firewall防火牆使用

firewall用zone來區分管理，默認有如下一些zone：

丟棄（DROP）

任何流入網絡的包都被丟棄，不做出任何響應。只容許流出的網絡鏈接。

阻塞（Block）

任何進入的網絡鏈接都被拒絕，並返回 IPv4 的 icmp-host-prohibited 報文或者 IPv6 的 icmp6-adm-prohibited 報文。只容許由該系統初始化的網絡鏈接。

公開（Public）

用以能夠公開的部分。你認爲網絡中其餘的計算機不可信而且可能傷害你的計算機。只容許選中的鏈接接入。（You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.）

外部（Extend）

用在路由器等啓用假裝的外部網絡。你認爲網絡中其餘的計算機不可信而且可能傷害你的計算機。只容許選中的鏈接接入。

隔離區（dmz）

用以容許隔離區（dmz）中的電腦有限地被外界網絡訪問。只接受被選中的鏈接。

工做（work）

用在工做網絡。你信任網絡中的大多數計算機不會影響你的計算機。只接受被選中的鏈接。

家庭（home）

用在家庭網絡。你信任網絡中的大多數計算機不會影響你的計算機。只接受被選中的鏈接。

內部（internal）

用在內部網絡。你信任網絡中的大多數計算機不會影響你的計算機。只接受被選中的鏈接。

受信任的（trust）

容許全部網絡鏈接。

 

由於默認的zone 是public

1.添加刪除某個端口

firewall-cmd --add-port=3306/tcp

firewall-cmd --remove-port=3306/tcp

2.添加刪除某個服務

firewall-cmd --add-service=mysqld

firewall-cmd --remove-service=mysqld

3.添加刪除某個ip 訪問某個端口

firewall-cmd  --add-rich-rule="rule family="ipv4" source address="192.168.0.0/16" port port="3306" protocol="tcp" accept"

firewall-cmd  --remove-rich-rule="rule family="ipv4" source address="192.168.0.0/16" port port="3306" protocol="tcp" accept"

4.添加刪除某個ipset 訪問

firewall-cmd --add-source="192.168.85.0/32"

firewall-cmd --remove-source="192.168.85.0/32"

保存配置

firewall-cmd --runtime-to-permanent