1、firewalld域
trusted(信任) 可接受所有网络连接
home(家庭) 用于家庭网络,仅接受ssh、mdns、ipp-client或dhcpv6-client服务
internal(内部) 用于内部网络,仅接收ssh、mdns、ipp-client、samba-client、dhcpv6-client服务连接
work(工作) 用于工作区,仅接收ssh、ipp-client或dhcpv6-client服务连接
public(公共) 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
external(内部) 出去的ipv4网络连接通过此区域伪装和转发,仅接收ssh服务连接
dmz(非军事区) 仅接收ssh服务连接
block(限制) 拒绝所有网络连接、
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复
2、图形界面管理
firewall-config 开启图形界面
添加默认域下的服务(需要永久设置和reload)
修改当前默认域
3、命令管理
firewall-cmd --state 防火墙的状态
firewall-cmd --get-active-zones 正在使用域
firewall-cmd --get-default-zone 查看现在域
firewall-cmd --set-default-zone=drop 设置域为
firewall-cmd --get-zones 查看系统所有域
firewall-cmd --zone=public --list-all 查看public域所有信息
firewall-cmd --get-services 查看系统中所有可以直接设置的服务名称
firewall-cmd --list-all-zones 显示所有域信息
firewall-cmd --list-service 查看当前火墙开启的服务
firewall-cmd --add-source=172.25.254.28 --zone=trusted trused域允许28
firewall-cmd --remove-source=172.25.254.28 --zone=trusted trused域移除28
firewall-cmd --remove-interface=eth0 --zone=public public域移除eth0网卡
firewall-cmd --add-interface=eth0 --zone=trusted trusted域添加eth0网卡
firewall-cmd --change-interface=eth0 --zone=public 更改eth0网卡到public域
firewall-cmd --get-services 查看所有服务
cd /usr/lib/firewalld/services 里.xml 编辑协议,xml文件相当于添加这个服务
cd /etc/firewalld/zones 里域.xml(public.xml)–> firewall-cmd --permanent --add-service=http --zone=public 添加服务名称在域.xml里,相当于在域里添加这个协议
firewall-cmd --permanent --remove-service=http --zone=public public域移除http协议
firewall-cmd --permanent --add-port=8080/tcp 开启8080端口
firewall-cmd --permanent --remove-port=8080/tcp 关闭8080端口
firewall-cmd --add-masquerade 开启火墙伪装功能
firewall-cmd --remove-masquerade 关闭火墙伪装功能
firewall-cmd --reload 只刷新火墙状态
firewall-cmd --complete-reload 会刷新已存在状态
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -s 172.25.254.28 -p tcp --dport 22 -j REJECT 在REJECT状态下添加规则22端口允许28访问
1为优先级 -s source -p tcp协议 -dport 端口 -j 动作 REJECT |ACCEPT |DROP
firewall-cmd --direct --get-all-rules 查看所有rules
firewall-cmd --direct --remove-rule … 移除哪条
server:双网卡(172.25.254、192.168.0)
地址伪装功能开启
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.29 所有访问转换到29
desktop:单网卡(192.168.0)+网关
可以ping通双网卡不同的网段
当访问229时转换到29
29:
w -i 查看到来访问的是双网卡同一网段
关闭火墙