火墙之firewalld

firewalld

    动态防火墙后台程序提供了一个动态管理的防火墙，用以支持网络“zone”，以分配对一个网络及其相关连接和界面必定程度上的信任。它具有对IPV4和 IPV6防火墙设置的支持。它支持以太网桥，并有分离运行时间和永久性配置选择。它还具有一个通向服务或者应用程序以直接增长防火墙规则的接口.

firewalld和iptables service之间的区别

     1）iptables service在/etc/sysconfig/iptables中存储配置，而firewalld将配置存储在/usr/lib/firewalld/和 /etc/firewalld/ 中的各类XML文件里。

     2）使用iptables service每个单独更改意味着清楚全部旧的规则和从  /etc/sysconfig/iptables 里读取全部新的规则，然而使用firewalld却不会建立任何新的规则；仅仅运行规则中的不一样之处。此，firewalld能够在运行时间内，改变设置而不丢失现行链接。

关闭iptables并冻结，解冻firewalld并从新启动

 

firewalld网络区

 

查看默认域，并修改默认域为trusted

 

在public域中添加http服务

重启后查看添加结果，发现http服务消失了，说明这只是临时添加

 

 

--permanent                                     ##设置永久添加

发现可使用http服务链接125主机

 

进入firewalld配置文件查看文件内容

 

添加策略生效的缘由是配置文件中生成了相关文件

再次添加ftp服务

 

 

配置文件中生成了ftp服务内容

 

查看public下支持的服务

 

ftp服务加载的模块

 

设置火墙经过8080端口

vim /etc/httpd/conf/httpd.conf               ##修改默认端口为8080

 

经过8080端口访问http服务

修改服务端eth1网络为trusted

 

@@这里从新加载不能生效，必需要重启服务

 

添加一条火墙策略，容许254这个网段全部用户的全部请求

直接用http访问125主机

 

删掉http火墙策略

 

重启服务后，http服务消失了

再次访问，没法链接，由于缺乏http这个服务

 

当访问eth1这块网卡的http时，能够链接，由于eth1的状态为trusted

拒绝全部的用户访问172.25.254.25这台主机的22端口

 

将从172.25.254.25的22端口 假装为172.25.25.225的22端口

测试发现，链接172.25.254.125时，显示ip为172.25.25.225

查看添加的火墙策略