1.防火墙的基本命令
1.Firewalld概述:动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones”,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对IP v4和IP v6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择,它还具备一个通向服务或应用和层序以直接增加防火墙规则的接口。提供命令行客户端firewall-cmd,用于配置firewall永久性或非永久性运行时间的改变:它一次用iptables工具与执行数据包筛选的内核中的Netfilter通信
2.firewalld是管理防火墙的工具,相对简单。iptables比较复杂,功能强大
3.系统提供了图像化的配置工具firewall-config,system-config-firewall,使用/etc/firewalld中的配置文件
4.管理火墙的作用是,管理软件是iptable,或者firewalld(编写火墙策略的工具),实现的功能是向表格中填充信息,编写火墙策略的工具,火墙的里面有详细的数据信息,规定可以过或者不可以过
5.域的解释
#######防火墙的开启与关闭实验:#######
*前提条件:
首先给一个虚拟机配备两个物理网卡,并配备两个ip。另外一个虚拟机配备一个物理网卡,设置一个ip(注意:如果在文件中配置,name要写的不一样)
-1-关于firewalld
[root@desktop ~]# systemctl start firewalld ##开启防火墙
[root@desktop ~]# systemctl enable firewalld ##使其开启自动启动
[root@desktop ~]# firewall-cmd --list-all ##查看防火墙中的列表
[root@desktop ~]# systemctl stop firewalld ##关闭防火墙
[root@desktop ~]# systemctl disable firewalld ##使其开机不启动
-2-关于iptables
[root@desktop ~]# yum install iptables -y ##安装防火墙iptables
[root@desktop ~]# systemctl status firewalld ##查看防火墙的状态
[root@desktop ~]# systemctl status iptables ##查看防火墙的状态
[root@desktop ~]# systemctl mask firewalld ##将另一个防火墙锁定
[root@desktop ~]# systemctl start iptables.service ##开启防火墙
[root@desktop ~]# systemctl enable iptables.service ##使其开启自动启动
[root@desktop ~]# iptables -nL ##查看防火墙中的列表
[root@desktop ~]# systemctl stop iptables ##关闭防火墙
[root@desktop ~]# systemctl disable iptables ##使其开机不启动
[root@desktop ~]# systemctl unmask firewalld ##将另一个防火墙解锁
-3-使用命令接口配置防火墙:
##查看防火墙的状态
[root@desktop ~]# firewall-cmd --state
##查看火墙正在使用的域
[root@desktop ~]# firewall-cmd --get-active-zones
##查看默认的域
[root@desktop ~]# firewall-cmd --get-default-zone
##查看public域中的信息
[root@desktop ~]# firewall-cmd --zone=public --list-all
##查看支持所有的服务
[root@desktop ~]# firewall-cmd --get-services
##查看所有的域
[root@desktop ~]# firewall-cmd --list-all-zones
-4-设置默认的域(如果要设置永久的需要加参数-permanent)
<1>将默认的域设置成public
[root@desktop ~]# firewall-cmd --set-default-zone=public ##将其默认的域设置成public
[kiosk@foundation66 Desktop]$ ssh root@172.25.254.128 -X ##发现可以成功登陆
<2>将默认的域设置成block
[root@desktop ~]# firewall-cmd --set-default-zone=block ##将其默认的域设置成public
[kiosk@foundation66 Desktop]$ ssh root@172.25.254.128 -X ##发现不可以成功登陆,会出现报错
-5-显示public域的全部信息
[root@desktop ~]# firewall-cmd --zone=public --list-all ##可以查看到interfaces中没有内容
[root@desktop ~]# firewall-cmd --set-default-zone=public ##将其默认域设置成public
[root@desktop ~]# firewall-cmd --zone=public --list-all ##再次查看,可以看到interfaces中有了eth0
-6-指定主机ip为172.25.254.228加入trusted域并查看其活跃域
[root@desktop ~]# firewall-cmd --zone=trusted --add-source=172.25.254.228
[root@desktop ~]# firewall-cmd --get-active-zones ##列出当前使用的所有区域(具有关联的接口或源)及接口和源信息
-7-指定主机ip为172.25.254.228s删除trusted域并查看其活跃域
[root@desktop ~]# firewall-cmd --zone=trusted --remove-source=172.25.254.228
[root@desktop ~]# firewall-cmd --get-active-zones
-8-使在public域中的eth1转移至trusted域
<1>查看域中的信息
[root@desktop ~]# firewall-cmd --list-all --zone=trusted
[root@desktop ~]# firewall-c