centos7 防火墙使用详解

centos7之前使用时iptables

到了centos7使用的是firewall，按照此防火墙命令

yum install firewalld firewalld-config

启动firewall防火墙服务

systemctl start firewalld 

重启防火墙

firewall-cmd --reload

查看firewall当前状态

systemctl status firewalld或者 firewall-cmd --state

安装好后，默认是关闭一切对外端口和IP地址访问。

查看版本

firewall-cmd --version

查看区域信息

firewall-cmd --get-active-zones

查看指定接口所属区域信息

firewall-cmd --get-zone-of-interface=eth0

拒绝所有包

firewall-cmd --panic-on

取消拒绝状态

firewall-cmd --panic-off

查看是否拒绝

firewall-cmd --query-panic

将接口添加到区域(默认接口都在public)

firewall-cmd --zone=public --add-interface=eth0(永久生效再加上 --permanent 然后reload防火墙)

设置默认接口区域

firewall-cmd --set-default-zone=public

更新防火墙规则

firewall-cmd --reload或firewall-cmd --complete-reload(两者的区别就是第一个无需断开连接，就是firewalld特性之一动态
添加规则，第二个需要断开连接，类似重启服务)

查看指定区域所有打开的端口

firewall-cmd --zone=public --list-ports

18.在指定区域打开端口（记得重启防火墙）

firewall-cmd --zone=public --add-port=80/tcp --permanent(永久生效再加上 --permanent没有此参数重启后失效)

 –zone 作用域
 Firewall 能将不同的网络连接归类到不同的信任级别，Zone 提供了以下几个级别

drop: 丢弃所有进入的包，而不给出任何响应

block: 拒绝所有外部发起的连接，允许内部发起的连接

public: 允许指定的进入连接

external: 同上，对伪装的进入连接，一般用于路由转发

dmz: 允许受限制的进入连接

work: 允许受信任的计算机被限制的进入连接，类似 workgroup

home: 同上，类似 homegroup

internal: 同上，范围针对所有互联网用户

trusted: 信任所有连接