1.firewalld
1.firewalld(Dynamic Firewall Manager of
Linux systems,Linux系统的动态防火墙管理器)服务是默认的防火墙配置管理工具。
2.firewalld支持动态更新技术并加入了区(zone)的概念。简单来说,区域就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
3.firewalld中常用的区域名称及策略规则
区域 | 默认规则及策略 |
---|---|
trusted(信任) | 可接受所有的网络连接 |
home(家庭) | 用于家庭网络,仅接受ssh,msdns,ipp-client,samba-client,dhcpv6-client服务连接 |
internal(内部) | 用于内部网络,仅接受ssh,msdns,ipp-client,samba-client,dhcpv6-client服务连接 |
work(工作) | 用于工作区,仅接受ssh、ipp-client或dhcpv6-client 服务连接 |
public(公共) | 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接 |
external(外部) | 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接 |
dmz(非军事区) | 仅接受ssh服务连接 |
block(限制) | 拒绝所有网络连接 |
drop(丢弃) | 任何接受的网络数据包都被丢弃,并没有任何回复 |
2.firewalld命令管理
1、火墙状态的查看,开启,关闭
systemctl status firewalld (systemctl status
firewalld.service)
systemctl start firewalld
systemctl stop firewalld
systemctl enable firewalld 开机自启动
2、管理防火墙的域信息
firewall-cmd --get-default-zone 查看当前默认域
firewall-cmd --get-zones 查看可以使用的域
firewall-cmd --set-default-zone=xxx 设置默认域,此命令是永久更新,立即生效
3、防火墙的规则命令
firewall-cmd --direct --get-all-rules 查看规则
firewall-cmd --direct --add-rule ipv4 filter INPUT 1
-p tcp --dport 端口号 -s 主机IP -j ACCEPT 设置某一主机允许连接
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1
-p tcp --dport 端口号-s 主机IP -j ACCEPT 移除规则