Firewalld 防火墙
1. 概述
在 RHEL7 系统中,firewalld 防火墙取代了传统的 iptables 防火墙。iptables 的防火墙策略是通过内核层面的 netfilter 网络过滤器来处理的,而 firewalld 则是通过内核层面的 nftables 包过滤框架来处理。firewalld 提供了更为丰富的功能和动态更新技术,并引入了区域(zone)的概念,使得防火墙策略的管理更加灵活和高效。
2. 区域(Zone)概念
firewalld 引入了区域的概念,即预先准备了几套防火墙策略集合(策略模板)。用户可以根据生产场景的不同,选择合适的策略集合,从而实现防火墙策略之间的快速切换。
常用的区域名称及策略规则
| 区域名称 | 默认策略规则 |
|---|---|
| trusted | 允许所有的数据包进出 |
| home | 拒绝进入的流量,除非与出去的流量相关;允许 ssh、mdns、ipp-client、amba-client 与 dhcpv6-client 服务的进入流量 |
| Internal | 等同于 home 区域 |
| work | 拒绝进入的流量,除非与出去的流量相关;允许 ssh、ipp-client 与 dhcpv6-client 服务的进入流量 |
| public | 拒绝进入的流量,除非与出去的流量相关;允许 ssh、dhcpv6-client 服务的进入流量 |
| external | 拒绝进入的流量,除非与出去的流量相关;允许 ssh 服务的进入流量 |
| dmz | 拒绝进入的流量,除非与出去的流量相关;允许 ssh 服务的进入流量 |
| block | 拒绝进入的流量,除非与出去的流量相关 |
| drop | 拒绝进入的流量,除非与出去的流量相关 |
注意:firewalld 默认出口是全放开的。
3. 动静态更新技术
iptables 的每一个更改都需要先清除所有旧有的规则,然后重新加载所有的规则(包括新的和修改后的规则)。而 firewalld 的任何规则变更都不需要对整个防火墙规则重新加载,支持动态更新技术,大大提高了管理效率。
4. 配置文件
firewalld 的主配置文件是 firewalld.conf。防火墙策略的配置文件以 xml 格式为主,存放在以下两个目录里:
/etc/firewalld:用户配置文件/usr/lib/firewalld:系统配置文件,包含预定义配置文件
5. 管理方式
firewalld 提供了基于 CLI(命令行界面)和基于 GUI(图形用户界面)两种管理方式:
- CLI 工具:
firewall-cmd(终端管理工具) - GUI 工具:
firewall-config(图形管理工具)
firewall-cmd 命令参数
| 参数 | 作用 |
|---|---|
--get-default-zone | 查询默认的区域名称 |
--set-default-zone=<区域名称> | 设置默认的区域,使其永久生效 |
--get-zones | 显示可用的区域 |
--get-services | 显示预定义的服务 |
--get-active-zones | 显示当前正在使用的区域、来源地址和网卡名称 |
--add-source= | 将源自此 IP 或子网的流量导向指定的区域 |
--remove-source= | 不再将源自此 IP 或子网的流量导向这个区域 |
--add-interface=<网卡名称> | 将源自该网卡的所有流量都导向某个指定区域 |
--change-interface=<网卡名称> | 将某个网卡与区域进行关联 |
--list-all | 显示当前区域的网卡配置参数、资源、端口以及服务等信息 |
--list-all-zones | 显示所有区域的网卡配置参数、资源、端口以及服务等信息 |
--add-service=<服务名> | 向指定区域添加服务 |
(注意:--add-service=<服务名> 参数的作用在表格中被截断,应理解为向指定区域添加预定义的服务)
6. 总结
firewalld 防火墙以其丰富的功能、动态更新技术和区域管理概念,在 RHEL7 系统中成为了 iptables 的有力替代者。通过灵活的区域设置和高效的配置管理,firewalld 使得防火墙策略的管理变得更加简单和高效。无论是通过 CLI 还是 GUI 方式,用户都能轻松地进行防火墙策略的配置和管理。
相关文章:
Firewalld 防火墙
1. 概述 在 RHEL7 系统中,firewalld 防火墙取代了传统的 iptables 防火墙。iptables 的防火墙策略是通过内核层面的 netfilter 网络过滤器来处理的,而 firewalld 则是通过内核层面的 nftables 包过滤框架来处理。firewalld 提供了更为丰富的功能和动态更…...
Hive查询优化 - 面试工作不走弯路
引言:Hive作为一种基于Hadoop的数据仓库工具,广泛应用于大数据分析。然而,由于其依赖于MapReduce框架,查询的性能可能会受到影响。为了确保Hive查询能够高效运行,掌握查询优化技巧至关重要。在日常工作中,高…...
【VUE3】uniapp + vite中 uni.scss 使用 /deep/ 不生效(踩坑记录三)
vite 中使用 /deep/ 进行样式穿透报错 原因:vite 中不支持,换成 ::v-deep 或:deep即可...
容器部署rabbitmq集群迁移
1、场景: 因业务需要,要求把rabbitmq-A集群上的数据迁移到rabbitmq-B集群上,rabbitmq的数据包括元数据(RabbitMQ用户、vhost、队列、交换和绑定)和消息数据,而消息数据存储在单独的消息存储库中。 2、迁移要…...
DP:背包问题----0/1背包问题
文章目录 💗背包问题💛背包问题的变体🧡0/1 背包问题的数学定义💚解决背包问题的方法💙例子 💗解决背包问题的一般步骤?💗例题💗总结 ❤️❤️❤️❤️❤️博客主页&…...
React antd umi 监听当前页面离开,在菜单栏提示操作
需求是我这里有个页面,离开当前页面之后,需要在菜单栏显示个提示,也就是Tour const [unblock, setUnblock] useState<() > void>(() > () > {});const [next, setNext] useState();useEffect(() > {const unblockHandler…...
在 Windows PowerShell 中模拟 Unix/Linux 的 touch 命令
在 Unix 或 Linux 系统中,touch 命令被广泛用于创建新文件或更新现有文件的时间戳。不过,在 Windows 系统中,尤其是在 PowerShell 环境下,并没有内置的 touch 命令。这篇博客将指导你如何在 Windows PowerShell 中模拟 touch 命令…...
鸿蒙NEXT
[中国,东莞,2024年6月24日] 华为开发者大会(HDC)正式开幕,带来全新的 HarmonyOS NEXT、盘古大模型5.0等最创新成果,持续为消费者和开发者带来创新体验。 HarmonyOS NEXT 鸿蒙生态 星河璀璨 鸿蒙生态设备数…...
VUE3-Elementplus-form表单-笔记
1. 结构相关 el-row表示一行,一行分成24份 el-col表示列 (1) :span"12" 代表在一行中,占12份 (50%) (2) :span"6" 表示在一行中,占6份 (25%) (3) :offset"3" 代表在一行中,左侧margin份数 el…...
Analyze an ORA-12801分析并行 parallel 12801 实际原因
"ORA-06512: at "PKG_P_DATA", line 19639 ORA-06512: at "PKG_P_DATA", line 19595 ORA-06512: at "PKG_P_DATA", line 14471-JOB 调用 -ORA-12801: error signaled in parallel query server P009, instance rac2:dwh2 (2) Error: ORA-12…...
高级运维工程师讲述银河麒麟V10SP1服务器加固收回权限/tmp命令引起生产mysql数据库事故实战
高级运维工程师讲述银河麒麟V10SP1服务器加固收回权限/tmp命令引起生产MySql数据库事故实战 一、前言 作为运维工程师经常会对生产服务器进行安全漏洞加固,一般服务厂商、或者甲方信息安全中心提供一些安全的shell脚本,一般这种shell脚本都是收回权限&…...
昇思25天学习打卡营第09天|sea_fish
打开第九天,本次学习的内容为保存与加载,记录学习的过程。本次的内容少而且简单。 在训练网络模型的过程中,实际上我们希望保存中间和最后的结果,用于微调(fine-tune)和后续的模型推理与部署,因…...
flutter开发实战-Charles抓包设置,dio网络代理
flutter开发实战-Charles抓包设置 在开发过程中抓包,可以看到请求参数等数据,方便分析问题。flutter上使用Charles抓包设置。dio需要设置网络代理。 一、dio设置网络代理 在调试模式下需要抓包调试,所以需要使用代理,并且仅用H…...
Elasticsearch:Runtime fields - 运行时字段(二)
这是继上一篇文章 “Elasticsearch:Runtime fields - 运行时字段(一)” 的续篇。 在查询时覆盖字段值 如果你创建的运行时字段与映射中已存在的字段同名,则运行时字段会隐藏映射字段。在查询时,Elasticsearch 会评估运…...
)
Python正则表达式的入门用法(上)
Python正则表达式是使用re模块来进行操作的。re模块提供了一组函数,用于进行字符串的匹配和查找操作。 下面是Python中使用正则表达式的一些常用函数: re.search(pattern, string):在字符串中查找并返回第一个匹配的对象。 re.match(patte…...
Audio Processing Graphs 管理 Audio Units
Audio Processing Graphs 管理 Audio Units Audio Processing Graphs 管理 Audio UnitsAudio Processing Graph 拥有精确的 I/O UnitAudio Processing Graph 提供线程安全通过 graph "pull" 音频流 Audio Processing Graphs 管理 Audio Units audio processing grap…...
欧盟,又出了新规-通用充电器新规通用充電器的 RED 修正案如何办理?
欧盟,又出了新规-通用充电器新规通用充電器的 RED 修正案如何办理? 欧盟新规委员会发布《通用充电器指令》指南通用充電器的 RED 修正案办理流程: 2024年5月7日,欧盟委员会发布《通用充电器指令》指南,修订了《无线…...
thinkphp6/8 验证码
html和后台验证代码按官方来操作 ThinkPHP官方手册 注意: 如果验证一直失败,看看Session是否开启, 打印dump(session_status());结果2为正确的, PHP_SESSION_DISABLED: Session功能被禁用(返回值为0)。…...
Ubuntu 22.04 LTS 上安装 MySQL8.0.23(在线安装)
目录 在线安装MySQL 步骤1:更新软件包列表 步骤2:安装MySQL服务器 步骤3:启动MySQL服务 步骤4:检查MySQL状态 步骤5:修改密码、权限 在线安装MySQL 步骤1:更新软件包列表 在进行任何软件安装之前&a…...
如何选择优质模型?SD3性能究竟如何?
遇到难题不要怕!厚德提问大佬答! 厚德提问大佬答12 厚德提问大佬答第十二期 你是否对AI绘画感兴趣却无从下手?是否有很多疑问却苦于没有大佬解答带你飞?从此刻开始这些问题都将迎刃而解!你感兴趣的话题,厚德…...
动态生成展示:LiuJuan20260223Zimage模型根据实时天气创作“风晴雨雪”主题画
动态生成展示:LiuJuan20260223Zimage模型根据实时天气创作“风晴雨雪”主题画 你有没有想过,家里的数字画框或者手机壁纸,能像有生命一样,随着窗外的天气实时变化?今天,我就带你体验一个特别有意思的玩法&…...
哈尔滨全屋定制厂家:值得信赖的筛选逻辑深度解析
哈尔滨全屋定制厂家筛选逻辑深度解析:5步找到值得信赖的本地品牌 “哈尔滨全屋定制厂家选择,不是看广告多响,而是这5个筛选逻辑能帮你避开90%的坑”。对于准备在哈尔滨做全屋定制的业主来说,选对厂家直接决定了最终效果与性价比&…...
Wemod-Patcher:开源工具实现WeMod功能增强的完整方案
Wemod-Patcher:开源工具实现WeMod功能增强的完整方案 【免费下载链接】Wemod-Patcher WeMod patcher allows you to get some WeMod Pro features absolutely free 项目地址: https://gitcode.com/gh_mirrors/we/Wemod-Patcher 在游戏体验优化领域࿰…...
Thermal Control Center:Dell G15散热管理的开源替代方案实战指南
Thermal Control Center:Dell G15散热管理的开源替代方案实战指南 【免费下载链接】tcc-g15 Thermal Control Center for Dell G15 - open source alternative to AWCC 项目地址: https://gitcode.com/gh_mirrors/tc/tcc-g15 在追求极致性能的游戏本领域&…...
)
别再死记硬背了!用ChatGPT/Claude帮你理解AIGC面试题(附Prompt)
用AI对话引擎拆解AIGC面试核心:从死记硬背到深度理解的范式转移 在准备AIGC算法面试时,大多数候选人都会陷入"八股文"的泥潭——机械记忆概念定义却难以理解技术本质。这种学习方式不仅效率低下,更无法应对面试官深入的技术追问。本…...
MedGemma-X性能优化:基于CUDA的医疗影像加速处理
MedGemma-X性能优化:基于CUDA的医疗影像加速处理 1. 当医生等结果的时间,能不能再短一点? 上周陪家人做肺部CT复查,从扫描结束到拿到报告,中间隔了近40分钟。放射科医生说,现在AI辅助系统已经能帮着初筛&…...
)
Python张量框架选型避坑清单:87个真实项目踩坑案例汇总(含ONNX兼容性断裂、梯度检查点失效、分布式checkpoint跨框架不一致等3类高危风险)
第一章:Python张量框架选型的底层逻辑与决策模型选择Python张量框架并非仅由“流行度”或“上手快慢”驱动,而是需穿透API表层,审视其内存布局、计算图构建机制、设备抽象粒度与编译优化能力等底层要素。不同框架在张量生命周期管理上存在本质…...
Turtlebot3仿真避坑指南:从ROS环境配置到GPU加速训练的全流程解析
Turtlebot3仿真避障训练全流程避坑指南:从环境配置到GPU加速的实战经验 第一次在实验室里启动Turtlebot3仿真环境时,我盯着屏幕上卡在99%加载进度的Gazebo界面整整三小时。作为机器人方向的研究生,没人告诉我仿真环境搭建会消耗80%的科研时间…...
Nitrox模组:如何将Subnautica的单人深海恐惧变为团队协作冒险
Nitrox模组:如何将Subnautica的单人深海恐惧变为团队协作冒险 【免费下载链接】Nitrox An open-source, multiplayer modification for the game Subnautica. 项目地址: https://gitcode.com/gh_mirrors/ni/Nitrox 当你第一次潜入4546B行星的海洋时ÿ…...
3步实现路由器固件自动更新:从繁琐到智能的运维升级指南
3步实现路由器固件自动更新:从繁琐到智能的运维升级指南 【免费下载链接】immortalwrt An opensource OpenWrt variant for mainland China users. 项目地址: https://gitcode.com/GitHub_Trending/im/immortalwrt 一、痛点分析:为什么手动更新让…...