firewalld
2019-01-15 本文已影响4人
胡玉国
☞ 说明
Linux上新的防火墙软件,和iptables差不多的工具。firewalld是centos7的一大特性,两大优点:支持动态更新,不用重启服务;加入了防火墙的“zone”概念。
firewalld能动态修改单条规则,不像iptables,修改规则后必须全部刷新才能生效。firewalld在使用上要比iptables人性化很多。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter。
☞ 安装使用
| 命令 | 描述 |
|---|---|
| rpm -qa | grep firewalld | 查看是否安装 |
| yum install firewalld | 安装 |
| rpm -qa | grep firewall-config | 查看是否安装图形界面 |
| yum install firewall-config | 如果需要图形界面的话,需要安装 |
| systemctl start firewalld | 启动 |
| systemctl restart firewalld | 重启 |
| systemctl disable firewalld | 停止 |
| systemctl stop firewalld | 禁用 |
| systemctl status firewalld | firewall-cmd --state | 查看状态 |
| firewall-cmd --list-ports | 查看开通端口列表 |
| firewall-cmd --zone=public --remove-port=80/tcp --permanent | 关闭端口 |
| firewall-cmd --permanent --zone=public --add-port=80/tcp | 开通端口 |
| firewall-cmd --get-default-zone | 查看default zone |
| firewall-cmd --get-active-zones | 查看active zone |
备注:--zone #作用域 --add-port=80/tcp #添加端口,格式为:端口/通讯协议 --permanent #永久生效,没有此参数重启后失效
firewall防火墙默认的几个zone(由firewalld 提供的区域按照从不信任到信任的顺序排序)
| 命令 | 描述 |
|---|---|
| drop | 任何流入网络的包都被丢弃,不作出任何响应,只允许流出的网络连接。即使开放了某些服务(比如http),这些服务的数据也是不允许通过的 |
| block | 任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。 |
| public(默认) | 用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的服务通过。 |
| external | 用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机,只允许选中的服务通过。 |
| dmz | 用以允许隔离区(dmz)中的电脑有限地被外界网络访问,只允许选中的服务通过。 |
| work | 用在工作网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。 |
| home | 用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。 |
| internal | 用在内部网络。你信任网络中的大多数计算机不会影响你的计算机,只允许选中的服务通过。 |
| trusted | 允许所有网络连接,即使没有开放任何服务,那么使用此zone的流量照样通过(一路绿灯)。 |
