Firewalld防火墙

1.介绍
iptables 软件防火墙 包过滤防火墙

firewalld 防火墙 包过滤防火墙，工作在网络层，centos7自带的默认的防火墙，主要的作用是为了取代iptables

firewalld两种配置模式：

1.运行时配置

2.永久配置

iptables是静态防火墙

firewalld是动态防火墙

2.firewalld划分区域
firewalld按照区域来进行划分：9个区域

trusted：信任区域，允许所有的流量传入

public：公共区域，也是默认区域，只允许ssh和dhcpv6这两个预定义服务的流量可以传入，其余都是拒绝。

external：外部区域，只允许ssh和dhcpv6这两个预定义服务的流量可以传入，其余都是拒绝的，如果通过此区域转发的ipv4流量可以进行地址伪装

home：家庭区域，只允许ssh和dhcpv6这两个预定义服务的流量可以传入，其余都是拒绝。

internal：内部区域，默认值和home是一个作用

work：工作区域，只允许ssh和dhcpv6这两个预定义服务的流量可以传入，其余都是拒绝的

dmz：隔离区域，也称为非军事区域

block：限制区域，所有的流量都拒绝

drop：丢弃区域，直接丢弃，没有回显信息

3.预定义服务：
ssh：远程连接协议

dhcpv6：通过dhcpv6服务器进行报文交互，获取ipv6的地址

ipp：编程语言交互 java python

samba：打印机

mdns：主机名地址解析，解析小型网络的ip地址

firewall-cmd --get-default-zone //查看默认区域

firewall-cmd --set-default-zone=block //设置默认区域为block

firewall-cmd --list-all //

在默认区域里如何不关防火墙就能使用httpd这个服务

firewall-cmd --add-service=http --zone=public //添加

firewall-cmd --add-service=http --add-service=ftp --zone=public //添加多个

firewall-cmd --remove-service=ftp --zone=public //删除

以上都是临时配置

永久配置方法：(防火墙一般不重启，所以用reload!!!!!)

firewall-cmd --add-service=http --add-service --add-service=ftp --permanent //添加永久配置

firewall-cmd --add-service={ftp,http} --zone=public --permanent

firewall -cmd --reload //重载

firewall-cmd --remove-service={ftp,http} --zone=public --permanent //删除永久配置

firewalld-cmd --reload //重载

firewall-cmd --zone=public --add-port=80/tcp //添加指定端口管理

firewall-cmd --zone=public --remove-port=80/tcp //删除指定端口管理

firewall-cmd --zone=public --remove-port={80,21,23,24,3306}/tcp //添加多个指定端口

firewall-cmd --zone=public --remove-port={1-10}/tcp //添加范围端口1-10