iptables 软件防火墙,也叫包过滤防火墙
firewalld 防火墙,也叫包过滤防火墙;工作在网络层,是centos7自导切默认的防火墙;主要是用来取代iptables的
区别:iptables是静态防火墙,firewalld是动态防火墙
systemctl status firewalld 查看firewalld的状态信息
firewalld的两种配置模式:运行时配置和永久配置
firewalld安装区域来进行划分:共有9个区域
trusted 信任区域;允许所有的流量传入
public 公共区域,默认区域;只允许ssh和dhcp6这两个预定义服务的流量可以传入,其他都拒绝
external 外部区域;只允许ssh和dhcp6这两个域定义变量的流量传入,其他都拒绝;通过此区域转发的IPv4流量,可以进行地址伪装
home 家庭区域;只允许ssh和dhcp6这两个域定义变量的流量传入,其他都拒绝;
internal 内部区域;作为默认值和home具有相同的作用
work 工作区域;只允许ssh和dhcp6这两个域定义变量的流量传入,其他都拒绝;
dmz 隔离区域;也称为非军事区域,只允许ssh和dhcp6这两个域定义变量的流量传入,其他都拒绝;
block 限制区域;所有流量都拒绝
drop 丢弃区域;直接丢弃,没有回显信息
预定义服务(系统自带的):默认允许流量通过
ssh 远程连接协议
dhcp6 通过dhcp6服务器进行报文交互,获取IPv6的地址
ipp 编程语言交互,JAVA,Python
samba 打印机
mdns 主机名地址解析;主要用于解析小型网络的IP地址
将区域设置为默认区域后,区域内的策略才能生效(firewalld根据区域)
使用命令行更改默认区域
1.确保防火墙打开
firewalld-cmd --get-default-zone 查看默认区域
firewalld-cmd --set-default-zone=block 切换默认区域为block
firewalld-cmd --list-all 查看防火墙所有服务
firewall-cmd --add-service=http --zone=public 添加http服务到public区域中
firewall-cmd --add-service=http --add-service=ftp --zone=public 添加多个服务到oublic区域
firewall-cmd --remove-service=ftp --zone=public 删除public中的ftp服务
firewall-cmd --add-service={http,ftp} --zone=public --permanent 永久配置多个服务
firewall-cmd --reload 重启防火墙,不要用restart
firewall-cmd --remove-service={http,ftp} --zone=public --permanent 永久删除多个服务
firewalld-cmd --zone=public --add-port=80/tcp 添加端口
firewalld-cmd --zone=public --remove-port=80/tcp 移除端口
firewall-cmd --zone=public --add-port={80,21,3306}/tcp 添加多个端口
firewall-cmd --zone=public --add-port=1-10/tcp 范围添加端口1-10