firewalld 是 Red Hat Enterprise Linux 7 中管理主机级防火墙的默认方法。
从firewalld开始。
service systemd 服务,firewalld 使用低级 iptables、ip6tables 和 ebtables 命令管理 Linux 内核 netfilter 子系统。
firewalld 区域的默认配置
| Zone 名称 | 默认配置 |
|---|---|
| trusted | 允许所有传入流量。 |
| home | 拒绝传入流量,除非与传出流量相关或者匹配 ssh、mdns、ipp-client、samba-client 或者 dhcpv6-client 预定义服务。 |
| internal | 拒绝传入流量,除非与传出流量相关或者匹配 ssh、mdns、ipp-client、samba-client 或者 dhcpv6-client 预定义服务(与起始区域相同)。 |
| work | 拒绝传入流量,除非与传出流量相关或者匹配 ssh,ipp %26#8211;客户端,或者 dhcpv6 %26#8211;客户端预定义服务。 |
| public | 拒绝传入流量,除非与传出流量相关或者匹配 ssh 或者 dhcpv6 %26#8211;客户端预定义服务。新添加的网络接口的默认区域 |
| external | 拒绝传入流量,除非与传出流量相关或者匹配 ssh 预定义服务。通过该区域转发的传出 1Pv4 流量被伪装成看起来像是源自传出网络接口的 1Pv4 地址。 |
| dmz | 拒绝传入流量,除非与传出流量相关或者匹配 ssh 预定义服务。 |
| block | 拒绝所有传入流量,除非与传出流量相关。 |
| drop | 丢弃所有传入流量,除非与传出流量相关(甚至不响应 ICMP 错误)。 |
https://onitroad.com 更多教程
防火墙firewall命令行参考
| firewall -cmd 命令 | 解释 |
|---|---|
| -get-default-zone | 查询当前的默认区域。 |
| -set-default-zone=[ZONE] | 设置默认区域。这会更改运行时和永久配置。 |
| -get-zones | 列出所有可用区域。 |
| -get-services | 列出所有预定义服务。 |
| -get-active-zones | 列出当前使用的所有区域(具有与其相关联的接口或者源),以及它们的接口和源信息。 |
| -add-source=[CIDR] [ -zone=[ZONE] | 将来自 IP 地址或者网络/网络掩码 [CIDR] 的所有流量路由到指定区域。如果未提供 -zone= 选项,则将使用默认区域。 |
| -remove-source=[CIDR] [ -zone=[ZONE] | 删除路由来自指定区域的 IP 地址或者网络/网络掩码 [CIDR] 的所有流量的规则。如果未提供 -zone= 选项,则将使用默认区域。 |
| -add-interface=[INTERFACE] [ -zone=[ZONE] | 将来自 [INTERFACE] 的所有流量路由到指定区域。如果未提供 -zone= 选项,则将使用默认区域。 |
| -change -interface=[INTERFACE] [-zone=[ZONE] | 将接口与 [ZONE] 而不是其当前区域相关联。如果未提供 -zone= 选项,则将使用默认区域。 |
| -list-all [-zone=[ZONE]] | 列出 [ZONE] 的所有已配置接口、来源、服务和端口。如果未提供 -zone= 选项,则将使用默认区域。 |
| -list-all-zones | 检索所有区域的所有信息(接口、源、端口、服务等)。 |
| -add-service=[SERVICE] | 允许通向 [SERVICE] 的流量。如果未提供 -zone= 选项,则将使用默认区域。 |
| -add-port=[PORT/PROTOCOL] | 允许流量到 [PORT/PROTOCOL] 端口。如果未提供 -zone= 选项,则将使用默认区域。 |
| -remove-service=[SERVICE] | 从区域的允许列表中删除 [SERVICE]。如果未提供 -zone= 选项,则将使用默认区域。 |
| -remove-port=[PORT/PROTOCOL] | 从区域的允许列表中删除 [PORT/PROTOCOL] 端口。如果未提供 -zone= 选项,则将使用默认区域。 |
| -reload | 删除运行时配置并应用持久配置。 |
日期:2020-09-17 00:12:57 来源:oir作者:oir