linux防火墙工具之firewalld

firewalld简介

　　firewalld是redhat7默认的防火墙配置管理工具拥有命令行（CLI）和图形用户界面（GUI）两种管理方式，对比传统的防火墙工具，firewalld支持动态更新技术并加入了区域（zone）的概念，区域就是firewalld预设的几套防火墙策略模版集合，用户能够根据不一样的工做场景选择不一样的策略（经过选择区域的方式实现），firewalld的命令参数支持TAB键自动补齐，

策略默认是运行时（runtime）模式，又称为当前模式，系统重启后失效，若想使用永久（permanent）模式，就需在firewall-cmd  命令后面加参数 --permanent,在系统重启后生效。若想让配置策略当即生效需执行命令 firewall-cmd　--reload。

　　firewalld中的富规则能够针对系统服务、端口、源地址、和目标地址进行针对性的策略配置，在全部防火墙工具中优先级最高

firewalld服务自定义策略演示

1.查看当前使用区域

2.查询网卡的区域

3.修改网卡的默认区域为external，并重启后永久生效,并查看当前模式和永久模式下的区域名称

4.修改当前的默认区域为home

5.启动和关闭firewalld防火墙的应急情况模式，阻断一切网络链接（远程登入时慎用）

firewall-cmd　--panic-on　　===>开启

firewall-cmd　--panic-on　　===>关闭

6.查询public区域是否容许SSH和HTTPS协议流量，能够看到容许ssh,不容许https

7.修改在public区域中容许https流量，永久有效，并当即生效，能够看到为yes了

8.修改public区域中永久模式下拒绝https流量，当即生效，

9.把public区域中访问8080和8081的流量测试为容许，当前模式下

10把本来访问本机888端口的流量转发到22端口，要求当前和长期有效

SSH服务默认端口是22，其余端口是不能够访问，咱们这里设置了端口转接，应该是能够登入的，

这里我用另外一台虚拟机登入测试，不执行 firewall-cmd　--reload

没法ssh登入,网络是通的，

咱们执行firewall-cmd　--reload,再登入看看

能够看到已成功登入到tes01了

11.使用firewalld的富规则，配置一条规则拒绝192.168.10.0、24网端所用用户访问主机的ssh服务

 富规则建立参数：--add-rich-rule=" 这里面是具体规则  "；

同网段的本机本身能够登入，其余同网段的不行

图形化工具则使用命令：firewall-config

须要安装 yum install -y firewall-config;再执行firewall-config命令