firewall-cmd防火墙

  Firewall-cmd防火墙

防火墙的过滤过程：

firewalld为内核管理软件，有图形和命令两种管理方式。

有不同的信任级别：

1.管理工具

yum install firewalld    ##安装管理软件

2.图形界面

firewall-config &     ##打开命令

【示例】

[runtime即该就生效，防火墙重启后失效]

[permanent为永久更改，改完必须重启]

【永久更改后的内容保存在下面文件中】

3.使用命令接口配置防火墙

firewall-cmd --state ##查看防火墙状态
firewall-cmd --get-active-zones ##查看当前生效的区域

firewall-cmd --get-default-zone ##查看默认区域
firewall-cmd --get-zones  ##所有区域
firewall-cmd --zone=public --list-all ##查看public区域的详细信息
firewall-cmd --get-services  ##管理的服务
firewall-cmd --list-all-zones    ##列出所有区域策略
firewall-cmd --set-default-zone=dmz ##设置默认区域为dmz

【示例】

##高级命令##

firewall-cmd --permanent --zone=internal --add-source=172.25.87.250/24  ##将172.25.87.250添加到internal区域，使它可以访问
firewall-cmd --permanent --zone=internal --remove--source=172.25.87.250/24 ##移除策略

【示例更改默认区域后添加策略，可生效】

【移除策略】

###添加网络接口##

firewall-cmd--add-inter-interface=eth1  ##添加

firewall-cmd--remove-inter-interface=eth1   ##移除

【示例】

###添加端口与服务##

firewall-cmd --zone=public --add-port=80/tcp    ##添加
 firewall-cmd --zone=public --add-service=https    

firewall-cmd --zone=public --remove-port=80/tcp   ##移除
firewall-cmd --zone=public --remove-service=http

【示例】

4.--complete-reload与--reload区别

firewall-cmd --add-source=172.25.87.250 --zone=block  ##测试命令
firewall-cmd --reload    ##执行后不会影响正在连接的服务
firewall-cmd --complete-reload  ##执行后会影响正在连接的服务

5.DirectRules

可以在运行时间里增加或移除链。

[[email protected] zones]# firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.87.250 -p tcp --dport 80 -j ACCEPT

##添加

[[email protected] zones]# firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.87.250 -p tcp --dport 80 -j ACCEPT  ##移初

filter 本地数据限制

-s 源地址   

-p 协议   

--dport 端口 

-j动作

【示例接收250主机tcp中80端口数据】

   【移除策略】   

6.RichRules

firewall-cmd --add-masquerade
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.87.100

此方法可以永久保留设置

【将连接此主机的请求发送到100主机】