firewalld

在做实验之前stop,disable,mask iptables
unmask,start,enable firewalld
firewalld的网络域及默认配置

防火墙预定义的服务配置文件是xml文件，目录在/usr/lib/firewalld/services/，在/etc/firewalld/zones/ 这个目录中也有配置文件，但是/etc/firewalld/zones/目录优先于/usr/lib/firewalld/services/目录

/etc/firewalld/zones/public.xml ##public域的火墙策略
可以更改文件来确定public的策略，改完之后需要reload

固定端口模块：
##服务中都会配置
lsmod | grep nf ##显示已载入系统的模块



在主动模式时，客户端会产生大于1024的任意端口，被动模式时，服务端会产生大于1024的任意端口。所以需要使用该模块来固定端口，或者在配置文件
/etc/vsftpd/vsftpd.conf中固定端口。
删除固定模块后端口的更改：
1>配置文件的更改，将端口固定为1025：

2>更改/usr/lib/firewalld/service/ftp.xml，将端口设定为1025


更改成功，客户端可成功登陆！

命令：
firewalld-cmd –status ##火墙状态
firewalld-cmd - -get-default-zones ##显示当前使用的域
firewalld-cmd - -set-default-zones=trusted ##设置默认域
firewalld-cmd - -list-all ##显示火墙策略

firewalld-cmd - -add-service= ##临时添加火墙策略，立即生效
firewalld-cmd - -permanent - -add-service ##永久添加，不reload的话不生效
firewalld-cmd - -reload ##重载

firewalld-cmd - -permanent - -remove-service=
firewalld-cmd - -permanent - -add-port=8080/tcp
firewalld-cmd - -permanent - -remove-port=8080/tcp

ip授信：
firewall-cmd - -permannet - - add-source=IP - -zone=trusted
firewall-cmd - -permanent - -remove-source=IP - -zone=trusted
firewall-cmd - -reload
firewall-cmd - -list-all-zones ##查看所有zones的信息

这些策略在更改后需reload

网络接口
firewalld-cmd - -permanent - -add-interface= - -zone= ##将网络接口添加至某域
firewalld-cmd - -permanent - -remove-interface= - -zone= ##删除某域的某接口

firewall-cmd - -permanent - -remove-interface=eth0 - -zone=public ##将eth0移出public域
firewall-cmd - -permanent - -add-interface=eth0 - -zone=trusted ##添加eth0至trusted域
firewall-cmd - -reload
Systemctl restart firewall
能访问到eth0的用户将被授信

指定用户访问权限
在修改链的策略时需要借助direct

指定用户访问权限：
firewall-cmd - -permanent - -direct - -add-rule ipv4 filter INPUT 1 ! -s IP -p tcp|udp - -dport 端口 -j 动作 在删除时将add改为remove
firewall-cmd - -reload
Systemctl restart firewall
查看：
firewall-cmd - - direct - -get-all-rules
设置29为trusted，再添加指定权限

Rich rules 更高级的设置

参数描述：

NAT：

测试：
SNAT：

DNAT：

Semanage服务添加端口：

Semanage port -l | grep http
1.修改端口

2.更改httpd的配置文件端口

测试8888端口：