Linux Chapter08——iptables与firewa

从RHEL7开始，firewalld防火墙正式取代了iptables防火墙。

iptables

防火墙会按照从上到下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。

基本的命令参数

iptables 是一款基于命令行的防火墙策略管理工具。

• -P 设置默认策略
• -F 情况规则链
• -L 查看规则链
• -A 在规则链的末尾加入新规则
• -I num 在规则链的头部加入新规则
• -s 匹配来源地址 IP/MASK
• -d 匹配目标地址
• -i 网卡名称 匹配从这块网卡流入的数据
• -o 网卡名称 匹配从这块网卡流出的数据
• -p 匹配协议、tcp、udp、ICMP
• --dport num 匹配目标端口号
• --sport num 匹配来源端口号

firewalld

firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。
查看firewalld服务当前所使用的区域

[root@linuxprobe ~]# firewall-cmd --get-default-zone
public

查询指定网卡在firewalld服务中绑定的区域

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=ens160 
public

启动和关闭firewalld防火墙服务的应急状况模式
如果想在1s的时间内阻断一切网络连接，可以使用panic紧急模式

• --panic-on参数会立即切断一切网络连接
• --panic-off会恢复网络连接
  查询SSH和HTTPS协议的流量是否允许放行

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success

把HTTP协议的流量设置为永久拒绝，并立即生效