firewall防火墙使用

相同、Centos7使firewall的治本防火墙

firewall用zone来分别管理,默认有以下一些zone:

1.firewalld主导使用

丢弃(DROP)

  启动:systemctl start firewalld

其余流入网络的包都被抛弃,不作出任何响应。只同意流出的网络连接。

  关闭:systemctl stop firewalld

阻塞(Block)

  状态:systemctl status firewalld

另进入的网络连接都受拒,并回到 IPv4 底 icmp-host-prohibited 报文或者
IPv6 的 icmp6-adm-prohibited 报文。只允许由该体系初始化的网络连接。

  开机禁用:systemctl disable firewalld

公开(Public)

  开机启用:systemctl enable firewalld

用以可以公开之片段。你认为网络被其他的微机不可信并且可能伤而的微处理器。只允许选中的接连接入。(You
do not trust the other computers on networks to not harm your computer.
Only selected incoming connections are accepted.)

2.配备项目

外部(Extend)

  例1:开放80端口

之所以当路由器等启用伪装的表网络。你以为网络中另外的计算机不可信并且可能妨害而的电脑。只同意选中的接连接入。

  a.开启80端口

隔离区(dmz)

  命令:firewall-cmd –zone=public –add-port=80/tcp
–permanent
    #–permanent永久生效,没有这参数还开后失效

用来允许隔离区(dmz)中的电脑有限地吃外面网络访问。只接受吃入选的连年。

  b.重新加载:

工作(work)

  命令: firewall-cmd –reload  #再也加载后生效

为此当做事网络。你相信网络被的大多数处理器不会见潜移默化你的微处理器。只受被入选的连天。

 

家庭(home)

  例2:关闭80端口

故此在家庭网络。你相信网络中之大多数电脑不会见影响而的微处理器。只领吃选中的连接。

  a.删除80端口:

内部(internal)

  命令:firewall-cmd –zone=public –remove-port=80/tcp –permanet

据此当中网络。你相信网络被的大多数计算机不见面潜移默化您的微处理器。只受被入选的连年。

  b.重新加载:

为信赖的(trust)

  命令: firewall-cmd –reload  #还加载后生效

容所有网络连接。

 

 

  例3:查看已开之端口

因默认的zone 是public

  a.命令:firewall-cmd –zone=public –list-ports

1.添加去某个端口

 

firewall-cmd –add-port=3306/tcp

firewall-cmd –remove-port=3306/tcp

2.添加刨除某个服务

firewall-cmd –add-service=mysqld

firewall-cmd –remove-service=mysqld

3.添加删减某个ip 访问某个端口

firewall-cmd  –add-rich-rule=”rule family=”ipv4″ source
address=”192.168.0.0/16″ port port=”3306″ protocol=”tcp” accept”

firewall-cmd  –remove-rich-rule=”rule family=”ipv4″ source
address=”192.168.0.0/16″ port port=”3306″ protocol=”tcp” accept”

4.添加去某个ipset 访问

firewall-cmd –add-source=”192.168.85.0/32″

firewall-cmd –remove-source=”192.168.85.0/32″

保存配置

firewall-cmd –runtime-to-permanent

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图