firewalld中常用的区域名称及策略规则:
区域
默认策略规则
trusted
允许所有的数据包
home
拒绝流入的流量,除非与流出的流量相关,而如果流量与ssh,mdns,ipp-client,amba_client与dhcpv6-client服务相关,则允许流量
internal
等同于home区域
work
拒绝流入的流量,除非与流出的流量数相关,而如果流量与ssh,mdns,ipp-client与dhcpv6-client服务相关,则允许流量
public
拒绝流入的流量,除非与流出的流量相关,而如果流量与ssh,dhcpv6-client服务相关,则允许流量
external
拒绝流入的流量,除非与流出的流量相关,而如果流量与ssh服务相关,则允许流量
dmz
拒绝流入的流量,除非与流出的流量相关,而如果流量与ssh服务相关,则允许流量
block
拒绝流入的流量,除非与流出的流量相关
drop
拒绝流入的流量,除非与流出的流量相关
终端管理工具–firewalld-cmd
参数
作用
–get-default-zone
查询默认的区域名称
–set-default-zone=<区域名称>
设置默认的区域,使其永久生效
–get-zones
显示可用的区域
–get-services
显示预先定义的服务
–get-active-zones
显示当前正在使用的区域与网卡名称
–add-source=
将源自此Ip或子网的流量导向指定的区域
–remove-source
不再将源自此Ip或子网的流量导向指定的区域
–add-interface=<网卡名称>
将源自该网卡的所有流量都导向某个指定区域
–change-interface=<网卡名称>
将某个网卡与区域进行关联
–list-all
显示当前区域的网卡配置参数,资源,端口以及服务等信息
–list-all-zones
显示当前区域的网卡配置参数,资源,端口以及服务等信息
–add-service=<服务名>
设置默认区域允许该服务的流量
–add-port=<端口号/协议>
设置默认区域允许该端口的流量
–remove-service=<服务名>
设置默认区域不再允许该服务的流量
–remove-port=<端口号/协议>
设置默认区域不再允许该端口的流量
–reload
让永久生效的配置规则立即生效,并覆盖当前的配置规则
–panic-on
开启应急状态模式
–panic-off
关闭应急状态模式
图形管理工具–firewall-config:
[root@client Desktop]# yum install firewalld firewalld-config 安装
[root@client Desktop]# firewall-config 会直接打开界面
[root@client Desktop]# systemctl stop iptables 关闭iptables
[root@client Desktop]# systemctl disable iptables 开机自动关闭
[root@client Desktop]# systemctl start firewalld 打开防火墙
[root@client Desktop]# systemctl enable firewalld 开机自动开启
[root@client Desktop]# yum search iptables 寻找iptables安装包
[root@client Desktop]# yum install iptables-services.x86_64 安装
[root@client Desktop]# firewall-cmd --state 查看火墙状态
running
[root@client Desktop]# firewall-cmd --get-active-zones 列出当前被系统使用的域
ROL
sources: 172.25.0.252/32
public
interfaces: eth0
[root@client Desktop]# firewall-cmd --get-default-zone 查看火墙默认生效的域
public
[root@client Desktop]# firewall-cmd --get-zones 查看默认的规则
ROL block dmz drop external home internal public trusted work
[root@client Desktop]# firewall-cmd --zone=public --list-all 查看public域里面的信息
public (default, active)
interfaces: eth0
sources:
services: dhcpv6-client ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@client Desktop]# firewall-cmd --get-services 列出系统中用名称表示的服务
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https
[root@client Desktop]# firewall-cmd --list-all-zones 查看所有的域
ROL
interfaces:
sources: 172.25.0.252/32
services: ssh vnc-server
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
[root@client Desktop]# yum install httpd -y 安装阿帕奇
[root@client Desktop]# systemctl start httpd 开启服务
[root@client Desktop]# echo westos >/var/www/html/index.html 在浏览器测试不允许访问
[root@client Desktop]# firewall-cmd --set-default-zone=trusted
success
[root@client Desktop]# firewall-cmd --get-default-zone
trusted
设置成功之后在浏览器可以看到westos
在desktop虚拟机添加两块网卡:
已经可以看到两块网卡&#x