拒絕 con 規則 查看 lld 說了 lock 理解 重啟

CentOS 7 firewalld使用簡介

1、firewalld簡介 firewalld是centos7的一大特性，最大的好處有兩個：支持動態更新，不用重啟服務；第二個就是加入了防火墻的“zone”概念 firewalld有圖形界面和工具界面，由於我在服務器上使用，圖形界面請參照官方文檔，本文以字符界面做介紹 firewalld的字符界面管理工具是 firewall-cmd firewalld默認配置文件有兩個：/usr/lib/firewalld/ （系統配置，盡量不要修改）和 /etc/firewalld/ （用戶配置地址） zone概念： 硬件防火墻默認一般有三個區，firewalld引入這一概念系統默認存在以下區域（根據文檔自己理解，如果有誤請指正）： drop：默認丟棄所有包 block：拒絕所有外部連接，允許內部發起的連接 public：指定外部連接可以進入 external：這個不太明白，功能上和上面相同，允許指定的外部連接 dmz：和硬件防火墻一樣，受限制的公共連接可以進入 work：工作區，概念和workgoup一樣，也是指定的外部連接允許 home：類似家庭組 internal：信任所有連接 對防火墻不算太熟悉，還沒想明白public、external、dmz、work、home從功能上都需要自定義允許連接，具體使用上的區別還需高人指點 2、安裝firewalld root執行 # yum install firewalld firewall-config 3、運行、停止、禁用firewalld 啟動：# systemctl start firewalld 查看狀態：# systemctl status firewalld 或者 firewall-cmd --state 停止：# systemctl disable firewalld 禁用：# systemctl stop firewalld 4、配置firewalld 查看版本：$ firewall-cmd --version 查看幫助：$ firewall-cmd --help 查看設置： 顯示狀態：$ firewall-cmd --state 查看區域信息: $ firewall-cmd --get-active-zones 查看指定接口所屬區域：$ firewall-cmd --get-zone-of-interface=eth0 拒絕所有包：# firewall-cmd --panic-on 取消拒絕狀態：# firewall-cmd --panic-off 查看是否拒絕：$ firewall-cmd --query-panic 更新防火墻規則：# firewall-cmd --reload # firewall-cmd --complete-reload 兩者的區別就是第一個無需斷開連接，就是firewalld特性之一動態添加規則，第二個需要斷開連接，類似重啟服務 將接口添加到區域，默認接口都在public # firewall-cmd --zone=public --add-interface=eth0 永久生效再加上 --permanent 然後reload防火墻 設置默認接口區域 # firewall-cmd --set-default-zone=public 立即生效無需重啟 打開端口（貌似這個才最常用） 查看所有打開的端口： # firewall-cmd --zone=dmz --list-ports 加入一個端口到區域： # firewall-cmd --zone=dmz --add-port=8080/tcp 若要永久生效方法同上 開放一個範圍的端口 firewall-cmd --permanent --zone=public --add-port=100-500/tcp firewall-cmd --permanent --zone=public --add-port=100-500/udp 打開一個服務，類似於將端口可視化，服務需要在配置文件中添加，/etc/firewalld 目錄下有services文件夾，這個不詳細說了，詳情參考文檔 # firewall-cmd --zone=work --add-service=smtp 移除服務 # firewall-cmd --zone=work --remove-service=smtp

最近玩的centos7.3用的防火墻轉載