Centos七 使用firewall管理防火墙

1、Centos7选取firewall的管住防火墙

firewall用zone来差异管理,暗中同意有以下壹些zone:

一.firewalld大旨使用

丢弃(DROP)

  启动:systemctl start firewalld

别的流入互联网的包都被放弃,不作出任何响应。只同意流出的互联网连接。

  关闭:systemctl stop firewalld

阻塞(Block)

  状态:systemctl status firewalld

别的进入的网络连接都被驳回,并回到 IPv四 的 icmp-host-prohibited 报文可能IPv陆 的 icmp6-adm-prohibited 报文。只允许由该种类开头化的互联网连接。

  开机禁止使用:systemctl disable firewalld

公开(Public)

  开机启用:systemctl enable firewalld

用来可以公开的有的。你感觉互连网中别的的微处理器不可相信赖并且或然危机你的处理器。只允许选中的总是接入。(You
do not trust the other computers on networks to not harm your computer.
Only selected incoming connections are accepted.)

二.布局项目

外部(Extend)

  例1:开放80端口

用在路由器等启用伪装的外表互联网。你感觉互连网中任何的Computer不可相信并且或者妨害你的微机。只同意选中的连接接入。

  a.开启80端口

隔离区(dmz)

  命令:firewall-cmd –zone=public –add-port=80/tcp
–permanent
    #–permanent恒久生效,没有此参数重启后失效

用于允许隔绝区(dmz)中的Computer有限地被外界互联网访问。只接受被入选的连接。

  b.重新加载:

工作(work)

  命令: firewall-cmd –reload  #再也加载后生效

用在做事互连网。你相信网络中的大多数Computer不会潜移默化您的微处理器。只接受被入选的再而三。

 

家庭(home)

  例2:关闭80端口

用在家庭网络。你相信互联网中的大诸多处理器不会影响你的微型Computer。只接受被选中的接连。

  a.删除80端口:

内部(internal)

  命令:firewall-cmd –zone=public –remove-port=80/tcp –permanet

用在里头互连网。你相信互联网中的大诸多Computer不会潜移默化您的微处理器。只接受被入选的连年。

  b.重新加载:

受信赖的(trust)

  命令: firewall-cmd –reload  #再度加载后生效

同意全数网络连接。

 

 

  例3:查看已开放的端口

因为默许的zone 是public

  a.命令:firewall-cmd –zone=public –list-ports

1.增添删减有个别端口

 

firewall-cmd –add-port=3306/tcp

firewall-cmd –remove-port=3306/tcp

二.增添去除有些服务

firewall-cmd –add-service=mysqld

firewall-cmd –remove-service=mysqld

三.增多刨除有些ip 访问有些端口

firewall-cmd  –add-rich-rule=”rule family=”ipv4″ source
address=”192.168.0.0/16″ port port=”3306″ protocol=”tcp” accept”

firewall-cmd  –remove-rich-rule=”rule family=”ipv4″ source
address=”192.168.0.0/16″ port port=”3306″ protocol=”tcp” accept”

肆.添加删除某些ipset 访问

firewall-cmd –add-source=”192.168.85.0/32″

firewall-cmd –remove-source=”192.168.85.0/32″

封存配置

firewall-cmd –runtime-to-permanent

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图