Firewalld詳解

Firewalld詳解

 

 

端口映射

firewall-cmd --zone=external --add-port=5001/tcp --permanent 

firewall-cmd --add-forward-port=port=5001:proto=tcp:toaddr=192.168.0.150:toport=5001 --permanent

firewall-cmd --add-forward-port=port=13799:proto=tcp:toaddr=192.168.0.33:toport=3389 --permanent

firewall-cmd --remove-forward-port=port=13799:proto=tcp:toaddr=192.168.0.33:toport=3389 --permanent
 

2016年11月08日 10:58:49 tallercc 閱讀數：1056 標籤： 防火牆iptablesfirewalld網絡通訊 更多

我的分類： Firewalld

版權聲明：本文爲博主原創文章，未經博主容許不得轉載。 https://blog.csdn.net/tallercc/article/details/53079900

firewall概述

動態防火牆後臺程序 firewalld 提供了一個 動態管理的防火牆,用以支持網絡 「 zones」 ,以分配對一個網絡及其相關連接和界面必定程度的信任。它具有對 IP v4 和 IP v6 防火牆

設置的支持。它支持以太網橋,並有分離運行時間和永久性配置選擇。它還具有一個通向服務或者應用程序以直接增長防火牆規則的接口。

系統提供了圖像化的配置工具firewall-config(rhel7)、system-config-firewall(rhel6), 提供命令行客戶
端firewall-cmd, 用於配置 firewalld永久性或非永久性運行時間的改變:它依次用 iptables
工具與執行數據包篩選的內核中的 Netfilter通訊。

firewalld和iptables service 之間最本質的不一樣是:
• iptables service 在 /etc/sysconfig/iptables 中儲存配置,而 firewalld將配置儲存在
/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各類XML文件裏.

• 使用 iptables service每個單獨更改意味着清除全部舊有的規則和從
/etc/sysconfig/iptables裏讀取全部新的規則,然而使用 firewalld卻不會再建立任何新的規
則;僅僅運行規則中的不一樣之處。所以,firewalld能夠在運行時間內,改變設置而不丟失現
行鏈接。 



基於用戶對網絡中設備和交通所給與的信任程度,防火牆能夠用來將網絡分割成不一樣的區域。

 

 

 

NetworkManager通知firewalld一個接口歸屬某個區域,新加入的接口被分配到默認區域。

 

 

 

管理防火牆

安裝防火牆軟件:
# yum install -y firewalld firewall-config

啓動和禁用防火牆:
# systemctl start firewalld ; systemctl enable firewalld
# systemctl disable firewalld ; systemctl stop firewalld

使用iptables服務（rhel7中須要本身安裝iptables）:
# yum install -y iptables-services
# systemctl start iptables ; systemctl start iptables
# systemctl enable iptables ; systemctl enable iptables
推薦使用firewalld服務

 

使用命令行接口配置防火牆 查看firewalld的狀態: # firewall-cmd --state 查看當前活動的區域,並附帶一個目前分配給它們的接口列表: # firewall-cmd --get-active-zones 查看默認區域: # firewall-cmd --get-default-zone 查看全部可用區域: # firewall-cmd --get-zones 列出指定域的全部設置: # firewall-cmd --zone=public --list-all 列出全部預設服務: # firewall-cmd --get-services (這樣將列出 /usr/lib/firewalld/services/ 中的服務器名稱。注意:配置文件是以服務自己命名的service-name. xml) 列出全部區域的設置: # firewall-cmd --list-all-zones 設置默認區域: # firewall-cmd --set-default-zone=dmz 設置網絡地址到指定的區域: # firewall-cmd --permanent --zone=internal --add-source=192.168.122.0/24 (--permanent參數表示永久生效設置,若是沒有指定--zone參數,那麼會加入默認區域) 刪除指定區域中的網路地址: # firewall-cmd --permanent --zone=internal --remove-source=192.168.122.0/24 添加、改變、刪除網絡接口: # firewall-cmd --permanent --zone=internal --add-interface=eth0 # firewall-cmd --permanent --zone=internal --change-interface=eth0 # firewall-cmd --permanent --zone=internal --remove-interface=eth0 添加、刪除服務: # firewall-cmd --permanent --zone=public --add-service=smtp # firewall-cmd --permanent --zone=public --remove-service=smtp 列出、添加、刪除端口: # firewall-cmd --zone=public --list-ports # firewall-cmd --permanent --zone=public --add-port=8080/tcp # firewall-cmd --permanent --zone=public --remove-port=8080/tcp 重載防火牆: # firewall-cmd --reload (注意:這並不會中斷已經創建的鏈接,若是打算中斷,可使用 --complete-reload選項)