Veröffentlicht am 14-03-2019

Verwalten Ihrer Firewall unter Centos 7 mit Firewalld

Von Alain Francois, Alibaba Cloud Tech Share Autor. Tech Share ist das Incentive-Programm von Alibaba Cloud, um den Austausch von technischem Wissen und bewährten Verfahren innerhalb der Cloud-Community zu fördern.

Die meisten Systeme sind derzeit mit dem Internet verbunden, wodurch sie externen Benutzern zugänglich gemacht werden, die möglicherweise versuchen, sich unberechtigten Zugriff zu verschaffen, indem sie illegale Verbindungen einrichten, die Fernkommunikation abfangen oder sich als gültiger Benutzer ausgeben. Es gibt verschiedene Möglichkeiten zum Schutz vor solchen Angriffen, z. B. Firewalls, Verschlüsselung und Authentifizierungsverfahren.

Eine Firewall ist eine Schutzschicht, die basierend auf vordefinierten Regeln zwischen einem privaten und einem öffentlichen Netzwerk konfiguriert wird, um den Datenverkehr zu trennen. Eingehende und ausgehende Datenpakete werden von der Firewall abgefangen und geprüft, sodass nur nicht bedrohliche Pakete passieren können. In Linux-Systemen gibt es zwei leistungsstarke Firewalls, die Firewall und Iptables sind. Der Linux-Kernel implementiert Firewall-Funktionen über das netfilter-Framework, um jedes Paket zu überprüfen. Um zu konfigurieren, welche Pakete zulässig sind und welche nicht, ist firewalld die Standardlösung auf RedHat-basierten Systemen wie Centos 7

Funktionsweise von Firewalld

Centos-Administratoren können ihre Umgebung verwalten, indem sie die Paketregeln mit Firewalld festlegen. FirewallD for Firewall Daemon wurde als vollständig neue Lösung für die Verwaltung von Linux-Firewalls über systemd entwickelt, wobei die Unit-Datei firewalld.service verwendet wird, in der die Laufzeitkonfiguration aus / etc / sysconfig / firewalld gelesen wird.

Der Firewalld-Dienst speichert die Firewall-Regeln im XML-Dateiformat an zwei verschiedenen Orten: die systemdefinierten Regeln im Verzeichnis / usr / lib / firewalld und die benutzerdefinierten Regeln in / etc / firewalld. Normalerweise müssen Sie Regeln nicht offline aus einer Datei laden, sondern direkt zum FirewallD-Dämon hinzufügen. Die Dateien am vorherigen Speicherort können als Vorlagen zum Hinzufügen oder Ändern neuer Regeln verwendet werden. Wir müssen nur die erforderliche Datei in das Verzeichnis / etc / firewalld / services kopieren und die erforderlichen Aktualisierungen vornehmen. Der firewalld-Dienst liest die Dateien in / etc / firewalld und wendet die darin definierten Regeln an.

Sie müssen sicherstellen, dass der Firewalld-Dienst ausgeführt wird. Wenn nicht, starten Sie ihn und aktivieren Sie ihn für den Startstart

# systemctl start firewalld && systemctl enable
  Symlink von /etc/systemd/system/multi-user.target.wants/firewalld.service nach /usr/lib/systemd/system/firewalld.service erstellt

Dann überprüfen Sie den Zustand

# firewall-cmd --state
    Laufen

Firewalld bietet mehr Flexibilität mit seinem Konzept von Netzwerkzonen und Dienstnamen. Der Befehl firewall-cmd ist das leistungsstarke Befehlszeilentool, das zum Erstellen, Ändern, Verwalten und Entfernen von Regeln verwendet wird, die den Verkehr nach Dienst oder Port über den Firewalld-Dienst zulassen oder ablehnen.

Der Zweck von Zonen in Firewalld

Der erste Punkt sind die Firewall-Zonen, in denen die Vertrauensstufe für verschiedene Arten von Netzwerkverbindungen definiert wird. Sie können in zwei Arten unterteilt werden: veränderlich, wo die Änderung der Definition zulässig ist, und unveränderlich, wenn die Definition nicht geändert werden kann. Jedes Paket, das in das System eingeht, wird auf seine Quelladresse hin analysiert. Auf der Basis dieser Quelladresse analysiert Firewalld, ob das Paket zu einer bestimmten Zone gehört. Jede Zone kann mehrere Verbindungen haben, eine Verbindung kann jedoch nur zu einer Zone gehören.

Die Verwendung von Zonen ist auf Servern mit mehreren Schnittstellen besonders wichtig, da Administratoren problemlos bestimmte Regeln festlegen können. Die Konfigurationsdateien für die benutzerdefinierte Zone befinden sich in / etc / firewalld / zone. In der Konfigurationsdatei /etc/firewalld.conf ist eine Standardzone festgelegt, die als öffentliche Zone vordefiniert ist. Firewalld funktioniert mit einigen Standardzonen, die wie folgt definiert sind:

  • vertrauenswürdige unveränderliche: Zulassen Sie alle Netzwerkverbindungen
  • unveränderlich verwerfen: Alle eingehenden Pakete werden verworfen und es erfolgt keine Antwort, aber laufende Pakete werden akzeptiert
  • Unveränderlich blockieren: Alle eingehenden Pakete werden mit ICMP-Host-verbotenen Nachrichten an den Absender zurückgewiesen
  • public mutable: Dies ist die Standardzone für alle neu erstellten Netzwerkschnittstellen. Es stellt einen öffentlichen Bereich für ein nicht vertrauenswürdiges Netzwerk dar, in dem nur eingeschränkte Verbindungen akzeptiert werden. Es bedeutet, den anderen Computern nicht zu vertrauen
  • extern veränderbar: Für externe Netzwerke mit aktivierter NAT-Maskierung, bei der nur ausgewählte eingehende Pakete akzeptiert werden, um ein lokales Netzwerk zu schützen.
  • dmz mutable: Für Computer in einer demilitarisierten Zone öffentlich zugänglich, werden hier nur ausgewählte eingehende Pakete akzeptiert. Der Computer hat eingeschränkten Zugriff auf das interne Netzwerk.
  • home mutable: für vertrauenswürdige Heimnetzwerke, bei denen nur ausgewählte eingehende Pakete akzeptiert werden. Die meisten Computer in demselben Netzwerk sind vertrauenswürdig
  • work mutable: für vertrauenswürdige Arbeitsnetzwerke, bei denen nur ausgewählte eingehende Verbindungen akzeptiert werden.
  • Internal Mutable: für interne Netzwerke mit einer Beschränkung auf eingehende Verbindungen.

Die Zonendateien werden in den Verzeichnissen / usr / lib / firewalld / zone / oder / etc / firewalld / zone gespeichert, die mit der Erweiterung .xml gespeichert sind

# ls / usr / lib / firewalld / zone /
    block.xml drop.xml home.xml public.xml work.xml
    dmz.xml external.xml internal.xml trusted.xml

Sie können sich den Inhalt einer Zone ansehen

# cat /usr/lib/firewalld/zones/dmz.xml
    
    
       DMZ 
       Für Computer in Ihrer entmilitarisierten Zone, die öffentlich zugänglich sind und nur eingeschränkten Zugriff auf Ihr internes Netzwerk haben. Nur ausgewählte eingehende Verbindungen werden akzeptiert. 
      
    

Für eine bestimmte Zone können Sie Dienste, Ports, Masquerading, Portweiterleitung und ICMP-Filter konfigurieren.

Verwalten Sie die Zonen mit Firewall-cmd

Sie verwalten die Zonen mit dem Befehl firewall-cmd mithilfe einiger Parameter:

  • - Get-Zonen: Zeigt alle Zonen in Ihrer Umgebung an
  • - get-default-zone: Zeigt die aktuelle Standardzone an
  • - list-all: Listet nur die Konfiguration (Dienste) der Standardzone auf
  • - list-all-zone: listet die Konfiguration (Dienste) aller präsentierten Zonen gleichzeitig auf
  • - Get-Active-Zonen: Zeigt alle aktiven Zonen an. Sie können mehr als eine Zone haben.

und Sie können die Zonen mit dem Parameter --get-zone auflisten

# firewall-cmd --get-zone
    Blockieren dmz drop extern zu Hause interne öffentliche vertrauenswürdige Arbeit

Sie können die Standardzone mit der --get-default-zone überprüfen

# firewall-cmd --get-default-zone
    Öffentlichkeit

Jede Zone hat eine bestimmte Konfiguration, die Sie wie in der Standardzone wie unten beschrieben überprüfen können

# firewall-cmd --list-all
    öffentlich (aktiv)
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen: ens33 ens34
      Quellen:
      Dienste: dhcpv6-client ssh
      Anschlüsse: 3389 / tcp
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:

Sie sehen, dass die Standardzone auch die aktive Zone ist. Damit können wir uns vorstellen, dass wir die aktive Zone überprüfen können. Dies ist mit den --get-aktiven Zonen möglich

# firewall-cmd - aktiv-aktivzonen
    Öffentlichkeit
      Schnittstellen: ens33 ens34

Sie können die Konfigurationen aller Zonen auflisten

# firewall-cmd --list-all-zone
    Block
      Ziel: %% REJECT %%
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienstleistungen:
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    dmz
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienstleistungen: ssh
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    fallen
      Ziel: DROP
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienstleistungen:
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    extern
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienstleistungen: ssh
      Häfen:
      Protokolle:
      Maskerade: Ja
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    Zuhause
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      services: ssh mdns samba-client dhcpv6-client
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    intern
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      services: ssh mdns samba-client dhcpv6-client
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    öffentlich (aktiv)
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen: ens33 ens34
      Quellen:
      Dienste: dhcpv6-client ssh
      Anschlüsse: 3389 / tcp
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    Vertrauenswürdige
      Ziel: AKZEPTIEREN
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienstleistungen:
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:
        
    
    Arbeit
      Ziel: Standard
      icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienste: ssh dhcpv6-client
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:

Sie können eine bestimmte Zone auswählen, um ihre Konfigurationen mit dem Parameter --zone = anzuzeigen

# firewall-cmd --zone = dmz --list-all
    dmz
        Ziel: Standard
        icmp-blockinversion: nein
      Schnittstellen:
      Quellen:
      Dienstleistungen: ssh
      Häfen:
      Protokolle:
      Maskerade: Nein
      Forward-Ports:
      Quell-Ports:
      icmp-blöcke:
      reiche Regeln:

Bearbeiten Sie eine Zone

Sie können die Standardzone ändern, um eine andere Zone festzulegen

# firewall-cmd --set-default-zone = work
    Erfolg

Sie können sehen, dass die Änderung wirksam wurde. Sie können es mit der --get-default-zone überprüfen

# firewall-cmd --get-default-zone
    Arbeit

Eine Zone kann einer Server-Schnittstelle zugewiesen werden. Wenn ein Server mehrere Schnittstellen hat, können Sie jeder Zone eine Zone zuordnen, um Ihre Netzwerkstrategie zu implementieren. Dies kann durch die Kombination der Parameter --zone = und --change-interface = erfolgen

# firewall-cmd --zone = external --change-interface = ens34
    Erfolg

Durch das Zuweisen einer neuen Zone zu einer Schnittstelle wird diese Zone automatisch aktiviert

# firewall-cmd - aktiv-aktivzonen
    Arbeit
      Schnittstellen: ens33
    extern
      Schnittstellen: ens34

Sie können auch mit dem Parameter --query-interface = prüfen, ob eine bestimmte Schnittstelle zu einer Zone gehört

# firewall-cmd --zone = work --query-interface = ens34
    Nein

Sie sehen, dass die Schnittstelle ens34 für die Arbeitszone nicht konfiguriert ist.

Mit der Option --masquerade können Zonen zum Maskieren hinzugefügt, entfernt und abgefragt werden

# firewall-cmd --zone = work --add-maskerade
    Erfolg

Und Sie können das Ergebnis überprüfen

# firewall-cmd --zone = work --list-all | grep masq
    Maskerade: Ja

Sie entfernen die Maskerade mit der Option --remove-masquerade.

Firewalld-Dienste

Der zweite Punkt ist der Firewalld-Dienst, der nicht mit einem Dienst in Systemd identisch ist. Einige Standarddienste sind in firewalld definiert, sodass Administratoren den Zugriff auf bestimmte Ports auf einem Server problemlos akzeptieren oder verweigern können. Ein Dienst kann als Netzwerkprotokolle oder -anschlüsse sowie als Liste von Firewall-Hilfsmodulen angezeigt werden, die automatisch geladen werden, wenn ein Dienst aktiviert ist. Wenn Sie einen Dienst wie einen Webserver, einen FTP-Server oder SSH-verschlüsselte Verbindungen ausführen möchten, müssen Sie diese während der Konfiguration in den Firewalld-Diensten angeben.

Hinter jedem Dienst befindet sich eine Konfigurationsdatei, in der erläutert wird, welche UDP- oder TCP-Ports betroffen sind und welche Kernelmodule ggf. geladen werden müssen. Die Verwendung vordefinierter Dienste erleichtert es dem Benutzer, den Zugriff auf einen Dienst zu aktivieren und zu deaktivieren. Die Dienste werden in den Diensten / usr / lib / firewalld / oder etc / firewalld / gespeichert

# ls / usr / lib / firewalld / services
    amanda-client.xml kadmin.xml puppetmaster.xml
    amanda-k5-client.xml kerberos.xml quassel.xml
    ......
    ......
    https.xml pmwebapi.xml transmission-client.xml
    http.xml pop3s.xml vdsm.xml
    imaps.xml pop3.xml vnc-server.xml
    imap.xml postgresql.xml wbem-https.xml
    ipp-client.xml privoxy.xml xmpp-bosh.xml
    ipp.xml proxy-dhcp.xml xmpp-client.xml
    ipsec.xml ptp.xml xmpp-local.xml
    iscsi-target.xml pulseaudio.xml xmpp-server.xml

Sie können den Inhalt eines Dienstes überprüfen

# cat /usr/lib/firewalld/services/https.xml
    
    
       Secure WWW (HTTPS) 
       HTTPS ist ein modifiziertes HTTP, das für die Bereitstellung von Webseiten verwendet wird, wenn Sicherheit wichtig ist. Beispiele sind Websites, für die Anmeldungen wie Geschäfte oder Webmail erforderlich sind. Diese Option ist nicht erforderlich, um Seiten lokal anzuzeigen oder Webseiten zu entwickeln. Das httpd-Paket muss installiert sein, damit diese Option nützlich ist. 
      
    

Dienste mit Firewalld verwalten

Die Dienste werden weiterhin mit dem Befehl firewall-cmd verwaltet, gefolgt vom Parameter --get-services, der eine Liste der Namen enthält, die von firewalld zur Identifizierung einiger Netzwerkdienste verwendet werden:

# firewall-cmd --get-services
    RH-Satellite-6 Amanda-Client Amanda-K5-Client Bacula Bacula-Client Bitcoin Bitcoin-Rpc Bitcoin-Testnet Bitcoin-Testnet-Rpc Ceph Ceph-Mon Cfengine Condor-Collector Ctdb dhcpvc dhcpv6-Client dns Docker-Registrierung
....

Sie können nur die Dienste auflisten, die derzeit in der Standardzone verwendet werden

# firewall-cmd --list-services
    ssh dhcpv6-client

Es ist möglich, nur die offenen Ports einer Zone aufzulisten. Das Ergebnis ist leer, wenn kein Port vorhanden ist

# firewall-cmd --zone = interne --list-Ports

Wenn Sie keine Zone angeben, werden die Ports der Standardzone aufgelistet.

Fügen Sie Dienste und Ports hinzu und entfernen Sie sie

Wenn Sie einen Dienst oder einen Port in Firewalld hinzufügen (öffnen) oder entfernen (schließen), müssen Sie nicht den gesamten Firewalld-Dienst selbst neu starten, sondern nur neu laden. Das Hinzufügen eines Dienstes erfolgt mit der Option --add-service =. Sie können eine bestimmte Zone auswählen. Wenn Sie keine Zone angeben, wird die Standardzone berücksichtigt.

Sie können einen Dienst hinzufügen, indem Sie das zu verwendende Netzwerkprotokoll angeben

# firewall-cmd --add-service = https
    Erfolg

Sie können stattdessen einen Port hinzufügen und müssen entweder TCP oder UDP angeben

# firewall-cmd --zone = home - add-port = 5901-5910 / tcp
    Erfolg

Die hinzugefügten Dienste und Ports sind nicht persistent. Wenn Sie den Server oder den Firewalld-Dienst neu starten, verlieren Sie die Konfiguration. Um die Konfiguration immer dauerhaft zu machen, müssen Sie die Option --permanent verwenden und anschließend firewalld neu laden, um mit --reloadoption wirksam zu werden

# firewall-cmd --permanent --zone = public --add-port = 993 / tcp
    Erfolg

Jetzt neu laden. Stellen Sie sicher, dass für jede Konfiguration von Firewalld der Dienst auf Ihrer Seite neu geladen wird. Wir werden den Reload-Befehl nicht jedes Mal anzeigen.

# firewall-cmd --reload
    Erfolg

Es ist möglich, eine Reihe von Ports hinzuzufügen

# firewall-cmd --permanent --zone = public --add-port = 6350-6400 / tcp && firewall-cmd --reload
    Erfolg
    Erfolg

Sie können einen Dienst mit der Option --remove-service = entfernen. Sie können auch eine Zone für die Standardzone angeben (oder nicht). Vergessen Sie nicht, nach einer Änderung neu zu laden

# firewall-cmd --permanent --remove-service = https
    Erfolg

Sie können einen Port mit dem Befehl remove-port = für eine bestimmte Zone entfernen, wenn Sie möchten

# firewall-cmd --permanent --zone = extern --remove-port = 143
    Erfolg

Sie können auch mit der Option query-service = prüfen, ob ein Dienst in einer Zone aktiviert ist

# firewall-cmd --zone = externer --query-service = ssh
    Ja

Dasselbe kann mit einem Port mit dem Abfrage-Port = gemacht werden

# firewall-cmd --zone = public --query-port = 3389 / tcp
    Ja

Hinzufügen und Entfernen einer Quelle

Eine Quelle in Firewalld repräsentiert eine IP-Adresse, die zum Filtern von Paketen durch eine Zone verwendet wird. Sie können eine Quelle mit der Option --add-source = hinzufügen

# firewall-cmd --permanent --zone = vertrauenswürdig --add-source = 172.16.8.0 / 24
    Erfolg

Sie können nur alle Quellen einer Zone anzeigen

# firewall-cmd --zone = vertrauenswürdige --list-sources
    172.16.8.0/24

Jetzt können Sie eine Quelle entfernen

# firewall-cmd --permanent --zone = vertrauenswürdig --remove-source = 172.16.8.0 / 24
    Erfolg

Konfigurieren Sie die Portweiterleitung

In der Netzwerkrichtlinie müssen Sie für eine Zone Inboud-Pakete von einem Port an einen anderen benutzerdefinierten weiterleiten. Um dies in Firewalld zu tun, müssen Sie das Masquerading für die Zone aktivieren. Die Maskierung ist eine Form der Adressübersetzung, bei der eine Adresse eines privaten Netzwerks hinter einer öffentlichen Adresse abgebildet wird. Dies geschieht im Allgemeinen für ein externes Netzwerk.

Prüfen Sie, ob das Masquerading bereits aktiviert ist

# firewall-cmd --zone = externe --query-maskerade
    Ja

Wenn dies nicht in Ihrem Fall der Fall ist, dann Sie können die Änderung dauerhaft machen

# firewall-cmd --permanent --zone = external --add-maskerade

Nehmen wir an, wir werden die Pakete für Port 143 / tcp an Port 4545 / tcp an einer neuen Adresse weiterleiten.

# firewall-cmd --permanent --zone = external --add-forward-port = port = 143: proto = tcp: toport = 4545: toaddr = 192.1.0.20
    Erfolg

Nach dem Neuladen können Sie die Zoneninformationen auflisten. Sie können die Weiterleitung mit löschen

# firewall-cmd --permanent --zone = external --remove-forward-port = port = 143: proto = tcp: toport = 4545: toaddr = 192.1.0.20
    Erfolg

Erlaube und blockiere ICMP-Pakete

Um einen Server zu sichern, wird normalerweise empfohlen, die icmp-Pakete zu blockieren. Es gibt einige Arten von ICMP-Paquets wie Echoantwort und Echoanforderung. Es ist interessant, den zu blockierenden Typ zu kennen, und es ist mit der Option --get-icmptypes möglich

# firewall-cmd --get-icmptypes
    Adresse, die nicht erreichbar ist, fehlerhafter Header, Kommunikation verboten, Ziel nicht erreichbar, Echo-Antwort, Echo-Anforderung, Fragmentierung, erforderlich. Host-Präzedenzverletzung, Host
    ....
    ....

Jetzt können Sie den zu blockierenden Pakettyp mit der Option --add-icmp-block = auswählen

# firewall-cmd --permanent --zone = external --add-icmp-block = Echoantwort
    Erfolg

Laden Sie dann die Zone erneut und überprüfen Sie sie, um das Ergebnis zu sehen

# firewall-cmd --zone = external --list-all | grep icmp
      icmp-blockinversion: nein
      icmp-blocks: Echo-Antwort

Mehrere Ports und Dienste gleichzeitig hinzufügen und entfernen

Normalerweise können Sie mit firewalld nicht mehrere Dienste oder Ports in einem Befehl verwalten. Aber wir können sehen, wie es möglich ist, dies mit einer Skript-Bash zu tun. Die Idee ist, eine Schleife zu erstellen, in der die Ports oder Dienste aufgelistet werden, die im Befehl firewalld hinzugefügt werden sollen. Sie können entscheiden, ob Sie die Option --permanent für die Konfiguration verwenden möchten

# vim firewalld-ports.sh
  
    #! / bin / bash
      für i in 443 465 993 2626 3232
      tun
        firewall-cmd --permanent --zone = public --add-port = $ {i} / tcp && Firewall-cmd --reload
      erledigt

Vergessen Sie nicht, das Skript neu zu laden. Dann ändern Sie die Erlaubnis

# chmod + x firewalld-ports.sh

Jetzt können Sie das Skript ausführen

# ./firewalld-port.sh
    Erfolg
    Erfolg
    Erfolg
    Erfolg
    Erfolg
    Erfolg
    Erfolg

Wenn Sie mehrere Ports entfernen möchten, ändern Sie einfach die Option mit --remove-port. Wenn Sie mehrere Dienste hinzufügen oder entfernen möchten, bearbeiten Sie einfach die Skriptdatei, indem Sie die Liste der Ports in die Liste der Dienste und die erforderliche Option --add-service oder --remove-service ändern

# vim firewalld-services.sh
    #! / bin / bash
      für ich in https imaps snmp smtps
      tun
        firewall-cmd --permanent --zone = public --add-service = $ {i} && firewall-cmd --reload
      erledigt

Jetzt wissen Sie, wie die Firewall funktioniert und wie Sie Ihren Server richtig sichern können. Mit Firewalld können Sie basierend auf den von Ihnen konfigurierten Zonen und Diensten die Netzwerksicherheit erhöhen, indem Sie den Datenverkehr so ​​steuern, dass er zugelassen oder gesperrt wird. Der Service kann bequem um die Ports herum verwendet werden. Firewalld bietet eine grafische Oberfläche, die mit Firewall-Config verwendet werden kann.

Referenz: https://www.alibabacloud.com/blog/manage-guer-firewall-on-centos-7-mit-firewalld_594550? Spm = A2C41.12636948.0.0

Siehe auch

Messaging-Ecke für Unternehmen - Süd durch SüdwestenGoogle nimmt einen neuen Look für sein Hardware-Geschäft aufDer weltweite Markt für Flüssigfiltrationsmedien wird voraussichtlich von USD 2.135,65 wachsenVerwendung der IAM-PlattformKfz-Türgriffsensoren Branchengröße, Anteil, Status, globales Wachstum, Anwendungen…MSI PS63 Modern Review