关于CentOS 7的防火墙
CentOS 7中防火墙是一个非常的强大的功能,在CentOS 6.5中在iptables防火墙进行了升级。支持动态更新技术并加入了区域(zone)的概念,zone就是firewalld预先准备了几套防火墙策略集合(策略模板),用户可以根据生产场景的不同而选择合适的策略集合,从而实现防火墙策略之间的快速切换。
FIREWALL服务命令:
启动:
systemctl start firewalld
查看状态:
systemctl status firewalld
停止:
systemctl enable/disable firewalld
禁用:
systemctl stop firewalld
习题:检查防火墙服务状态,查看当前开放端口的规则。永久开放80端口,临时开放端口8080
[root@ZJ-WLH wuliwuli]# firewall-cmd --list-port //查看当前开启的端口
//初始状态没有端口开启
[root@ZJ-WLH wuliwuli]# firewall-cmd --permanent --add-port=80/tcp //永久开启80端口
success
[root@ZJ-WLH wuliwuli]# firewall-cmd --query-port=80/tcp //查询80端口状态
no
[root@ZJ-WLH wuliwuli]# firewall-cmd --reload //加载配置文件
[root@ZJ-WLH wuliwuli]# firewall-cmd --add-port=8080/tcp //临时开启8080端口
success
[root@ZJ-WLH wuliwuli]# firewall-cmd --query-port=8080/tcp //查询8080端口状态
yes
[root@ZJ-WLH wuliwuli]# firewall-cmd --list-port //查看当前开启的端口
80/tcp 8080/tcp
区域Zone:
网络区域定义了网络连接的可信等级。这是一个 一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。
drop: 丢弃所有进入的包,而不给出任何响应
block: 拒绝所有外部发起的连接,允许内部发起的连接
public: 允许指定的进入连接
external: 同上,对伪装的进入连接,一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接,类似 workgroup
home: 同上,类似 homegroup
internal: 同上,范围针对所有互联网用户
trusted: 信任所有连接
firewall过滤规则
interface 根据网卡过滤
service 根据服务名过滤
port 根据端口过滤
icmp-block icmp 报文过滤,按照 icmp 类型配置
forward-port 端口转发
rule 自定义规则
firewall-cmd --get-zones //查看所有ZONE
firewall-cmd --get-default-zone //查看默认ZONE
firewall-cmd --zone=work --permanent --remove/add-port=8010/tcp
firewall-cmd --set-default-zone=drop //设定默认域
限制端口firewall-cmd --zone=dmz --remove-port=8080/tcp --permanent