linux防火墙设置

yufeibwl 4年前

来自: http://my.oschina.net/u/2246410/blog/615975


linux防火墙设置

    介绍

        1.防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。

        2.firewall的以 服务和端口 来管理网络。一个端口(例如:你自己写的监听 8805端口)、一个服务(例如:SSH服务,当然也可以添加为25端口)。

        2.在/usr/lib/firewalld中存放firewall的 网络服务和端口参数、zone值。用于参考、不可修改。

        3.、/etc/firewalld/里面存放的是 firewalld真正配置文件(里面的zone、services、icmptypes都至存放了需要的文件)


    命令:firewall-cmd

Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别  drop: 丢弃所有进入的包,而不给出任何响应  block: 拒绝所有外部发起的连接,允许内部发起的连接  public: 允许指定的进入连接  external: 同上,对伪装的进入连接,一般用于路由转发  dmz: 允许受限制的进入连接  work: 允许受信任的计算机被限制的进入连接,类似 workgroup  home: 同上,类似 homegroup  internal: 同上,范围针对所有互联网用户  trusted: 信任所有连接    1.查看状态:(firewall状态)  $ :firewallcmd --state      2.已激活的zone信息  $:firewall-cmd --get-active-zones    3.服务管理  (添加)  $:firewall-cmd (--zone=dmz:dmz信任级别) --add-service=ftp  (永久添加)  $:firewall-cmd (--zone=dmz:dmz信任级别) --add-service=ftp --pernament  (永久关闭)  $:firewall-cmd (--zone=dmz:dmz信任级别) --remove-service=ftp  (查看是否运行)  $:firewall-cmd (--zone=dmz:dmz信任级别) --query-service ftp  (查询)  $:firewall-cmd --get-servic    4.端口管理:  (添加端口)  $:firewall-cmd (--zone=dmz:dmz信任级别) --add-port=8080/tcp  (删除)  $:firewall-cmd (--zone=dmz:dmz信任级别) --remove-port=8080/tcp  (转发)  $:firewall-cmd (--zone=dmz:dmz信任级别) --add-masquerade  打开  $:firewall-cmd (--zone=dmz:dmz信任基本) --add-forward-port=port=22:proto=tc:toprot=3753 (将tcp的22端口转发到3753)  (查询)  $:firewall-cmd (--zone=dmz:dmz信任级别) --list-port      5 查询firewall的所有管理  $ firewall-cmd (--zone=dmz:dmz信任级别) --list-all --permanent    ps:  1.括号里是单独查询 某个信任级别的服务和端口  2.--permanet 会永久加入