作用:
隔离,严格过滤入站,允许出站。
防火墙有无数个域,其中又有4个常用的域分别是:
- public:仅允许访问本机的ssh dhcp ping少数几个服务
- trusted:允许任何访问
- block:阻塞任何来访请求(明确拒绝,给出客户端回应)
- drop:丢弃任何来访的数据包(不给出客户端回应,节省服务器资源)
防火墙进入区域的判断:
1) 首先查看客户端请求的数据包(源IP、目标IP、数据)中,源IP地址然后检测自己所有区域中,哪个区域有此源IP地址的规则,然后进入该区域。
2) 如果条件一不成立,则会进入默认区域(默认区域为public)。
例子操作:
#修改默认端口为block和查看默认端口
firewall-cmd --set-default-zone=block
firewall-cmd --get-defualt-zone
#别的主机访问本机5423的端口时,防火墙会自动转发到80端口
firewall-cmd --zone=public --add-forward-port=5423:proto=tcp:toport=80