linux防火墙设置
yufeibwl
8年前
来自: http://my.oschina.net/u/2246410/blog/615975
linux防火墙设置
介绍
1.防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
2.firewall的以 服务和端口 来管理网络。一个端口(例如:你自己写的监听 8805端口)、一个服务(例如:SSH服务,当然也可以添加为25端口)。
2.在/usr/lib/firewalld中存放firewall的 网络服务和端口参数、zone值。用于参考、不可修改。
3.、/etc/firewalld/里面存放的是 firewalld真正配置文件(里面的zone、services、icmptypes都至存放了需要的文件)
命令:firewall-cmd
Firewall 能将不同的网络连接归类到不同的信任级别,Zone 提供了以下几个级别 drop: 丢弃所有进入的包,而不给出任何响应 block: 拒绝所有外部发起的连接,允许内部发起的连接 public: 允许指定的进入连接 external: 同上,对伪装的进入连接,一般用于路由转发 dmz: 允许受限制的进入连接 work: 允许受信任的计算机被限制的进入连接,类似 workgroup home: 同上,类似 homegroup internal: 同上,范围针对所有互联网用户 trusted: 信任所有连接 1.查看状态:(firewall状态) $ :firewallcmd --state 2.已激活的zone信息 $:firewall-cmd --get-active-zones 3.服务管理 (添加) $:firewall-cmd (--zone=dmz:dmz信任级别) --add-service=ftp (永久添加) $:firewall-cmd (--zone=dmz:dmz信任级别) --add-service=ftp --pernament (永久关闭) $:firewall-cmd (--zone=dmz:dmz信任级别) --remove-service=ftp (查看是否运行) $:firewall-cmd (--zone=dmz:dmz信任级别) --query-service ftp (查询) $:firewall-cmd --get-servic 4.端口管理: (添加端口) $:firewall-cmd (--zone=dmz:dmz信任级别) --add-port=8080/tcp (删除) $:firewall-cmd (--zone=dmz:dmz信任级别) --remove-port=8080/tcp (转发) $:firewall-cmd (--zone=dmz:dmz信任级别) --add-masquerade 打开 $:firewall-cmd (--zone=dmz:dmz信任基本) --add-forward-port=port=22:proto=tc:toprot=3753 (将tcp的22端口转发到3753) (查询) $:firewall-cmd (--zone=dmz:dmz信任级别) --list-port 5 查询firewall的所有管理 $ firewall-cmd (--zone=dmz:dmz信任级别) --list-all --permanent ps: 1.括号里是单独查询 某个信任级别的服务和端口 2.--permanet 会永久加入