们之间可能会产生冲突。

1. UFW（Uncomplicated Firewall）

UFW 是一个用户友好的命令行工具，旨在简化 iptables 的使用。它提供了一个简单的界面来管理防火墙规则。
UFW 默认情况下是禁用的，用户可以通过命令行启用或禁用它，并添加或删除规则。

2. Firewall-config

firewall-config 是一个图形用户界面（GUI）工具，通常与 firewalld 一起使用。firewalld 是一个动态管理防火墙的工具，使用 zones 和服务来管理规则。
firewalld 和 ufw 都是基于 iptables，但它们的工作方式不同。

3. 冲突问题

不建议同时使用：如果你同时启用 ufw 和 firewalld，可能会导致冲突，因为它们都试图管理 iptables 规则。一个工具的规则可能会覆盖或干扰另一个工具的规则。
选择其一：建议选择其中一个工具来管理防火墙。如果你选择使用 ufw，请确保 firewalld 被禁用；如果你选择使用 firewalld，请确保 ufw 被禁用。

4. 如何禁用

如果你决定使用 ufw，可以禁用 firewalld：

sudo systemctl stop firewalld
sudo systemctl disable firewalld

如果你决定使用 firewalld，可以禁用 ufw：
```
sudo ufw disable
```

总结

在 Ubuntu 中，建议只使用一个防火墙管理工具（要么是 ufw，要么是 firewalld），以避免潜在的冲突和管理上的复杂性。选择一个适合你需求的工具，并确保另一个工具被禁用。

sudo firewall-cmd --zone=public --add-service=http --permanent允许本地接受外部http的服务?

是的，命令 sudo firewall-cmd --zone=public --add-service=http --permanent 的确允许本地系统接受来自外部的 HTTP 服务请求。具体来说，这个命令的作用如下：

允许 HTTP 流量：通过将 http 服务添加到 public 区域，防火墙将允许通过 HTTP 协议（通常是端口 80）进行的网络流量。这意味着外部客户端（如浏览器）可以向本地服务器发送 HTTP 请求。
适用于 public 区域：public 区域通常用于不受信任的网络环境（例如公共 Wi-Fi）。在这个区域中，默认情况下大多数流量是被阻止的，因此需要明确允许特定的服务（如 HTTP）。
永久性设置：使用 --permanent 选项表示这个更改是永久性的，即使在防火墙重启或系统重启后，HTTP 服务的允许规则仍然有效。

额外步骤

在执行此命令后，通常需要运行以下命令以使更改生效：

sudo firewall-cmd --reload

总结

通过执行该命令，你的本地系统将能够接受来自外部的 HTTP 请求，允许用户访问在本地运行的 Web 服务器（如 Apache 或 Nginx）。确保在配置防火墙时，考虑到安全性，只有在需要时才允许外部访问。

在ubuntu客户机中，firewall-config建议在public区域允许http服务难道不会导致被攻击吗？

在 Ubuntu 客户机中，允许 http 服务（端口 80）确实可能会增加被攻击的风险，尤其是在 public 区域中。public 区域通常用于不受信任的网络环境（如公共 Wi-Fi），在这种情况下，默认情况下大多数服务都是被阻止的。

风险分析

暴露 Web 服务：如果你在客户端上允许 http 服务，这意味着任何人都可以尝试访问该服务。如果客户端上没有运行 Web 服务器，允许 http 服务可能没有实际意义，但如果有 Web 服务器在运行，可能会面临各种攻击（如 DDoS、SQL 注入、跨站脚本等）。
不安全的连接：HTTP 是未加密的协议，数据在传输过程中可能被窃听或篡改。使用 HTTPS（端口 443）可以提供加密的连接，增加安全性。

建议

仅在需要时允许：如果你的客户端不需要提供 Web 服务，建议不要在 public 区域中允许 http 服务。只在确实需要时才允许。
使用 HTTPS：如果你需要提供 Web 服务，尽量使用 HTTPS 而不是 HTTP，以确保数据传输的安全性。
限制访问：如果可能，使用防火墙规则限制可以访问该服务的 IP 地址范围，或者使用 VPN 进行安全访问。
定期检查和更新：定期检查防火墙规则和系统安全性，确保没有不必要的服务暴露在公共网络上。

总结

在 public 区域中允许 http 服务确实可能增加被攻击的风险，因此应谨慎处理。确保只在必要时允许服务，并采取适当的安全措施来保护系统。

建议默认允许端口

dhcpv6-client