Firewall,对iptables防火墙的进一步封装,没有链与表的概念,只有区域的概念,比iptables操作简单,但是底层还是调用Iptables。
??系统服务:firewalld; ?管理工具:firewall-cmd(命令)、firewall-config(图形化界面)。 ?Firewall基本区域Firewall包括四个基本区域,根据所在的网络场所区分,预设保护规则集:
??public,仅允许访问本机的Ssh/Dhcp/Ping等服务; ?trusted,允许任何网络请求访问; ?block,阻塞任何来访请求(明确拒绝,有回应给客户端); ?drop,丢弃任何来访请求(没有回应,节省服务端资源)。 ?Firewall区域操作## 列出所有区域;[root@localhost ~]# firewall-cmd --get-zonesblock dmz drop external home internal libvirt public trusted work## 列出当前区域;[root@localhost ~]# firewall-cmd --get-default-zone public## 切换当前区域;[root@localhost ~]# firewall-cmd --set-default-zone=trusted success## 列出当前区域信息;[root@localhost ~]# firewall-cmd --zone=trusted --list-all ??trusted (active) ?target: ACCEPT ?icmp-block-inversion: no ?interfaces: ens33 ?sources: ??services: ??ports: ??protocols: ??masquerade: no ?forward-ports: ??source-ports: ??icmp-blocks: ??rich rules:## 重新加载防火墙所有配置;[root@localhost ~]# firewall-cmd --reload## 添加指定服务允许网络请求;[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=\\\'服务名\\\' Firewall规则操作 ## 查看防火墙端口;[root@localhost ~]# firewall-cmd --zone=public --list-ports## 重载防火墙配置;[root@localhost ~]# firewall-cmd --reload## 开放端口;[root@localhost ~]# firewall-cmd --zone=public --add-port=100-500/tcp --permanent[root@localhost ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent## 限制端口;[root@localhost ~]# firewall-cmd --zone=public --remove-port=22/tcp --permanent## 开发IP地址;[root@localhost ~]# firewall-cmd ?--permanent --add-source=192.168.1.0/24## 禁止IP地址;[root@localhost ~]# firewall-cmd ?--permanent --add-source=192.168.1.0/24## 添加复杂规则;[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4