firewall

一、图形化管理火墙
yum install firewall-config   下载图形管理命令

firewall-config               #使用命令调出图形

watch -n 1 'firewall-cmd --list-all'#监控firewalld的变化

测试：添加服务和端口

runtime临时更改

permanent永久更改（reload）
firewalld的配置文件
firewalld进行所有的命令，均是改变此中文件/etc/firewalld/zones中的文件的内容，也可在文件中直接改动，改完后需要进行重启服务。
vim /etc/firewalld/zones/public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="dhcpv6-client"/>
  <service name="ssh"/>
  <service name="ftp"/>                  #添加ftp服务

</zone>

systemctl restart firewalld

firewalld的基本使用命令

启用命令

systemctl start firewalld            #开启防火墙

systemctl enable firewalld           #开机自动开启防火墙

systemctl stop firewalld             #关闭防火墙

systemctl disable firewalld          #开机不自动开启防火墙

配置火墙命令

各种域的名称和配置：

firewall-cmd --state                        #火墙状态，开启或者停止

firewall-cmd --get-active-zones             #正在活跃的火墙域

firewall-cmd --get-default-zone             #火墙中默认的域

firewall-cmd --get-zones                    #火墙中所有存在的域

firewall-cmd --zone=public --list-all       #查看public域中的所有信息

firewall-cmd --get-services                 #火墙中所有可以提供的服务

 firewall-cmd --list-all-zones              #列出火墙中的所有域及所有信息

firewall-cmd --set-default-zone=dmz         #将dmz域设置为默认的域

firewall-cmd --permanent --zone=public --add-service=ssh    #给public域中添加服务ssh

firewall-cmd --permanent --zone=public --remove-service=http #删除public域中的服务http

firewall-cmd --permanent --zone=public --add-port=8080/tcp   #给public域中添加tcp端口8080

firewall-cmd --permanent --zone=public --remove-port=8080/tcp #删除public域中的8080端口      

firewall-cmd --zone=public --list-ports                       #查看public域中所有端口

firewall-cmd --permanent --zone=public --add-source=172.25.254.50/24 #此ip在访问时可以进行火墙中的任何服务，走的是public这个域

firewall-cmd --permanent --zone=public --remove-source=172.25.254.50/24

firewall-cmd --reload                  #重新加载火墙配置，不会中断正在使用的

firewall-cmd --complete-reload         #重新完全加载火墙配置，会中断正在使用的

firewall-cmd --permanent --zone=dmz --change-interface=eth1 #将eth1域改为dmz

测试：此时http访问172.25.254.150时，走的eth1，dmz域，不能访问

http访问172.25.50.150时，eth0走的是public域，可以访问

firewall-cmd --permanent --zone=dmz --remove-interface=eth1 #将eth1从dmz域中移走
firewall-cmd --permanent --zone=public --add-interface=eth1 #将eth1添加到public域

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.50 -p tcp --dport 21 -j REJECT   #拒绝该主机访问21端口

firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.50 -p tcp --dport 21 -j REJECT #除主机外，其余主机都拒绝访问21端口
目的地地址转发，路由之前

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.50 #别人连接我的22端口时，将目标地址转换到别处去

此时，172.25.50.110主机连接172.25.254.150时,连到了172.25.254.50主机上

源地址转换：firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.50 masquerade'

此时用172.25.254.150及写策略主机ssh连接172.25.50.110主机，现实此时连接该主机为172.25.254.50