- A+
要想使用firewalld,首先你得安装好.不过一般情况下centos7应该是预装好了
# yum install firewalld
如果你想使用图形化配置工具,可以安装firewall-config
# yum install firewall-config
一.基本介绍
Zone
防火墙守护基于用户对网络设备所给予的信任程度,将网络分割成不同的区域.Zone提供了以下几个级别
-
drop(丢弃)
任何接收的网络数据包都被丢弃,不会有任何回复.仅能有发送出去的网络连接. -
block(限制)
任何接收的网络连接都被IPV4的icmp-host-prohibited 信息和IPV6的icmp6-adm-prohibited 信息所拒绝
拒绝所有外部发起的连接,允许内部发起的连接 -
public(公共)
在公共区域内使用,在这个网络环境内其他的计算机都具有潜在的威胁,只能接受经过选取的连接
允许指定的连接 -
external(外部)
跟public类似,区别在于external对伪装的进入连接起作用(路由器的NAT),一般用于路由转发 -
dmz(非军事区,对外网络)
用于非军事区内的设备,此区域内可以公开访问,可以有限制地进入您的内部网络,仅仅接收经过选择的连接 -
work(工作网络)
在工作区网络中,你基本可以相信网络中其他的电脑不会对你的电脑造成危害,仅仅接收经过选择的连接 -
home(家庭网络)
跟"work"一样,只是换个名字便于区分 -
internal(内部网络)
跟上面两个一样 -
trusted(信任)
信任所有连接
相关过滤规则
- source:根据源地址过滤
- interface:根据网卡过滤
- service:根据服务名过滤
- port:根据端口号过滤
- icmp-block:报文过滤,按照icmp类型配置
- masquerade:IP地址伪装
- forward-port:端口转发
- rule:自定义规则
过滤规则的优先级遵循如下顺序:
- source
- interface
- firewalld.conf
一些生词(对我而言)
- panic 拒绝
firewalld-cmd --panic-on - permanent:永久生效
firewalld-cmd --zone=public --add-port=8888-9000/udp --permanent
`firewalld-cmd --zone=public --add-interface=eth0 --permanent - reload 重载
firewalld-cmd --reload
二.三种查询
-
list 指定区域列出信息
firewalld-cmd --zone=public --list-interfacesfirewalld-cmd --zone=public --list-ports -
query 查询
firewalld-cmd --query-panicfirewalld-cmd --zone=external --query-masquerade -
get 获取
firewalld-cmd --get-servicefirewalld-cmd --get-service --permanentfirewalld-cmd --get-active-zones
firewalld-cmd --get-icmptypes
