firewall
防火墙策略(默认开启)
firewall-config 打开图形化界面
活动的绑定:指的是哪个默认的区域在工作
区域的理解:类似于公共网络的概念
建议:再修改防火墙的时候,一定要看清基于哪个网卡的配置
drop:接入到该区域的流量全被拒绝
block:接入到该区域的流量全是拒绝的,但是针对于icmp协议会返回,destination host prohibited dorp流量全部被允许
trusted:接入到该区域的流量全被信任
home:只信任home网络
work:信任工作网络
public:不信任任何网络
防火墙运行时:可影响当前的防火墙规则
永久:影响下一次开机
建议:再修改防火墙的时候,在永久的模式下进行配置,随后重载防火墙,可以保证防火墙运行时和永久模式下防火墙的同步
fire-cmd --list-all 查看当前默认区域下的防火墙规则
fire-cmd --table查看所有命令
命令添加某个服务:
fire-cmd --add-service= 服务 --permanent
重新载入防火墙:
fire-cmd --reload
fire-cmd --zone=区域 --add-service= 服务 --permanent
fire-cmd --zone=区域 --remove-service= 服务 --permanent
协议
protocol
添加源端口:--add-source-port-
添加端口转发
eg:把9527端口转发到80
fire-cmd --zone=区域 --add-forward-port=9527:proto:tcp:toport=80 --permanent
添加富规则
firewall-cmd --zone=区域 --add-rich-rule=规则 --permanent
fire-cmd --reload
具体的富规则
第一项:关键字:rule
第二项:选择地址簇:family=ipv4 或者 family=ipv6
第三项:内容包括
源地址:source address=
目标地址:destination address=
服务:service name=
端口转发:forward-port=
转发目的端口:to-port=
转发目的地址:to-addr=
协议:protocal
具体的处理行为
drop 拒绝
reject 拒绝,但是会返回信息
accept 接受
eg:用富规则设置9527转发至80
firewall-cmd --zone=区域 --add-rich-rule=‘rule family=ipv4 forward-port port=9527 protocal=tcp to-port=80‘ --permanent
用富规则设置来源是192.168.1.1的ip,不能用ssh连接
fire-cmd --zone=public --add-rich-rule=‘rule family=ipv4 source address=192.168.1.1/24 service name=ssh drop‘ --permanent
用命令修改网卡所处的区域
firewall-cmd --zone=区域 --change-interface=ens33
//选中ens33网卡,点击编辑,改变ens33所处的区域
firewall-cmd --zone=区域 --add-interface=ens33
//选中区域,点击添加ens33网卡
firewall-cmd --get-services
//查看firewall所管理的服务名称
firewall-cmd --get-zones 查看当前已有的区域
firewall-cmd --get-active-zones 查看当前活跃的区域
firewall-cmd --get-defaults-zone 查看当前防火墙的默认区域
firewall-cmd --list-service --zone=home 查看home下可用的服务
firewall-cmd --set-default --zone=home 设置默认区域为home