centos7 firewalld（iptables）

iptables其实不是真正的防火墙，我们可以把它理解成一个客户端代理，用户通过iptables这个代理，将用户的安全设定执行到对应的"安全框架"中，这个"安全框架"才是真正的防火墙，这个框架的名字叫netfilter

netfilter才是防火墙真正的安全框架，netfilter位于内核空间。

iptables其实是一个命令行工具，位于用户空间，我们用这个工具操作真正的框架。这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。虽然我们使用service iptables start启动iptables"服务"，但是其实准确的来说，iptables并没有一个守护进程，所以并不能算是真正意义上的服务，而应该算是内核提供的功能。

在CentOS 7或RHEL 7中防火墙由firewalld来管理，如果没有请安装yum install firewalld，所以命令也该改一下喽。

firewall-cmd --version                #查看版本

systemctl status firewalld            #查看firewalld状态

systemctl start firewalld.service     #开启服务

systemctl stop firewalld.service      #关闭防火墙

firewall-cmd --reload                 #更新防火墙规则

firewall-cmd --completely-reload      #更新防火墙规则，重启服务： 

systemctl enable firewalld.service    #开机自动启动

systemctl disable firewalld.service   #关闭开机自动启动

firewall-cmd --zone=public --list-ports                     #查看已开放端口

firewall-cmd --permanent --zone=public --list-services      #查看已开启服务

firewall-cmd --permanent --zone=public --add-service=https    #启用某个服务

firewall-cmd --zone=public --add-port=80/tcp --permanent    #开启端口

firewall-cmd --zone=public --remove-port=80/tcp --permanent #删除端口

旧版本

#关闭防火墙

/etc/init.d/iptables stop

service iptables stop # 停止服务

#查看防火墙信息

/etc/init.d/iptables status

#开放端口

/sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT

#关闭端口

 /sbin/iptables -I INPUT -p tcp --dport 80 -j DROP

#重启防火墙以便改动生效:

/etc/init.d/iptables restart
service iptables restart

 

命令释义：

–zone   #作用域

drop: 丢弃所有进入的包，而不给出任何响应 

block: 拒绝所有外部发起的连接，允许内部发起的连接 

public: 允许指定的进入连接 

external: 同上，对伪装的进入连接，一般用于路由转发 

dmz: 允许受限制的进入连接 

work: 允许受信任的计算机被限制的进入连接，类似 workgroup 

home: 同上，类似 homegroup 

internal: 同上，范围针对所有互联网用户 

trusted: 信任所有连接

–add-port=80/tcp   #添加端口，格式为：端口/通讯协议

–permanent   #永久生效，没有此参数重启后失效

 

systemctl是CentOS7的服务管理工具中主要的工具，它融合之前service和chkconfig的功能于一体。

例如：

启动一个服务：systemctl start firewalld.service
关闭一个服务：systemctl stop firewalld.service
重启一个服务：systemctl restart firewalld.service
显示一个服务的状态：systemctl status firewalld.service
在开机时启用一个服务：systemctl enable firewalld.service
在开机时禁用一个服务：systemctl disable firewalld.service
查看服务是否开机启动：systemctl is-enabled firewalld.service
查看已启动的服务列表：systemctl list-unit-files|grep enabled
查看启动失败的服务列表：systemctl --failed

 

配置 IP 地址伪装

查看：

firewall-cmd --zone=external --query-masquerade

打开：

firewall-cmd --zone=external --add-masquerade

关闭：

firewall-cmd --zone=external --remove-masquerade

 

端口转发

firewall-cmd --query-masquerade     # 检查是否允许伪装IP
firewall-cmd --add-masquerade       # 允许防火墙伪装IP
firewall-cmd --remove-masquerade    # 禁止防火墙伪装IP

然后转发 tcp 22 端口至 3753

firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=3753

转发 22 端口数据至另一个 ip 的相同端口上

firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.100

转发 22 端口数据至另一 ip 的 2055 端口上 

firewall-cmd --zone=public --add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.100

管理服务

以smtp服务为例， 添加到work zone

添加：

firewall-cmd --zone=work --add-service=smtp

查看：

firewall-cmd --zone=work --query-service=smtp

删除：

firewall-cmd --zone=work --remove-service=smtp