中（不保留文件 2） #zip -d 压缩文件 1 文件 2 //将压缩文件 1 里的 文件 2 删除 90 二十四、Firewalld 防火墙 配置 firewalld 防火墙可以用 firewall-cmd 命令行工具 ①firewalld 预定义区域 区域 说明 trusted 允许所有传入流量进入系统 public 与出流量相关（tcp）或与 ssh、dhcpv6-client 预定义服务匹配 ②区域管理： #firewall-cmd --get-zones //显示预定义的区域 #firewall-cmd --get-default-zone //显示默认区域 #firewall-cmd --list-all //显示默认区域的所有规则 #firewall-cmd --set-default-zone=区域名 //设置接口的默认区域 #firewall-cmd --get-active-zones --get-active-zones //显示已激活的所有区域 #firewall-cmd --get-zone-of-interface=ens33 //显示指定接口对应的区域 #firewall-cmd --zone=work --change-interface=ens37 //更改接口 ens37 对应的区域 #firewall-cmd --zone=work --add-interface=ens33

8 iptables firewalld ：本章讲解了 RHEL 7 中新增的 firewalld 防火墙与先前版本中 iptables 防火墙之间的区别，并分别使用 iptables、firewall-cmd、 firewall-config 和 TCP Wrappers 等防火墙策略配置服务来完成数十个根据真实工作需 求而设计的防火墙策略配置实验。在完成这些实验之后，读者不仅可以熟练地过滤请 firewalld 防火墙与先前版本中 iptables 防火墙之间的区别，刘遄老师决定 先带领读者从理论层面和实际层面正确地认识这两款防火墙之间的关系。 本章将分别使用 iptables、firewall-cmd、firewall-config 和 TCP Wrapper 等防火墙策略配 置服务来完成数十个根据真实工作需求而设计的防火墙策略配置实验。在学习完这些实验之 后，各位读者不仅能够熟练地 拒绝流入的流量，除非与流出的流量相关 8.3.1 终端管理工具 247 第 2 章在讲解 Linux 命令时曾经提到，命令行终端是一种极富效率的工作方式， firewall-cmd 是 firewalld 防火墙配置管理工具的 CLI（命令行界面）版本。它的参数一般都是 以“长格式”来提供的。大家不要一听到长格式就头大，因为 RHEL 8 系统支持部分命令的 参

fgrep 为文件搜索文字字符串 file 用来探测给定文件的类型 find 在指定目录下查找文件 findfs 标签或UUID查找文件系统 finger 用于查找并显示用户信息 firewall-cmd Linux上新用的防火墙软件，跟iptables差不多的工具 fishshell 比 bash 更好用的 shell fmt 读取文件后优化处理并输出 fold 控制文件内容输出时所占用的屏幕宽度 fgrep 为文件搜索文字字符串 file 用来探测给定文件的类型 find 在指定目录下查找文件 findfs 标签或UUID查找文件系统 finger 用于查找并显示用户信息 firewall-cmd Linux上新用的防火墙软件，跟iptables差不多的工具 fishshell 比 bash 更好用的 shell fmt 读取文件后优化处理并输出 fold 控制文件内容输出时所占用的屏幕宽度 支持。 finger 用于查找并显示用户信息 - 380 - 本文档使用 书栈网 · BookStack.CN 构建 Linux上新用的防火墙软件，跟iptables差不多的工具 firewall-cmd 是 firewalld的字符界面管理工具，firewalld是centos7的一大特性，最大的好 处有两个：支持动态更新，不用重启服务；第二个就是加入了防火墙的“zone”概念。 f

在master机器上 ~]# firewall-cmd --permanent --add-port=6443/tcp ~]# firewall-cmd --permanent --add-port=2379-2380/tcp ~]# firewall-cmd --permanent --add-port=10250/tcp ~]# firewall-cmd --permanent --add-port=10251/tcp --add-port=10251/tcp ~]# firewall-cmd --permanent --add-port=10252/tcp ~]# firewall-cmd --permanent --add-port=10255/tcp ~]# firewall-cmd --reload ~]# modprobe br_netfilter ~]# echo '1' > /proc/sys/ 在node机器上 ~]# firewall-cmd --permanent --add-port=10250/tcp ~]# firewall-cmd --permanent --add-port=10255/tcp ~]# firewall-cmd --permanent --add-port=30000-32767/tcp ~]# firewall-cmd --permanent --add-port=6783/tcp

${port[*]};do firewall-cmd --zone=public --add-port=$p/tcp --permanent > /dev/null 2>&1 if [[ $? == 0 ]];then echo "$p Add successfully!" else echo "$p Add failed!" fi done firewall-cmd –reload   如果需要加入网段访问端口限制： firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.0/24" port protocol="tcp" port="80" accept firewall-cmd –reload 四、部署升级 4.1 部署环境说明 1) 端口检查（详见

#停止 # gitlab-ctl restart #重启 ★放通防火墙 # firewall-cmd --add-service=h�p # firewall-cmd --add-service=h�ps # firewall-cmd --run�me-to-permanent ★查看h�p配置： gitlab-ce自带有nginx软件，查看默认生成的配置：

UDP: 8285，8472 ★最好是允许整个k8s的node网段以及pod网段入站 # firewall-cmd --add-rich-rule='rule family="ipv4" source address="10.99.1.0/24" accept' # firewall-cmd --add-rich-rule='rule family="ipv4" source address="10 address="10.244.0.0/16" accept' # firewall-cmd --run�me-to-permanent # firewall-cmd --list-all ★如果有硬件交换机做ACL或基于云的安全组做访问控制，则可关闭服务器上的 防火墙软件 ⑨加载ipvs模块 # cat > /etc/modules-load.d/k8s-ipvs.conf <

0 码力 | 126 页 | 4.33 MB | 1 年前

3

--driver bridge --subnet=172.10.0.0/16 --gateway=172.10.0.1 rmqnet firewall-cmd --zone=trusted --add-source=172.10.0.1/16 --permanent firewall-cmd --reload 三、配置 docker-compose version: '3.8' services: rmqnamesrv:

systemctl restart postgresql #pg-10版本 ★防火墙放通5432/tcp # firewall-cmd --add-port=5432/tcp --permanent # firewall-cmd --reload pg_hba.conf 配 置 保 存 在 postgres 库 下 面 的 名 为 pg_catalg 的 schema

打开所需的端口： # firewall-cmd --add-port=/tcp --zone=internal --permanent 1 # firewall-cmd --add-port=/tcp --zone=public --permanent 2 # firewall-cmd --reload