官方文档介绍地址:https://http://access.redhat.com/docum
动态防火墙守护程序firewalld提供动态管理的防火墙,支持网络“区域”,以便为网络及其关联的连接和接口分配信任级别。它支持IPv4和IPv6防火墙设置。它支持以太网桥,并具有运行时和永久配置选项的分离。它还有一个服务或应用程序接口,可以直接添加防火墙规则。
网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。由firewalld提供的区域按照从不信任到信任的顺序排序。
防火墙可用于根据用户决定放置在设备上的信任级别和该网络内的流量将网络分成不同的区域。NetworkManager通知firewalld接口所属的区域。可以通过NetworkManager或firewall-config工具更改接口的分配区域,该工具可以为您打开相关的NetworkManager窗口。
/ etc / firewalld /中的区域设置是一系列预设设置,可以快速应用于网络接口。这里列出了它们的简要说明: drop 任何传入的网络数据包都被丢弃,没有回复。只能进行传出网络连接。 阻止 任何传入的网络连接被拒绝,其中包含用于IPv4的icmp-host-prohibited消息和用于IPv6的icmp6-adm-prohibited。只能从系统内启动网络连接。 公共 用于公共场所。您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。 external 用于特别为路由器启用伪装的外部网络。您不相信网络上的其他计算机不会损害您的计算机。仅接受选定的传入连接。 dmz 适用于非军事区中的计算机,这些计算机可公开访问,并且对内部网络的访问权限有限。仅接受选定的传入连接。 工作 用于工作区域。您最常信任网络上的其他计算机,以免损害您的计算机。仅接受选定的传入连接。 home 适用于家庭领域。您最常信任网络上的其他计算机,以免损害您的计算机。仅接受选定的传入连接。 内部 用于内部网络。您最常信任网络上的其他计算机,以免损害您的计算机。仅接受选定的传入连接。 trusted 接受所有网络连接 可以将这些区域中的一个指定为默认区域。将接口连接添加到NetworkManager时,会将它们分配给默认区域。安装时,firewalld中的默认区域将设置为公共区域。
firewalld的配置存储在/usr/lib/firewalld/和/etc/firewalld/中的各种XML文件中。 这样可以提供很大的灵活性,因为文件可以编辑,编写,备份,用作其他安装的模板等。修改防火墙配置文件之前,需要对之前防火墙做好备份。
查看firewall的状态 firewall-cmd --list-all 查看防火墙规则(只显示/etc/firewalld/zones/public.xml中防火墙策略)firewall-cmd --list-all-zones 查看所有的防火墙策略(即显示/etc/firewalld/zones/下的所有策略)firewall-cmd --reload
systemctl stop firewalld.service #停止 firewallsystemctl disable firewalld.service #禁止firewall开机启动 firewall-cmd --state #查看默认防火墙状态(关闭后显示notrunning,开启后显示running)
启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld
systemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体 启动一个服务:systemctl start firewalld.service 关闭一个服务:systemctl stop firewalld.service 重启一个服务:systemctl restart firewalld.service 显示一个服务的状态:systemctl status firewalld.service 在开机时启用一个服务:systemctl enable firewalld.service 在开机时禁用一个服务:systemctl disable firewalld.service 查看服务是否开机启动:systemctl is-enabled firewalld.service 查看已启动的服务列表:systemctl list-unit-files|grep enabled 查看启动失败的服务列表:systemctl --failed
查看版本: firewall-cmd --version 查看帮助: firewall-cmd --help显示状态: firewall-cmd --state 查看所有打开的端口: firewall-cmd --zone=public --list-ports 更新防火墙规则: firewall-cmd --reload 查看区域信息: firewall-cmd --get-active-zones 查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0 拒绝所有包:firewall-cmd --panic-on 取消拒绝状态: firewall-cmd --panic-off 查看是否拒绝: firewall-cmd --query-panic
那怎么开启一个端口 添加 firewall-cmd --zone=public --add-port=80/tcp --permanent (–permanent永久生效,没有此参数重启后失效) 重新载入 firewall-cmd --reload 查看 firewall-cmd --zone= public --query-port=80/tcp 删除 firewall-cmd --zone= public --remove-port=80/tcp --permanent 因为在/usr/lib/firewalld/services/中事先定义了ssh.xml的相应的规则
