Firewalld防火墙的配置
1、图形化管理工具 firewall-config
2、命令管理工具 iptables(操作复杂) firewall-cmd(常用)
一、Firewalld防火墙的配置方法
运行时配置
-
实时生效,并持续至Firewalld重新启动或重新加载配置
-
不中断现有连接 (优点)
-
不能修改服务配置
永久配置
-
不立即生效,除非Firewalld重新启动或重新加载配置
-
中断现有连接 (优点)
-
可以修改服务配置
中断现有连接 缺点
业务繁忙时不要操作永久配置,可以操作运行配置
可以在夜里12点以后操作计划性任务进行永久配置
Firewalld-config图形工具 使用较少
Firewalld-cmd命令行工具 使用较多
/etc/firewalld/中的配置文件
- Firewalld会优先使用/etc/firewalld/中的配置,如果不存在配置文件,则使用/etc/firewalld/中的配置
- /etc/firewalld/:用户自定义配置文件,需要时可通过从/usr/lib/firewalld/中拷贝
- /usr/lib/firewalld/:默认配置文件,不建议修改,若恢复至默认配置,可直接删除/etc/firewalld/中的配置
二、Firewall-config图形工具配置
-
“区域”选项卡
-
“服务”子选项卡
-
“端口”子选项卡
-
“协议”子选项卡
-
“源端口”子选项卡
-
“伪装”子选项卡 ——>NAT转换
-
“端口转发”子选项卡
-
“ICMP过滤器”子选项卡
-
-
“服务”选项卡
- “模块”子选项卡
- “目标地址”子选项卡
案例
环境 :
客户端:192.168.17.129
linux服务器(SSH/Apache)192.168.17.128
需求:
-
禁止主机ping服务器
-
只允许192.168.17.129访问SSH服务
-
允许所有主机访问Apache服务
步骤:
- 网络参数配置
- 开启Firewalld防火墙
- 配置work区域
- 配置public区域
- 验证
1、安装httpd并启用服务
2、开启防火墙,配置阻塞
3、配置public 开启httpd 添加80端口 允许所有主机访问Apache服务
4、关闭public中的ssh,打开work区域中的ssh,添加192.168.17.129来源,仅允许其访问ssh
三、Firewall-cmd字符界面配置
1、Firewalld防火墙维护命令
-
防火墙进程操作——systemctl 选项 firewalld
- 选项:start stop