linux防火墙设置

linux防火墙设置

一、介绍

• 1.防火墙守护 firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。

• 2.firewall的以 服务和端口 来管理网络。一个端口（例如：你自己写的监听 8805端口）、一个服务（例如：SSH服务，当然也可以添加为25端口）。

• 3.在/usr/lib/firewalld中存放firewall的 网络服务和端口参数、zone值。用于参考、不可修改。

• 4.、/etc/firewalld/里面存放的是 firewalld真正配置文件（里面的zone、services、icmptypes都至存放了需要的文件）

二、实例

命令：firewall-cmd

Firewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别
drop: 丢弃所有进入的包，而不给出任何响应
block: 拒绝所有外部发起的连接，允许内部发起的连接
public: 允许指定的进入连接
external: 同上，对伪装的进入连接，一般用于路由转发
dmz: 允许受限制的进入连接
work: 允许受信任的计算机被限制的进入连接，类似 workgroup
home: 同上，类似 homegroup
internal: 同上，范围针对所有互联网用户
trusted: 信任所有连接

1.查看状态:（firewall状态）
$ ：firewallcmd --state


2.已激活的zone信息
$：firewall-cmd --get-active-zones

3.服务管理
(添加)
$：firewall-cmd (--zone=dmz:dmz信任级别) --add-service=ftp
(永久添加)
$：firewall-cmd (--zone=dmz:dmz信任级别) --add-service=ftp --pernament
(永久关闭)
$：firewall-cmd (--zone=dmz:dmz信任级别) --remove-service=ftp
(查看是否运行)
$：firewall-cmd (--zone=dmz:dmz信任级别) --query-service ftp
(查询)
$：firewall-cmd --get-servic

4.端口管理：
（添加端口）
$：firewall-cmd (--zone=dmz:dmz信任级别) --add-port=8080/tcp
（删除）
$：firewall-cmd (--zone=dmz:dmz信任级别) --remove-port=8080/tcp
(转发)
$：firewall-cmd (--zone=dmz:dmz信任级别) --add-masquerade  打开
$：firewall-cmd (--zone=dmz:dmz信任基本) --add-forward-port=port=22:proto=tc:toprot=3753 （将tcp的22端口转发到3753）
（查询）
$：firewall-cmd (--zone=dmz:dmz信任级别) --list-port


5 查询firewall的所有管理
$ firewall-cmd (--zone=dmz:dmz信任级别) --list-all --permanent

ps:
1.括号里是单独查询 某个信任级别的服务和端口
2.--permanet 会永久加入