firewall

##########################################firewalld

**)firewalld和iptables service 之间最本质的不同是:
 • iptables service 在 /etc/sysconfig/iptables 中储存配置,而 firewalld将配置储存在/usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种XML文件里.
 • 使用 iptables service每一个单独更改意味着清除所有旧有的规则和从/etc/sysconfig/iptables里读取所有新的规则,然而使用 firewalld却不会再创建任何新的规则;仅仅运行规则中的不同之处。因此,firewalld可以在运行时间内,改变设置而不丢失现行连接

1.火墙的安装与启用
 yum install firewalld firewall-config -y
 systemctl start firewalld
 systemctl enable firewalld
 
2.有关命令
 火墙基础知识点
 firewall-cmd --state  ##查看firewalld状态
 firewall-cmd --get-active-zones ##查看当前活动的区域，附带接口列表
 firewall-cmd --get-default-zone ##查看默认区域 
 firewall-cmd --get-zones  ##查看可用区域
 firewall-cmd --zone=public --list-all ##列出指定区域的所有设置 
 firewall-cmd --get-services  ##列出所有预设服务

 

 firewall-cmd --list-all-zones   ##列出所有区域的设置
 
 

 firewall-cmd --list-all   ##列出默认区域设置
 firewall-cmd --set-default-zone=trusted ##设置默认区域
 firewall-cmd --permanent --zone=trusted --add-source=172.25.19.10/24 ##设置网络地址到指定区域
 firewall-cmd --permanent --zone=trusted --remove-source=172.25.19.10/24 ##删除指定区域中的网络地址

 
 接口的添加与删除
 firewall-cmd --permanent --zone=public --remove-interface=eth1 ##删除网络接口
 firewall-cmd --permanent --zone=public --add-interface=eth1 ##添加网络接口
 firewall-cmd --permanent --zone=public --change-interface=eth1 ##修改网络接口

 

 服务的添加与删除
 firewall-cmd --permanent --zone=public --add-service=smtp ##添加服务
 firewall-cmd --permanent --zone=public --remove-service=smtp ##删除服务
 firewall-cmd --reload   ##重载防火墙

 
 
 端口的添加与删除
 firewall-cmd --zone=public --list-ports   ##列出端口
 firewall-cmd --permanent --add-port=8080/tcp  ##添加端口8080
 firewall-cmd --reload      ##重载
 firewall-cmd --zone=public --list-ports   
 firewall-cmd --permanent --remove-port=8080/tcp  ##删除端口
 
 
 
 高级规则
 firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.19.11" accept'   ##允许11主机所有连接
 firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'   ##每分钟允许2个新连接访问ftp服务
 
 firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'   ##同意新的 IP v4 和 IP v6 连接 FT P ,并使用审核每分钟登录一次。

 

 firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.19.11/24"
service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept' ##允许来自172.25.19.11/24地址的新 IPv4连接连接TFTP服务,并且每分钟记录一次。

 端口伪装与端口转发
 firewall-cmd --permanent --zone=public --add-masquerade ##打开地址伪装
 firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source
address=172.25.19.11/24 masquerade'  ##地址伪装
 firewall-cmd --permanent --zone=public --add-forward-port=
port=22:proto=tcp:toport=22:toaddr=172.25.254.19 ##端口转发