Redhat7 Firewalld防火墙

1. 区域概念与作用

可以分为以下规则区域

trusted     #允许所有的数据包
home        #拒绝流入的数据包，除非与输出流量数据包相关或者是ssh,mdns,ipp=client,samba-client,与dhcpv6-client服务则允许
internal        #等同于home区域
work        #拒绝流入的数据包，除非与输出流量包相关或者是ssh,ipp-client和dhcpv6-client服务则允许
public      #拒绝流入的数据包，除非与输出流量数据包相关ssh,dhcpv6-client服务则允许
external        #拒绝流入的数据包，除非与输出流量数据包相关或者是ssh服务则允许
dmz     #拒绝流入的数据包，除非与输出流量数据包相关或者是ssh服务则允许
block       #拒绝流入的数据包，除非与输出流量数据包相关
drop        #拒绝流入的数据包，除非与输出流量数据包相关

2. 字符管理工具firewall-cmd

--get-default-zone      #查询默认的区域名称
--set-default-zone=<区域名称>#设置默认区域，永久生效
--get-zones             #显示可用的区域
--get-services          #显示预先定义的服务
--get-active-zones      #显示当前正在使用的区域和网卡名称
--add-source=           #将来源于此IP或者子网的流量指向指定的区域
--remove-source         #不再将此IP或者子网的流量指向指定的区域
--add-interface=<网卡名称>#将来源于该网卡的所有流量都导向某个指定区域
--change-interface=<网络名称>#将某个网卡与区域关联
--list-all              显示当前的网卡配置参数，资源和端口及服务等信息
--list-all-zones        #显示所有区域的网卡配置参数，资源和端口及服务等信息
--add-service=<服务名> #设置默认区域允许该服务的流量
--add-port=<端口号/协议>     #设置默认区域允许该端口的流量
--remove-sevice=<服务名>       #设置默认区域不再允许该服务的流量
--remove-port=<端口/协议>       #设置默认区域不在允许该端口的流量
--reload                    #让永久生效的配置规则立即生效，覆盖当前的

修改的是永久生效的策略记录时，必须执行–reload参数后才能够立即生效，否则需要重启后再生效。

例子

firewall-cmd –permanent –zone=public –add-port=80/tcp

firewall-cmd –reload

3. 在命令行中输入 firewall-config 进入firewall的图形界面管理

4. 服务的访问控制列表

允许名单  /etc/hosts.allow
拒绝名单 /etc/hosts.deny

例子

允许X.X.X.0/24网段主机可以访问本机的httpd服务

vim /etc/hosts.allow
httpd:X.X.X.(IP地址)