Firewalld概述
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙,用以支持网络 “zones” ,以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。
系统提供了图像化的配置工具firewall-config、system-config-firewall, 提供命令行客户端firewall-cmd, 用于配置 firewalld永久性或非永久性运行时间的改变:它依次用 iptables工具与执行数据包筛选的内核中的 Netfilter通信。
使用命令行接口配置防火墙(firewall-cmd)
firewall-cmd –state ##查看当前活动的区域,并附带一个目前分配给它们的接口列表
firewall-cmd –get-active-zones ##查看默认区域:
firewall-cmd –get-default-zone ##查看所有可用区域:
firewall-cmd –zone=public –list-all ##列出所有预设服务
firewall-cmd –get-services ##列出全部服务
firewall-cmd –list-all-zones ##列出所有区域的设置
firewall-cmd –permanent –zone=internal –add-source=172.25.0.0/24 ##(–permanent参数表示永久生效设置,如果没有指定–zone参数,那么会加入默认区域)
添加、改变、删除网络接口:
firewall-cmd –permanent –zone=internal –add-interface=eth0
firewall-cmd –permanent –zone=internal –change-interface=eth0
firewall-cmd –permanent –zone=internal –remove-interface=eth0
添加、删除服务:
firewall-cmd –permanent –zone=public –add-service=smtp
firewall-cmd –permanent –zone=public –remove-service=smtp
列出、添加、删除端口:
firewall-cmd –zone=public –list-ports
firewall-cmd –permanent –zone=public –add-port=8080/tcp
firewall-cmd –permanent –zone=public –remove-port=8080/tcp
重载防火墙:
firewall-cmd –reload
(注意:这并不会中断已经建立的连接,如果打算中断,可以使用 –complete-reload选项)