vlambda博客
学习文章列表

关于CentOS 7的防火墙

CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙进行了升级。支持动态更新技术并加入了区域(zone)的概念,zone就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。

 

FIREWALL服务命令:

启动:

systemctl start firewalld

查看状态:

systemctl status firewalld

停止:

systemctl enable/disable firewalld

禁用:

systemctl stop firewalld

 

习题:检查防火墙服务状态,查看当前开放端口的规则。永久开放80端口,临时开放端口8080

[root@ZJ-WLH wuliwuli]# firewall-cmd --list-port       //查看当前开启的端口

                                                             //初始状态没有端口开启

[root@ZJ-WLH wuliwuli]# firewall-cmd --permanent --add-port=80/tcp  //永久开启80端口

success

[root@ZJ-WLH wuliwuli]# firewall-cmd --query-port=80/tcp //查询80端口状态

no

[root@ZJ-WLH wuliwuli]# firewall-cmd --reload //加载配置文件

[root@ZJ-WLH wuliwuli]# firewall-cmd --add-port=8080/tcp //临时开启8080端口

success

[root@ZJ-WLH wuliwuli]# firewall-cmd --query-port=8080/tcp  //查询8080端口状态

yes

[root@ZJ-WLH wuliwuli]# firewall-cmd --list-port  //查看当前开启的端口

80/tcp 8080/tcp

 

区域Zone

网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。

 

drop: 丢弃所有进入的包,而不给出任何响应

block: 拒绝所有外部发起的连接,允许内部发起的连接

public: 允许指定的进入连接

external: 同上,对伪装的进入连接,一般用于路由转发

dmz: 允许受限制的进入连接

work: 允许受信任的计算机被限制的进入连接,类似 workgroup

home: 同上,类似 homegroup

internal: 同上,范围针对所有互联网用户

trusted: 信任所有连接

 

firewall过滤规则

interface 根据网卡过滤

service 根据服务名过滤

port 根据端口过滤

icmp-block icmp 报文过滤,按照 icmp 类型配置

forward-port 端口转发

rule 自定义规则

 

firewall-cmd  --get-zones //查看所有ZONE

firewall-cmd  --get-default-zone //查看默认ZONE

firewall-cmd --zone=work --permanent --remove/add-port=8010/tcp

firewall-cmd --set-default-zone=drop //设定默认域

 

限制端口firewall-cmd --zone=dmz --remove-port=8080/tcp --permanent