firewalld防火墙

firewalld防火墙

它属于包过滤防火墙。工作在网络层，是centos7自带的默认防火墙。主要是取代iptables。

firewalld的两种配置模式：

分别是运行时配置和永久配置。

iptable是静态防火墙

firewalld是动态防火墙

它是按照区域来划分的，有9个区域：

trusted：信任区域，允许使用的流量传入。

pulic：公共区，只允许ssh和dhcpv6两个预定义服务的流量可以传入，取余都是拒绝。

external：外部区域，只允许只允许ssh和dhcpv6两个预定义服务的流量可以传入，取余都是拒绝。如果通过此区域转发的ipv4流量，可以进行地址伪装。

home：家庭区域，只允许只允许ssh和dhcpv6两个预定义服务的流量可以传入，取余都是拒绝。

internal：内部区域，默认值时与home区域相同。

work：工作区域，只允许只允许ssh和dhcpv6两个预定义服务的流量可以传入，取余都是拒绝。

dmz：隔离区域也称为非军事区域，允许与 ssh 预定义服务匹配的传入流量，其余均拒绝。

block：限制区域，拒绝所有传入流量。

drop：丢弃区域，丢弃所有传入流量，并且不产生包含ICMP的错误响应。

预定义服务

ssh：远程连接协议。

dhcpv6：通过dhcpv6服务器进行报文交互，获取ipv6的地址。

ipp：编程语言的交互（java pyhton）。

samba：打印机。

mdns：主界面域名解析。主要是解析小型网络的ip地址。

命令操作

查看当前系统中的默认区域

firewall-cmd --get-default-zone

显示默认区域的所有规则

firewall-cmd --list-all

切换默认区域block

firewall-cmd --set-default-zone=block、

添加httpd服务到public 区域

firewall-cmd --add-service=http --zone=public

添加多个服务

方法一

firewall-cmd --add-service=http --add-service=ftp --zone=public

方法二

firewall-cmd --add-service={ftp,http}

删除规则

firewall-cmd --remove-service=ftp --zone=public

同时添加httpd、ftp服务到默认区域，设置成永久生效

firewall-cmd --add-service=http --add-service=ftp --permanent

firewall-cmd --add-service={ftp,http} --zone=public --permanent

使命令生效

firewall-cmd --reload

允许TCP的443端口到internal区域

firewall-cmd --zone=public --add-port=80/tcp