Firewall介绍
防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。它支持 ipv4 与 ipv6,并支持网桥,采用 firewall-cmd (command) 或 firewall-config (gui) 来动态的管理 kernel netfilter 的临时或永久的接口规则,并实时生效而无需重启服务。
Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别
drop: 丢弃所有进入的包,而不给出任何响应
block: 拒绝所有外部发起的连接,允许内部发起的连接
public: 允许指定的进入连接
external: 同上,对伪装的进入连接,一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接,类似 workgroup
home: 同上,类似 homegroup
internal: 同上,范围针对所有互联网用户
trusted: 信任所有连接
Firewall的使用
|
1 2 3 4 |
systemctl start firewalld.service # 启动, systemctl enable firewalld.service # 开机启动 systemctl stop firewalld.service # 关闭 systemctl disable firewalld.service # 取消开机启动 |
Firewall开放、关闭端口
|
1 2 3 4 5 6 7 8 |
--permanent表示设置为持久开放端口,重启后还是生效的 不加开放临时端口,重启失效 firewall-cmd --zone=public --add-port=8080/tcp --permanent #开放持久TCP 8080 端口 firewall-cmd --zone=public --add-port=8080/udp --permanent #开放持久UDP 8080 端口 firewall-cmd --zome=public --add-port=8000-9000/udp --permanent #开放持久UDP 8000-9000 端口 firewall-cmd --zone=public --remove-port=8080/tcp --permanent #关闭持久TCP 8080 端口 firewall-cmd --zone=public --remove-port=8080/udp --permanent #关闭TCP 8080 端口 firewall-cmd --reload #重新载入配置 添加规则之后 需要执行此命令使之生效 firewall-cmd --list-all #查看防火墙规则,可查到你当前开放的端口信息 |
开放服务,ftp服务=端口21 http=80
|
1 2 3 4 |
firewall-cmd --get-services ##列出支持的服务 firewall-cmd --add-service=ftp --permanent ##持久开放ftp服务 firewall-cmd --remove-service=ftp --permanent ##移除ftp服务 firewall-cmd --reload #重新载入配置 添加规则之后 需要执行此命令使之生效 |
