本文是Linux下，用ufw實(shí)現(xiàn)端口關(guān)閉、流量控制(二)

firewalld使用方式

firewalld 是一個(gè)動(dòng)態(tài)管理防火墻的工具，主要用于 Linux 系統(tǒng)（包括 Ubuntu 和 CentOS 等）。它提供了一個(gè)基于區(qū)域（zones）和服務(wù)（services）的管理方式，使得防火墻的配置和管理更加靈活和易于使用。以下是如何使用 firewalld 管理防火墻的基本步驟和命令。

1. 安裝 firewalld

在大多數(shù) Linux 發(fā)行版中，firewalld 默認(rèn)是預(yù)裝的。如果沒(méi)有安裝，可以使用以下命令進(jìn)行安裝：

# 在 Ubuntu 上
sudo apt install firewalld# 在 CentOS 上
sudo yum install firewalld

2. 啟動(dòng)和啟用 firewalld

啟動(dòng) firewalld 服務(wù)并設(shè)置為開(kāi)機(jī)自啟：

# 啟動(dòng) firewalld
sudo systemctl start firewalld# 設(shè)置開(kāi)機(jī)自啟
sudo systemctl enable firewalld

3. 查看當(dāng)前狀態(tài)

可以使用以下命令查看 firewalld 的狀態(tài)：

sudo systemctl status firewalld

4. 基本命令

• 查看當(dāng)前區(qū)域和規(guī)則：

sudo firewall-cmd --get-active-zones

• 查看特定區(qū)域的規(guī)則：

sudo firewall-cmd --zone=public --list-all

5. 管理區(qū)域

firewalld 使用區(qū)域來(lái)定義不同的信任級(jí)別?？梢允褂靡韵旅钐砑印h除或更改區(qū)域的規(guī)則。

• 添加服務(wù)到區(qū)域：

sudo firewall-cmd --zone=public --add-service=http --permanent

• 移除服務(wù)：

sudo firewall-cmd --zone=public --remove-service=http --permanent

• 重新加載配置：

sudo firewall-cmd --reload

6. 添加和移除端口

可以直接添加或移除特定端口：

• 添加端口：

sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent

• 移除端口：

sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent

7. 臨時(shí)和永久規(guī)則

• 使用 --permanent 選項(xiàng)添加的規(guī)則在重啟后仍然有效。沒(méi)有 --permanent 選項(xiàng)的規(guī)則在重啟后會(huì)失效。

8. 查看幫助

可以使用以下命令查看 firewalld 的幫助信息：

firewall-cmd --help

總結(jié)

firewalld 提供了一種靈活且易于管理的方式來(lái)配置 Linux 防火墻。通過(guò)使用區(qū)域和服務(wù)的概念，用戶(hù)可以輕松地管理網(wǎng)絡(luò)流量和安全策略。使用 firewalld 時(shí)，確保定期檢查和更新防火墻規(guī)則，以保持系統(tǒng)的安全性。

問(wèn)答

ubuntu中firewall-config和ufw會(huì)沖突嗎，可以一起管理防火墻嗎
在 Ubuntu 中，firewall-config 和 ufw（Uncomplicated Firewall）是兩種不同的防火墻管理工具，它們可以用來(lái)配置和管理防火墻規(guī)則，但它們之間可能會(huì)產(chǎn)生沖突。

1. UFW（Uncomplicated Firewall）

• UFW 是一個(gè)用戶(hù)友好的命令行工具，旨在簡(jiǎn)化 iptables 的使用。它提供了一個(gè)簡(jiǎn)單的界面來(lái)管理防火墻規(guī)則。
• UFW 默認(rèn)情況下是禁用的，用戶(hù)可以通過(guò)命令行啟用或禁用它，并添加或刪除規(guī)則。

2. Firewall-config

• firewall-config 是一個(gè)圖形用戶(hù)界面（GUI）工具，通常與 firewalld 一起使用。firewalld 是一個(gè)動(dòng)態(tài)管理防火墻的工具，使用 zones 和服務(wù)來(lái)管理規(guī)則。
• firewalld 和 ufw 都是基于 iptables，但它們的工作方式不同。

3. 沖突問(wèn)題

• 不建議同時(shí)使用：如果你同時(shí)啟用 ufw 和 firewalld，可能會(huì)導(dǎo)致沖突，因?yàn)樗鼈兌荚噲D管理 iptables 規(guī)則。一個(gè)工具的規(guī)則可能會(huì)覆蓋或干擾另一個(gè)工具的規(guī)則。
• 選擇其一：建議選擇其中一個(gè)工具來(lái)管理防火墻。如果你選擇使用 ufw，請(qǐng)確保 firewalld 被禁用；如果你選擇使用 firewalld，請(qǐng)確保 ufw 被禁用。

4. 如何禁用

• 如果你決定使用 ufw，可以禁用 firewalld：

  sudo systemctl stop firewalld
  sudo systemctl disable firewalld
  

• 如果你決定使用 firewalld，可以禁用 ufw：

  sudo ufw disable
  

總結(jié)

在 Ubuntu 中，建議只使用一個(gè)防火墻管理工具（要么是 ufw，要么是 firewalld），以避免潛在的沖突和管理上的復(fù)雜性。選擇一個(gè)適合你需求的工具，并確保另一個(gè)工具被禁用。

sudo firewall-cmd --zone=public --add-service=http --permanent允許本地接受 外部http的服務(wù)?

是的，命令 sudo firewall-cmd --zone=public --add-service=http --permanent 的確允許本地系統(tǒng)接受來(lái)自外部的 HTTP 服務(wù)請(qǐng)求。具體來(lái)說(shuō)，這個(gè)命令的作用如下：

1. 允許 HTTP 流量：通過(guò)將 http 服務(wù)添加到 public 區(qū)域，防火墻將允許通過(guò) HTTP 協(xié)議（通常是端口 80）進(jìn)行的網(wǎng)絡(luò)流量。這意味著外部客戶(hù)端（如瀏覽器）可以向本地服務(wù)器發(fā)送 HTTP 請(qǐng)求。

2. 適用于 public 區(qū)域：public 區(qū)域通常用于不受信任的網(wǎng)絡(luò)環(huán)境（例如公共 Wi-Fi）。在這個(gè)區(qū)域中，默認(rèn)情況下大多數(shù)流量是被阻止的，因此需要明確允許特定的服務(wù)（如 HTTP）。

3. 永久性設(shè)置：使用 --permanent 選項(xiàng)表示這個(gè)更改是永久性的，即使在防火墻重啟或系統(tǒng)重啟后，HTTP 服務(wù)的允許規(guī)則仍然有效。

額外步驟

在執(zhí)行此命令后，通常需要運(yùn)行以下命令以使更改生效：

sudo firewall-cmd --reload

總結(jié)

通過(guò)執(zhí)行該命令，你的本地系統(tǒng)將能夠接受來(lái)自外部的 HTTP 請(qǐng)求，允許用戶(hù)訪問(wèn)在本地運(yùn)行的 Web 服務(wù)器（如 Apache 或 Nginx）。確保在配置防火墻時(shí)，考慮到安全性，只有在需要時(shí)才允許外部訪問(wèn)。

在ubuntu客戶(hù)機(jī)中，firewall-config建議在public區(qū)域允許http服務(wù)難道不會(huì)導(dǎo)致被攻擊嗎？

在 Ubuntu 客戶(hù)機(jī)中，允許 http 服務(wù)（端口 80）確實(shí)可能會(huì)增加被攻擊的風(fēng)險(xiǎn)，尤其是在 public 區(qū)域中。public 區(qū)域通常用于不受信任的網(wǎng)絡(luò)環(huán)境（如公共 Wi-Fi），在這種情況下，默認(rèn)情況下大多數(shù)服務(wù)都是被阻止的。

風(fēng)險(xiǎn)分析

1. 暴露 Web 服務(wù)：如果你在客戶(hù)端上允許 http 服務(wù)，這意味著任何人都可以嘗試訪問(wèn)該服務(wù)。如果客戶(hù)端上沒(méi)有運(yùn)行 Web 服務(wù)器，允許 http 服務(wù)可能沒(méi)有實(shí)際意義，但如果有 Web 服務(wù)器在運(yùn)行，可能會(huì)面臨各種攻擊（如 DDoS、SQL 注入、跨站腳本等）。

2. 不安全的連接：HTTP 是未加密的協(xié)議，數(shù)據(jù)在傳輸過(guò)程中可能被竊聽(tīng)或篡改。使用 HTTPS（端口 443）可以提供加密的連接，增加安全性。

建議

• 僅在需要時(shí)允許：如果你的客戶(hù)端不需要提供 Web 服務(wù)，建議不要在 public 區(qū)域中允許 http 服務(wù)。只在確實(shí)需要時(shí)才允許。

• 使用 HTTPS：如果你需要提供 Web 服務(wù)，盡量使用 HTTPS 而不是 HTTP，以確保數(shù)據(jù)傳輸?shù)陌踩浴?/p>

• 限制訪問(wèn)：如果可能，使用防火墻規(guī)則限制可以訪問(wèn)該服務(wù)的 IP 地址范圍，或者使用 VPN 進(jìn)行安全訪問(wèn)。

• 定期檢查和更新：定期檢查防火墻規(guī)則和系統(tǒng)安全性，確保沒(méi)有不必要的服務(wù)暴露在公共網(wǎng)絡(luò)上。

總結(jié)

在 public 區(qū)域中允許 http 服務(wù)確實(shí)可能增加被攻擊的風(fēng)險(xiǎn)，因此應(yīng)謹(jǐn)慎處理。確保只在必要時(shí)允許服務(wù)，并采取適當(dāng)?shù)陌踩胧﹣?lái)保護(hù)系統(tǒng)。

建議默認(rèn)允許端口

• dhcpv6-client