CentOS7 默认防火墙firewalld

　　firewalld基础

　　firewalld是CentOS7源生支持的防火墙，firewalld最大的好处有两个：支持动态更新，不用重启服务；第二个就是加入了防火墙的“zone”概念。

　　firewalld的字符界面管理工具是 firewall-cmd

　　firewalld默认配置文件有两个：/usr/lib/firewalld/ （系统配置，尽可能不要修改）和 /etc/firewalld/ （用户配置地址）

　　zone概念相似于划分适用规则区域，firewalld引入这一律念系统默认存在如下区域：

　　　　drop：默认丢弃全部包

　　　　block：拒绝全部外部链接，容许内部发起的链接

　　　　public：指定外部链接能够进入

　　　　external：这个不太明白，功能上和上面相同，容许指定的外部链接

　　　　dmz：和硬件防火墙同样，受限制的公共链接能够进入

　　　　work：工做区，概念和workgoup同样，也是指定的外部链接容许

　　　　home：相似家庭组

　　　　internal：信任全部链接

　　安装firewalld

　　CentOS7默认安装firewalld。firewalld能够经过yum来安装和管理。

$ sudo yum install firewalld firewall-config

　　运行、中止、禁用firewalld

　　启动：

$ systemctl start firewalld

　　查看状态：

$ systemctl status firewalld
$ firewall-cmd --state

　　中止：

$ systemctl disable firewalld

　　禁用：

$ systemctl stop firewalld

　　经常使用配置firewalld命令

　　查看版本：

$ firewall-cmd --version

　　查看帮助：

$ firewall-cmd --help

　　显示状态：

$ firewall-cmd --state

　　查看区域信息: 

$ firewall-cmd --get-active-zones

　　查看指定接口所属区域：

$ firewall-cmd --get-zone-of-interface=eth0

　　拒绝全部包：

$ firewall-cmd --panic-on

　　取消拒绝状态：

$ firewall-cmd --panic-off

　　查看是否拒绝：

$ firewall-cmd --query-panic

　　更新防火墙规则：

$ firewall-cmd --reload
$ firewall-cmd --complete-reload

　　二者的区别就是第一个无需断开链接，就是firewalld特性之一动态添加规则，第二个须要断开链接，相似重启服务

　　将接口添加到区域，默认接口都在public

$ firewall-cmd --zone=public --add-interface=eth0

　　设置默认接口区域

$ firewall-cmd --set-default-zone=public

　　查看全部打开的端口：

$ firewall-cmd --zone=dmz --list-ports

　　加入一个端口到区域：

$ firewall-cmd --zone=dmz --add-port=8080/tcp

　　打开一个服务，相似于将端口可视化，服务须要在配置文件中添加，/etc/firewalld 目录下有services文件夹

$ firewall-cmd --zone=work --add-service=smtp

　　移除服务

$ firewall-cmd --zone=work --remove-service=smtp

　　以上设置若要永久生效需再加上 --permanent 而后reload防火墙