记住:
LINUX一切是文件
配置服务应该修改配置文件
如果让服务生效就是重启服务
相较于传统的防火墙管理配置工具,firewalld 支持动态更新技术并加入了区域(zone)
的概念。简单来说,区域就是firewalld 预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
下面练习设定防火墙策略规则:在家中允许访问所有服务;在办公室内仅允许访问文件共享服务;在咖啡厅仅允许上网浏览。
RH7 nmtui 对应RH56时的 stup
nm-connection-editor
二、防火墙
相当于家里的大门,不是为了防止内部的人出去,而是为了防止外面的人进来。
INPUT
OUTPUT
FORWARD
防火墙规则 :从上往下,越上的优先级越高,一但匹配后就不往下匹配了
规则匹配的方式有2种,其一为全允许(写拒绝的条目) 其二为全拒绝(写允许的条目)。
学习试验用第一种
工作使用第二种
iptables是一个功能强大的防火墙,配置比较麻烦,需要很多命令
7.3之后就没有了
iptables -P INPUT DROP
iptables -I INPUT -P icmp -j
DROP 丢包,对方不知道, 而REJECT,对方能知道拒绝。
iptables -I INPUT -P icmp -j ACCEPT
7版本只能设置DROP不能设置REJECT模式
zone 区域 模板
例如一台笔记本
RUNTIME 默认防火墙策略,可立即生效,但重启失效
permanent 当前不生效,重启后永久生效
不想重启 --reload 也可以让参数配置后生效
firewall-cmd --zone=public --query-sevice =ssh
查询此服务是否被放行
如果没有放行
可以将服务加入到启用项中,再查询发现已经被放行