本文是Linux下，用ufw實現(xiàn)端口關(guān)閉、流量控制(二)

firewalld使用方式

firewalld 是一個動態(tài)管理防火墻的工具，主要用于 Linux 系統(tǒng)（包括 Ubuntu 和 CentOS 等）。它提供了一個基于區(qū)域（zones）和服務(wù)（services）的管理方式，使得防火墻的配置和管理更加靈活和易于使用。以下是如何使用 firewalld 管理防火墻的基本步驟和命令。

1. 安裝 firewalld

在大多數(shù) Linux 發(fā)行版中，firewalld 默認(rèn)是預(yù)裝的。如果沒有安裝，可以使用以下命令進(jìn)行安裝：

# 在 Ubuntu 上
sudo apt install firewalld# 在 CentOS 上
sudo yum install firewalld

2. 啟動和啟用 firewalld

啟動 firewalld 服務(wù)并設(shè)置為開機(jī)自啟：

# 啟動 firewalld
sudo systemctl start firewalld# 設(shè)置開機(jī)自啟
sudo systemctl enable firewalld

3. 查看當(dāng)前狀態(tài)

可以使用以下命令查看 firewalld 的狀態(tài)：

sudo systemctl status firewalld

4. 基本命令

• 查看當(dāng)前區(qū)域和規(guī)則：

sudo firewall-cmd --get-active-zones

• 查看特定區(qū)域的規(guī)則：

sudo firewall-cmd --zone=public --list-all

5. 管理區(qū)域

firewalld 使用區(qū)域來定義不同的信任級別?？梢允褂靡韵旅钐砑?、刪除或更改區(qū)域的規(guī)則。

• 添加服務(wù)到區(qū)域：

sudo firewall-cmd --zone=public --add-service=http --permanent

• 移除服務(wù)：

sudo firewall-cmd --zone=public --remove-service=http --permanent

• 重新加載配置：

sudo firewall-cmd --reload

6. 添加和移除端口

可以直接添加或移除特定端口：

• 添加端口：

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

• 移除端口：

sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent

7. 臨時和永久規(guī)則

• 使用 --permanent 選項添加的規(guī)則在重啟后仍然有效。沒有 --permanent 選項的規(guī)則在重啟后會失效。

8. 查看幫助

可以使用以下命令查看 firewalld 的幫助信息：

firewall-cmd --help

總結(jié)

firewalld 提供了一種靈活且易于管理的方式來配置 Linux 防火墻。通過使用區(qū)域和服務(wù)的概念，用戶可以輕松地管理網(wǎng)絡(luò)流量和安全策略。使用 firewalld 時，確保定期檢查和更新防火墻規(guī)則，以保持系統(tǒng)的安全性。

問答

ubuntu中firewall-config和ufw會沖突嗎，可以一起管理防火墻嗎
在 Ubuntu 中，firewall-config 和 ufw（Uncomplicated Firewall）是兩種不同的防火墻管理工具，它們可以用來配置和管理防火墻規(guī)則，但它們之間可能會產(chǎn)生沖突。

1. UFW（Uncomplicated Firewall）

• UFW 是一個用戶友好的命令行工具，旨在簡化 iptables 的使用。它提供了一個簡單的界面來管理防火墻規(guī)則。
• UFW 默認(rèn)情況下是禁用的，用戶可以通過命令行啟用或禁用它，并添加或刪除規(guī)則。

2. Firewall-config

• firewall-config 是一個圖形用戶界面（GUI）工具，通常與 firewalld 一起使用。firewalld 是一個動態(tài)管理防火墻的工具，使用 zones 和服務(wù)來管理規(guī)則。
• firewalld 和 ufw 都是基于 iptables，但它們的工作方式不同。

3. 沖突問題

• 不建議同時使用：如果你同時啟用 ufw 和 firewalld，可能會導(dǎo)致沖突，因為它們都試圖管理 iptables 規(guī)則。一個工具的規(guī)則可能會覆蓋或干擾另一個工具的規(guī)則。
• 選擇其一：建議選擇其中一個工具來管理防火墻。如果你選擇使用 ufw，請確保 firewalld 被禁用；如果你選擇使用 firewalld，請確保 ufw 被禁用。

4. 如何禁用

• 如果你決定使用 ufw，可以禁用 firewalld：

  sudo systemctl stop firewalld
  sudo systemctl disable firewalld
  

• 如果你決定使用 firewalld，可以禁用 ufw：

  sudo ufw disable
  

總結(jié)

在 Ubuntu 中，建議只使用一個防火墻管理工具（要么是 ufw，要么是 firewalld），以避免潛在的沖突和管理上的復(fù)雜性。選擇一個適合你需求的工具，并確保另一個工具被禁用。

sudo firewall-cmd --zone=public --add-service=http --permanent允許本地接受 外部http的服務(wù)?

是的，命令 sudo firewall-cmd --zone=public --add-service=http --permanent 的確允許本地系統(tǒng)接受來自外部的 HTTP 服務(wù)請求。具體來說，這個命令的作用如下：

1. 允許 HTTP 流量：通過將 http 服務(wù)添加到 public 區(qū)域，防火墻將允許通過 HTTP 協(xié)議（通常是端口 80）進(jìn)行的網(wǎng)絡(luò)流量。這意味著外部客戶端（如瀏覽器）可以向本地服務(wù)器發(fā)送 HTTP 請求。

2. 適用于 public 區(qū)域：public 區(qū)域通常用于不受信任的網(wǎng)絡(luò)環(huán)境（例如公共 Wi-Fi）。在這個區(qū)域中，默認(rèn)情況下大多數(shù)流量是被阻止的，因此需要明確允許特定的服務(wù)（如 HTTP）。

3. 永久性設(shè)置：使用 --permanent 選項表示這個更改是永久性的，即使在防火墻重啟或系統(tǒng)重啟后，HTTP 服務(wù)的允許規(guī)則仍然有效。

額外步驟

在執(zhí)行此命令后，通常需要運行以下命令以使更改生效：

sudo firewall-cmd --reload

總結(jié)

通過執(zhí)行該命令，你的本地系統(tǒng)將能夠接受來自外部的 HTTP 請求，允許用戶訪問在本地運行的 Web 服務(wù)器（如 Apache 或 Nginx）。確保在配置防火墻時，考慮到安全性，只有在需要時才允許外部訪問。

在ubuntu客戶機(jī)中，firewall-config建議在public區(qū)域允許http服務(wù)難道不會導(dǎo)致被攻擊嗎？

在 Ubuntu 客戶機(jī)中，允許 http 服務(wù)（端口 80）確實可能會增加被攻擊的風(fēng)險，尤其是在 public 區(qū)域中。public 區(qū)域通常用于不受信任的網(wǎng)絡(luò)環(huán)境（如公共 Wi-Fi），在這種情況下，默認(rèn)情況下大多數(shù)服務(wù)都是被阻止的。

風(fēng)險分析

1. 暴露 Web 服務(wù)：如果你在客戶端上允許 http 服務(wù)，這意味著任何人都可以嘗試訪問該服務(wù)。如果客戶端上沒有運行 Web 服務(wù)器，允許 http 服務(wù)可能沒有實際意義，但如果有 Web 服務(wù)器在運行，可能會面臨各種攻擊（如 DDoS、SQL 注入、跨站腳本等）。

2. 不安全的連接：HTTP 是未加密的協(xié)議，數(shù)據(jù)在傳輸過程中可能被竊聽或篡改。使用 HTTPS（端口 443）可以提供加密的連接，增加安全性。

建議

• 僅在需要時允許：如果你的客戶端不需要提供 Web 服務(wù)，建議不要在 public 區(qū)域中允許 http 服務(wù)。只在確實需要時才允許。

• 使用 HTTPS：如果你需要提供 Web 服務(wù)，盡量使用 HTTPS 而不是 HTTP，以確保數(shù)據(jù)傳輸?shù)陌踩浴?/p>

• 限制訪問：如果可能，使用防火墻規(guī)則限制可以訪問該服務(wù)的 IP 地址范圍，或者使用 VPN 進(jìn)行安全訪問。

• 定期檢查和更新：定期檢查防火墻規(guī)則和系統(tǒng)安全性，確保沒有不必要的服務(wù)暴露在公共網(wǎng)絡(luò)上。

總結(jié)

在 public 區(qū)域中允許 http 服務(wù)確實可能增加被攻擊的風(fēng)險，因此應(yīng)謹(jǐn)慎處理。確保只在必要時允許服務(wù)，并采取適當(dāng)?shù)陌踩胧﹣肀Ｗo(hù)系統(tǒng)。

建議默認(rèn)允許端口

• dhcpv6-client