RHEL7默认的防火墙配置管理工具
firewall-cmd 命令行界面管理工具
firewall-config 图形化界面管理工具
不要同时配置这2个管理工具,会造成数据的混乱,只要选择其中的一个管理工具进行配置即可,使用哪一个都是一样的。
firewall引入区域(zone)的说法,zone就相当于是一个模板,通过模板来进行快速的更改防火墙的策略
firewall常用的规则策略
firewall-cmd
命令行界面管理工具 长格式 使用tab补齐
firewall配置的防火墙有2种模式
①Runtime 模式 运行时模式=>配置完后立即生效,重启后失效,默认为该模式
②Permanent 模式 永久生效模式 只能系统重启后自动生效,要想立即生效,需要执行firewall-cmd --reload命令
1、查看当前所使用的区域
2、查看网卡所在的区域
3、设置当前默认区域为public
4、应急模式的开启和关闭 快速断网
5、查看public区域是否允许请求某协议
6、将某协议设置成永久允许模式,并立即生效
7、将某协议设置成永久拒绝,并立即生效
8、将访问端口设置成允许,仅当前生效
9、源端口转发至目标端口,当前+永久有效
10、富规则配置
实验:
1、查看当前的区域
firewall-cmd --get-default-zone
2、查看网卡的区域
ifconfig
firewall-cmd --get-zone-of-interface=网卡名
查看永久状态下的inteface的区域
firewall-cmd --get-zone-of-interface=网卡名 --permanent
3、设置当前的默认区域为public
firewall-cmd --set-default-zone=public
firewall-cmd --get-default-zone
4、应急模式的开启和关闭 快速断网可以使用这个命令
开启:
firewall-cmd --panic-on
关闭:
firewall-cmd --panic-off
5、查看public区域是否允许请求某协议流量
firewall-cmd --zone=public --query-service=协议名
6、设置某协议的请求为永久允许,并立即生效
firewall-cmd --permanent --zone=public --add-service=协议名
firewall-cmd --zone=public --query-service=协议名
firewall-cmd --reload
firewall-cmd --zone=public --query-service=协议名
7、设置某协议的请求为永久拒绝,并立即生效
firewall-cmd --zone=public --query-service=协议名
firewall-cmd --permanent --zone=public --remove-service=协议名
firewall-cmd --zone=public --query-service=协议名
firewall-cmd --reload
8、将访问端口设置成允许,仅当前生效
firewall-cmd --zone=public --add-port=[当个端口或端口范围]/端口协议
firewall-cmd --zone=public --list-ports
firewall-cmd --zome=public --remove-port=[当个端口或端口范围]/端口协议
备注:当端口协议没告诉的时候,udp和tcp都要添加
9、源端口转发至目标端口,当前和长期有效
原本ssh为22端口,现在想通过9876端口能够进行ssh服务
流量转发命令格式为firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>
firewall-cmd -reload
10、富规则 复杂的规则,功能更为完善,优先级在防火墙策略最高
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j REJECT
等价于
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.10.0/24” service name=“ssh” reject”
firewall-cmd
ssh IP
命令总结:
firewall-cmd --get-default-zone
firewall-cmd --get-zone-of-interface=网卡名
firewall-cmd --set-default-zone=区域名
firewall-cmd --panic-on
firewall-cmd --panic-off
firewall-cmd --zone=public --query-service=协议名
firewall-cmd --permanent --zone=public --add-service=协议名
firewall-cmd --permanent --zone=public --remove-service=协议名
firewall-cmd --reload
firewall-cmd --zone=public --add-port=端口号/tcp
firewall-cmd --zone=public --list-ports
firewall-cmd --permanent --zone=public --add-forwall-port=port=888:proto=tcp:toport=22:toaddr=IP地址
firewall-cmd --permanent --zone=public --add-rich-rule=“rule family=“ipv4” source address=“192.168.10.0/24” service name=“ssh” reject”
图形管理工具
firewall-config
根据需求在图形界面上进行设置
注意:如果是永久生效permanent的记得要在options中点击reload firewall