firewalld
动态防火墙后台程序提供了一个动态管理的防火墙,用以支持网络“zone”,以分配对一个网络及其相关链接和界面一定程度上的信任。它具备对IPV4和 IPV6防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口.
firewalld和iptables service之间的区别
1)iptables service在/etc/sysconfig/iptables中存储配置,而firewalld将配置存储在/usr/lib/firewalld/和 /etc/firewalld/ 中的各种XML文件里。
2)使用iptables service每一个单独更改意味着清楚所有旧的规则和从 /etc/sysconfig/iptables 里读取所有新的规则,然而使用firewalld却不会创建任何新的规则;仅仅运行规则中的不同之处。此,firewalld可以在运行时间内,改变设置而不丢失现行连接。
关闭iptables并冻结,解冻firewalld并重新启动
firewalld网络区
查看默认域,并修改默认域为trusted
在public域中添加http服务
重启后查看添加结果,发现http服务消失了,说明这只是临时添加
--permanent ##设置永久添加
发现可以使用http服务连接125主机
进入firewalld配置文件查看文件内容
添加策略生效的原因是配置文件中生成了相关文件
再次添加ftp服务
配置文件中生成了ftp服务内容
查看public下支持的服务
ftp服务加载的模块
设置火墙通过8080端口
vim /etc/httpd/conf/httpd.conf ##修改默认端口为8080
通过8080端口访问http服务
修改服务端eth1网络为trusted
@@这里重新加载不能生效,必须要重启服务
添加一条火墙策略,允许254这个网段所有用户的所有请求
直接用http访问125主机
删掉http火墙策略
重启服务后,http服务消失了
再次访问,无法连接,因为缺少http这个服务
当访问eth1这块网卡的http时,可以连接,因为eth1的状态为trusted
拒绝所有的用户访问172.25.254.25这台主机的22端口
将从172.25.254.25的22端口 伪装为172.25.25.225的22端口
测试发现,连接172.25.254.125时,显示ip为172.25.25.225
查看添加的火墙策略
