常见网络服务与端口号
FTP:20、21
SSH:22
TelNet:23
SMTP:25
DNS:53
HTTP:80
HTTPS:443
MySQL:3306
Windows RDP:3389
firewalld控制命令
区域 | 默认策略规则 |
---|
trusted | 允许所有的数据包 |
home | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量 |
internal | 等同于home区域 |
work | 拒绝流入的流量,除非与流出的流量数相关;而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量 |
public | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量 |
external | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
dmz | 拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关,则允许流量 |
block | 拒绝流入的流量,除非与流出的流量相关 |
drop | 拒绝流入的流量,除非与流出的流量相关 |
[root@localhost ~]# firewall-cmd --list-all 显示当前区域所有功能
[root@localhost ~]# firewall-cmd --zone=public 指定工作区域为public(默认)
[root@localhost ~]# firewall-cmd --add-service={http,https} 临时放行HTTP和HTTPS服务
success
[root@localhost ~]# firewall-cmd --remove-service=http 移除对HTTP服务的放行
success
[root@localhost ~]# firewall-cmd --add-service=http --permanent 持久放行HTTP服务(写入配置文件)
success
[root@localhost ~]# firewall-cmd --add-port=2222/tcp --per 持久放行TCP/2222端口
success
[root@localhost ~]# firewall-cmd --remove-port=2222/tcp --per 移除对TCP/2222端口的放行
success
[root@localhost ~]# firewall-cmd --reload 重新加载服务(的配置文件)
success
firewalld的富规则
rule 表示创建一个富规则
family 表示 IP 协议族,可以为 ipv4 或 ipv6
source 表示源 IP 地址或 IP 段
service name 表示服务名称,可以为系统预定义的服务名称,例如 ssh、http、https,也可以是自定义的服务名称
reject 表示明确拒绝,反馈消息
drop 表示委婉拒绝,丢弃,不响应
accept 表示接受
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.1/32 service name=http reject'
success 拒绝来自主机192.168.1.1的流量对HTTP服务的访问
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 port port=20-22 protocol=tcp drop'
success 拒绝来自网段192.168.1.0/24的流量对TCP20~22端口的访问
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 protocol value=icmp reject'
success 过滤来自网段192.168.1.0/24的ICMP探测
[root@localhost ~]# firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=192.168.1.0/24 protocol value=icmp reject'
success 删除过滤来自网段192.168.1.0/24的ICMP探测规则