centos7下Firewall使用详解

1、介绍

防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的链接与接口。它支持 ipv4 与 ipv6，并支持网桥，采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则，并实时生效而无需重启服务。

Firewall 能将不一样的网络链接归类到不一样的信任级别，Zone 提供了如下几个级别

drop: 丢弃全部进入的包，而不给出任何响应
block: 拒绝全部外部发起的链接，容许内部发起的链接
public: 容许指定的进入链接
external: 同上，对假装的进入链接，通常用于路由转发
dmz: 容许受限制的进入链接
work: 容许受信任的计算机被限制的进入链接，相似 workgroup
home: 同上，相似 homegroup
internal: 同上，范围针对全部互联网用户
trusted: 信任全部链接

2、安装

# yum install firewalld
若是须要图形界面的话，则再安装
# yum install firewall-config

3、使用方法
# 开启防火墙
systemctl start firewalld.service

# 防火墙开机启动
systemctl enable firewalld.service

# 关闭防火墙
systemctl stop firewalld.service

# 查看防火墙状态
firewall-cmd --state

# 查看现有的规则
iptables -nL

# 重载防火墙配置
firewall-cmd --reload

# 添加单个单端口
firewall-cmd --permanent --zone=public --add-port=81/tcp

# 添加多个端口
firewall-cmd --permanent --zone=public --add-port=8080-8083/tcp

# 删除某个端口
firewall-cmd --permanent --zone=public --remove-port=81/tcp

# 针对某个 IP开放端口
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="6379" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.233" accept"

# 删除某个IP
firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.51" accept"

# 针对一个ip段访问
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="9200" accept"

# 添加操做后别忘了执行重载
firewall-cmd --reload

查看指定级别的全部信息，譬如 public#firewall-cmd --zone=public --list-allpublic (default, active)interfaces: eth0sources:services: dhcpv6-client http sshports:masquerade: noforward-ports:icmp-blocks:rich rules: