手机游戏
经典单机
角色扮演
休闲益智
动作冒险
射击枪战
赛车竞速
模拟经营
解密闯关
策略战争
手机软件
时尚购物
体育运动
资讯阅读
教育学习
摄影摄像
生活服务
效率办公
聊天社交
视频盒子
其它软件
新闻资讯
游戏攻略
软件教程
游戏问答
软件资讯
软件技术
叨叨念念
网站技术
技术问答
软件教程
资源资料
原创作品
代码学习
网页设计
网络技术
合集
合集
游戏合集
软件合集
资讯合集
视频合集
首页 > 资源资料 > 资源资料

Centos7防火墙基本介绍

作者:星知苑 时间:2019-04-10 14:39:44

相对于Centos6防火墙使用的是iptables,而Centos7使用的是filewall,它底层还是使用 iptables 对内核命令动态通信包过滤的,简单理解就是firewall是centos7下管理iptables的新命令。

 

一、systemctl命令操作防火墙

1、启动防火墙:systemctl start firewalld.service

2、关闭防火墙:systemctl stop firewalld.service

3、重启防火墙:systemctl restart firewalld.service

4、显示防火墙状态:systemctl status firewalld.service[break]

5、开机启动防火墙:systemctl enable firewalld.service

6、开机禁用防火墙:systemctl disable firewalld.service

7、查看防火墙是否开机启动:systemctl is-enabled firewalld.service

 

二、Firewall区域管理

firewall引入了zone区域概念,firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别:

  • block (阻塞区域)拒绝所有外部发起的连接,返回icmp-host-prohibited,允许内部发起的连接
  • dmz (隔离区域)允许受限制的进入连接
  • drop (丢弃区域)丢弃所有进入的包,而不给出任何响应
  • external (外部区域)只有指定的连接会被接受,一般用于路由转发
  • home (家庭区域)允许受信任的计算机被限制的进入连接,类似 homegroup
  • internal (内部区域)信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
  • public (公共区域)不相信网络上的任何计算机,只有选择接受传入的网络连接。
  • trusted(信任区域)信任所有连接
  • work (工作区域)允许受信任的计算机被限制的进入连接,类似 workgroup

1、显示支持的区域列表:firewall-cmd --get-zones

2、查看域详情列表:firewall-cmd --list-all-zones

 

3、查看默认区域:firewall-cmd --get-default-zone

4、设置默认区域firewall-cmd --set-default-zone=home

5、查看某个区域列表:firewall-cmd --zone=home --list-all

6、查看活动的区域:firewall-cmd --get-active-zones

7、创建自己的区域:firewall-cmd --permanent --new-zone=myself

8、删除区域:firewall-cmd --permanent --delete-zone=myself

 

三、Firewall务端口管理

以下带有--permanent生效的策略记录(除查看执行行"--reload"后才能立即生效,否则要重启后再生效。不带--permanent的命令立即生效,但是reload或者restart后失效。

1、显示防火墙状态:firewall-cmd --state

 

 

2、显示服务列表:firewall-cmd --get-services (查看已被firewall提供的一些常用服务)

 

3、查看某域的服务:firewall-cmd --zone=public --permanent --list-services 

PS:(1)加了--permanent 表示永久服务,不加显示所有服务,包含临时服务。(2)--zone表示默认区域

 

4、添加某域的服务:firewall-cmd --zone=public --permanent --add-service=http

5、移除某域的服务:firewall-cmd --zone=public --permanent --remove-service=http

PS:(1)不加--permanent表示临时增加reload或者restart后效。2--zone表示默认区域

 

6、添加端口:firewall-cmd --zone=home --permanent --add-port=5000/tcp

7、删除端口:firewall-cmd --zone=home --permanent --remove-port=5000/tcp

8、多口添加firewall-cmd --zone=home --permanent --add-port=5000-5005/tcp

PS:(1)不加--permanent表示临时增加reload或者restart后效。(2)--zone表示默认区域。(3)端口后面tcp和udp表示协议

 

9、查看区域端口情况:firewall-cmd --zone=public --permanent --list-ports

PS:(1)加了--permanent 表示永久服务,不加显示所有服务,包含临时服务。

 

10、查询服务是否被允许:firewall-cmd --zone=public --query-service=ssh

PS:(1)--zone表示默认区域。

 

11、端口转发

将80端口的流量转发至8080:firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080

将80端口的流量转发至192.168.1.1:firewall-cmd --permanent --zone=public  --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.1 

将80端口的流量转发至192.168.1.1的8080端口:firewall-cmd --permanent --zone=public  --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.1:toport=8080

PS:(1)不加ip地址,默认转发到本地的端口。(2)--zone表示默认区域。(3)不加--permanent表示临时增加reload或者restart后效。

 

12、手动编写服务

可以将某个程序需要的端口写在一个自己编写的服务里,然后直接添加这个服务就可以了,这样会很方便。

 

/usr/lib/firewalld/services创建自己的服务,格式可以拷贝/etc/firewalld/services任意一个服务的。

<?xml version="1.0" encoding="utf-8"?>
<service>
<short>Myself Service</short>
<description>This is a myself service</description>
<port protocol="tcp" port="5000"/>
<port protocol="tcp" port="5001"/>
<port protocol="tcp" port="9095"/>
</service>

查找服务:firewall-cmd --get-services |grep myself

 

13、重新加载配置:firewall-cmd --reload

良心推荐

生活服务软件推荐
  • 修达达app下载版安装
  • IO定制游官网免费下载
  • 货拉拉下载安装官方下载
  • 巴士管家订票网app下载
  • 航班管家app下载安装
  • 维也纳酒店下载app官方下载
现在很多的软件都是为了方便人民的生活而打造,像一些天气软件、购物APP、生活应用等,让你的生活变得更加便利,一部手机就能解决你生活中的很多问题。小编今天为大家带来的这几款软件,还是非常实用的,很多的功能你都能使用到,并且还是完全免费的,有需要的可以自己选择下载。

相关资讯