區域(zone)概念
相較於傳統的防火牆管理配置工具,firewalld支援動態更新技術並加入了區域(zone)的概念。簡單來說,區域就是firewalld預先準備了幾套防火牆策略集合(策略模板),使用者可以根據生產場景的不同而選擇合適的策略集合,從而實現防火牆策略之間的快速切換。
區域 預設規則策略
trusted 允許所有的資料報 home 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、mdns、ipp-client、amba-client與dhcpv6-client服務 相關,則允許流量 internal 等同於home區域 work 拒絕流入的流量,除非與流出的流量數相關;而如果流量與ssh、ipp-client與dhcpv6-client服務相關,則允許流量 public 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh、dhcpv6-client服務相關,則允許流量 external 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量 dmz 拒絕流入的流量,除非與流出的流量相關;而如果流量與ssh服務相關,則允許流量 block 拒絕流入的流量,除非與流出的流量相關 drop 拒絕流入的流量,除非與流出的流量相關
firewalld服務程式兩種管理方式
命令列介面:firewall-cmd
圖形化介面:firewall-config
firewalld策略兩種生效模式
runtime:當前生效模式,但重啟後失效。 permanent:重啟後永久有效,但不能立即生效,配置策略時加上--permanment就可以了。
例如[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https #當前有效,重啟無效
success
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https #當前無效,重啟後永久有效
success
[root@linuxprobe ~]# firewall-cmd --reload #是permanent立即生效
succes
firewall-cmd 常用命令(當前生效模式模式)
1.管理區域(策略模板)
firewall-cmd --get-default-zone #檢視firewalld服務當前所使用的區域
firewall-cmd --get-zone-of-inte***ce=eno16777728 #查詢eno16777728網絡卡在firewalld服務中的區域
firewall-cmd --zone=external --change inte***ce=eno16777728 #修改網絡卡預設區域為external
2.設定服務策略
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https #查詢
no[root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https #設定區域public 允許https服務的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https #查詢
yes[root@linuxprobe ~]# firewall-cmd --zone=public --remove-service=https #設定區域public 不再允許https服務的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https #查詢
no3.設定埠策略
[root@linuxprobe ~]# firewall-cmd --zone=public --query-port=80/tcp #查詢
no[root@linuxprobe ~]# firewall-cmd --zone=public --add-port=80/tcp #設定public區域 允許80埠的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-port=80/tcp #查詢
yes[root@linuxprobe ~]# firewall-cmd --zone=public --remove-port=80/tcp #設定public區域 不再允許80埠的流量
success
[root@linuxprobe ~]# firewall-cmd --zone=public --query-port=80/tcp #查詢
no4.埠**
把原本訪問本機888埠的流量**到22埠,要且求當前和長期均有效:
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
success
[root@linuxprobe ~]# firewall-cmd --reload
success
5.富規則
使其拒絕192.168.10.0/24網段的所有使用者訪問本機的ssh服務(22埠):
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
success
[root@linuxprobe ~]# firewall-cmd --reload
success
firewall-config 圖形化工具
firewall-config
8 iptablesfirewalldé2¢8 iptablesfirewalldé2¢
1:選擇執行時(runtime)模式或永久(permanent)模式的配置。
2:可選的策略集合區域列表。
3:常用的系統服務列表。
4:當前正在使用的區域。
5:管理當前被選中區域中的服務。
6:管理當前被選中區域中的埠。
7:開啟或關閉snat(源位址轉換協議)技術。
8:設定埠**策略。
9:控制請求icmp服務的流量。
10:管理防火牆的富規則。
11:管理網絡卡裝置。
13:firewall-config工具的執行狀態。
ps:如果想要配置的防火牆策略永久且立即生效,請在配置圖形介面前勾選 1 永久(permanent)模式 ,然後進行配置,配置好之後,選擇options -->reload firewalld (相當於命令 firewall-cmd --reload)
Centos7 使用firewall管理防火牆
一 centos7使用firewall的管理防火牆 1.firewalld基本使用 啟動 systemctl start firewalld 關閉 systemctl stop firewalld 狀態 systemctl status firewalld 開機禁用 systemctl disabl...
linux學習筆記 firewall
修改網絡卡 etc sysconfig network script ifcfg eno16777726 nm connection editor 網絡卡編輯器 nmtui 桌面右上角修改網絡卡 iptables 五個鏈 input output forward prerouting postrou...
Linux之firewall 防火牆 常用命令
1.檢視已經開放的埠 firewall cmd list ports 2.新增埠 firewall cmd zone public add port 80 tcp permanent 命令含義 zone 作用域 add port 80 tcp 新增埠,格式為 埠 通訊協議 permanent 永久生...