firewall-cmd --get-active-zones ##显示当前正在使用的区域与网卡名称
firewall-cmd --get-default-zone ###查询默认的区域名称
firewall-cmd --get-zones ##显示可用的区域。
firewall-cmd --zone=public --list-all ##列出当前区域的所有信息
firewall-cmd --add-service=http ##设置默认区域允许该服务的流量
firewall-cmd --add-port=8080/tcp ##允许默认区域允许该端口的流量
firewall-cmd --set-default-zone=public ##设置默认区域为公共区域(系统默认)
[root@localhost ~]# firewall-cmd --permanent --add-source=172.25.254.124 --zone=trusted
success ##永久设置172.25.254.124为trust用户
[root@localhost ~]# firewall-cmd --reload
success
firewall-cmd --permanent --zone=internal --add-interface=eth0 ##将来自于该网卡的所有流量都导向internal指定区域
firewall-cmd --permanent --zone=internal --add-source=172.25.254.124 ##将来源于此IP或子网的流量导向指定的internal区域
firewall-cmd --permanent --zone=internal --remove-source=172.25.254.124 ##移除
允许https服务流量通过public区域
方法一:分别设置当前生效与永久有效的规则记录:
firewall-cmd --zone=public --add-service=https ##重启后失效
方法二:设置永久生效的规则记录后读取记录:
firewall-cmd --permanent --zone=public --add-service=https ##永久生效
firewall-cmd --reload ##加载后立即生效
##direct rules
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.124 -p tcp --dport 22 -j REJECT
##除172.25.254.250之外的所有id都拒绝
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.254.124 -p tcp --dport 22 -j REJECT
##拒绝172.25.254.124登陆
174 firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.250 -p tcp --dport 22 -j drop
##反应动作丢弃,即不做任何回应
175 firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 ! -s 172.25.254.250 -p tcp --dport 22 -j drop
##移除规则
firewall 防火墙中的三个表 filter nat mangle
DNAT(源地址转换prerouting,在路由前)
SNAT(目的地址转换postrouting,在路由后)
地址伪装(路由前规则):
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.68
##源地址转换(相当于路由器)
配置服务端两块网卡分别为:
设置rich规则:
firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.100 masquerade'
测试:在192.168.0.1客户端:ping 172.25.254.68
## iptables
yum install iptables-services.x86_64 -y
iptables
197 systemctl stop firewalld
198 systemctl mask firewalld
199 systemctl start iptables.service
200 systemctl enable iptables.service
354 iptables -nL
355 iptables -F
356 service iptables save
357 systemctl restart iptables.service
358 iptables -nL
359 iptables -A INPUT -p tcp --dport 22 -j ACCEPT
360 iptables -A INPUT -i lo -j ACCEPT
361 iptables -nL
362 iptables -A INPUT -j REJECT
363 iptables -nL
测试 在浏览器输入172.25.254.243
364 iptables -A INPUT -p tcp --dport 80 -j ACCEPT
测试 。。
iptables -A INPUT -R tcp --dport 8080 -j ACCEPT 修改
iptables -P INPUT DROP 修改默认
iptables -D INPUT 4 ## 删除
net state 查看状态
iptables -N westos 新建一个表连接
iptables -E westos WESTOS 修改
iptables -X westos 删除