如何使用 Firewalld 配置 Linux 主机

使用Firewalld配置Linux主机能够提供灵活的防火墙管理功能，使系统管理员能够更加高效地控制主机的网络流量和访问权限。核心观点包括：安装及启用Firewalld、配置防火墙规则、管理防火墙区域、实现端口转发、配置临时与永久规则。安装及启用Firewalld是进行任何防火墙规则设置前的首要步骤，通常通过Linux发行版的包管理工具进行安装。安装后，需要确保Firewalld服务已启动并设置为开机启动，这确保了防火墙规则能在系统启动时自动生效，为系统提供持续的保护。

一、安装及启用FIREWALLD

在开始配置Firewalld之前，首先需要在Linux系统中安装Firewalld。

1. 对于基于Red Hat的发行版（如CentOS、Fedora），可以使用yum或dnf命令安装：

   sudo dnf install firewalld
   
   

2. 对于基于Debian的系统（如Ubuntu），可以使用apt命令进行安装：

   sudo apt install firewalld
   
   

安装完成后，启用并启动Firewalld服务是确保防火墙规则正确应用的关键步骤。

1. 使用以下命令启动Firewalld服务：

   sudo systemctl start firewalld
   
   

2. 然后，启用服务开机自启，确保每次系统重启时，Firewalld服务都会自动启动：

   sudo systemctl enable firewalld
   
   

二、配置防火墙规则

配置Firewalld规则包括允许或拒绝特定服务和端口的访问。

1. 允许或禁止服务和端口。使用firewall-cmd命令，您可以轻松管理访问权限。例如，要允许HTTP服务：

   sudo firewall-cmd --zone=public --add-service=http --permanent
   
   

2. 重载Firewalld以应用更改。在添加或更改规则后，需重新加载Firewalld，使更改生效：

   sudo firewall-cmd --reload
   
   

三、管理防火墙区域

Firewalld通过“区域”（Zones）概念提供额外的灵活性。区域定义了一组规则，指定哪些服务和端口在特定的接口或源地址范围内允许通行。

1. 查看当前区域配置，使用如下命令：

   sudo firewall-cmd --get-active-zones
   
   

2. 将接口分配给特定区域，强化网络安全：

   sudo firewall-cmd --zone=public --change-interface=eth0 --permanent
   
   

四、实现端口转发

Firewalld支持端口转发，使外部请求能够转发到不同的内部IP与端口上。

1. 首先，启用IP转发：

   sudo firewall-cmd --zone=public --add-masquerade --permanent
   
   

2. 然后，设置需要转发的端口：

   sudo firewall-cmd --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.1.100 --permanent
   
   

五、配置临时与永久规则

Firewalld允许临时和永久配置规则，以提供灵活的管理选项。

1. 任何没有--permanent标志的命令添加的规则为临时规则，重启Firewalld服务或系统后，这些规则将不再有效。

   sudo firewall-cmd --zone=public --add-service=http
   
   

2. 添加--permanent标志可以使规则持久化存储，即使重启服务或系统，这些规则也会保持有效：

   sudo firewall-cmd --zone=public --add-service=http --permanent
   
   

通过以上步骤，系统管理员可以灵活地使用Firewalld管理Linux主机的网络安全。 实现效果包括了基础的防火墙设置、服务和端口的管理、复杂的网络区域划分以及高级的网络流量控制策略。正确配置并管理Firewalld是确保Linux系统安全的关键一环。

相关问答FAQs：

1. 如何在Linux主机上启用Firewalld？

启用Firewalld是保护Linux主机安全的重要步骤。您可以按照以下步骤在Linux主机上启用Firewalld：
a. 打开终端并以root用户身份登录到Linux主机。
b. 启用Firewalld服务，执行命令：systemctl enable firewalld。
c. 启动Firewalld服务，执行命令：systemctl start firewalld。
d. 验证Firewalld是否正在运行，执行命令：systemctl status firewalld。

2. 如何配置Firewalld防火墙规则？

配置Firewalld防火墙规则可以帮助您控制进出Linux主机的网络流量。以下是配置Firewalld防火墙规则的一般步骤：
a. 打开终端并以root用户身份登录到Linux主机。
b. 使用firewall-cmd命令添加规则，例如，限制特定端口的访问：firewall-cmd --zone=public --add-port=80/tcp。
c. 更新Firewalld配置，执行命令：firewall-cmd --reload。
d. 验证防火墙规则是否生效，执行命令：firewall-cmd --list-all。

3. 如何在Firewalld中配置服务和端口？

Firewalld允许您根据服务和端口来配置防火墙规则，以便更好地管理网络流量。以下是在Firewalld中配置服务和端口的示例：
a. 打开终端并以root用户身份登录到Linux主机。
b. 使用firewall-cmd命令添加和移除服务，例如，允许HTTP服务：firewall-cmd --zone=public --add-service=http。
c. 使用firewall-cmd命令添加和移除端口，例如，允许特定端口的访问：firewall-cmd --zone=public --add-port=8080/tcp。
d. 更新Firewalld配置，执行命令：firewall-cmd --reload。
e. 验证服务和端口配置是否生效，执行命令：firewall-cmd --list-all。