一、包、过滤防火墙
包过滤内核:netfilter
规则管理工具:firewalld ,老版本linux: iptables工具
firewalld网络区域:
常用区域:trusted、home、public、external、block
二、格式
格式:firewall-cmd 【参数】
--permanent 永久生效参数 需要重启后生效
frewall-cmd -reload 重启
三、应用
紧急模式(关闭所有网络)
[root@linuxprobe~]# firewall-cmd --panic -on
success
[root@linuxprobe~]# firewall-cmd --panic -off
success
1.修改区域
区域管理:
查看当前的默认区域:
[root@hfj ~]# firewall-cmd --get-default-zone
public
[root@hfj ~]# firewall-cmd --get-zone-of-interface=ens160 #查看网卡的默认区域,以网卡区域优先级别高。
external
[root@hfj ~]# firewall-cmd --set-default-zone=home #设置默认区域。
success
[root@hfj ~]# firewall-cmd --get-default-zone
home
修改网卡默认区域,并在系统重启后生效。
firewall-cmd --permanent --zone=public --change-interface=ens160
2.添加服务
永久允许ftp服务:
[root@hfj ~]# firewall-cmd --zone=public --query-service=ftp #查询ftp当前配置。
no
[root@hfj ~]# firewall-cmd --permanent --zone=public --add-service=ftp #修改永久允许。
success
[root@hfj ~]# firewall-cmd --zone=public --query-service=ftp
no
[root@hfj ~]# firewall-cmd --reload #重新加载生效。
success
[root@hfj ~]# firewall-cmd --zone=public --query-service=ftp
添加访问端口8080-8081,仅限当前生效。
firewall-cmd --zone=public --add-port=8080-8081/tcp
firewall-cmd --zone=public --list-ports 查询当前访问端口号
3.端口转发
案例ssh端口转发,888端口转22端口。
获取网卡ens160网络区域:
firewall-cmd --get-zone-of-interface=ens160
配置端口转发:
firewall-cmd --permanent --zone=external --add-forward-port=port=888:proto=tcp:toport=22:toaddr=10.5.48.55
配置生效:
firewall-cmd --reload
从另一台虚拟主机访问:ssh -p 888 10.5.48.55
4.设置拒绝访问
富规则
拒绝192.168.10.0/24网段访问ssh服务,永久生效。
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4“ source address=”192.168.10.0/24" service name="ssh" reject"
firewall-cmd --reload
四、图形化操作
#yum install firewall-config #下载工具
#firewall-config #使用