关于CentOS 7的防火墙

Posted 2021-04-02 分布式技术学习沙龙

CentOS 7中防火墙是一个非常的强大的功能，在CentOS 6.5中在iptables防火墙进行了升级。支持动态更新技术并加入了区域（zone）的概念，zone就是firewalld预先准备了几套防火墙策略集合（策略模板），用户可以根据生产场景的不同而选择合适的策略集合，从而实现防火墙策略之间的快速切换。

 

FIREWALL服务命令：

启动：

systemctl start firewalld

查看状态：

systemctl status firewalld

停止：

systemctl enable/disable firewalld

禁用：

systemctl stop firewalld

 

习题：检查防火墙服务状态，查看当前开放端口的规则。永久开放80端口，临时开放端口8080

[root@ZJ-WLH wuliwuli]# firewall-cmd --list-port       //查看当前开启的端口

                                                             //初始状态没有端口开启

[root@ZJ-WLH wuliwuli]# firewall-cmd --permanent --add-port=80/tcp  //永久开启80端口

success

[root@ZJ-WLH wuliwuli]# firewall-cmd --query-port=80/tcp //查询80端口状态

no

[root@ZJ-WLH wuliwuli]# firewall-cmd --reload //加载配置文件

[root@ZJ-WLH wuliwuli]# firewall-cmd --add-port=8080/tcp //临时开启8080端口

success

[root@ZJ-WLH wuliwuli]# firewall-cmd --query-port=8080/tcp  //查询8080端口状态

yes

[root@ZJ-WLH wuliwuli]# firewall-cmd --list-port  //查看当前开启的端口

80/tcp 8080/tcp

 

区域Zone：

网络区域定义了网络连接的可信等级。这是一个 一对多的关系，这意味着一次连接可以仅仅是一个区域的一部分，而一个区域可以用于很多连接。

 

drop: 丢弃所有进入的包，而不给出任何响应

block: 拒绝所有外部发起的连接，允许内部发起的连接

public: 允许指定的进入连接

external: 同上，对伪装的进入连接，一般用于路由转发

dmz: 允许受限制的进入连接

work: 允许受信任的计算机被限制的进入连接，类似 workgroup

home: 同上，类似 homegroup

internal: 同上，范围针对所有互联网用户

trusted: 信任所有连接

 

firewall过滤规则

interface 根据网卡过滤

service 根据服务名过滤

port 根据端口过滤

icmp-block icmp 报文过滤，按照 icmp 类型配置

forward-port 端口转发

rule 自定义规则

 

firewall-cmd  --get-zones //查看所有ZONE

firewall-cmd  --get-default-zone //查看默认ZONE

firewall-cmd --zone=work --permanent --remove/add-port=8010/tcp

firewall-cmd --set-default-zone=drop //设定默认域

 

限制端口firewall-cmd --zone=dmz --remove-port=8080/tcp --permanent