firewall

firewall

firewall-cmd --get-active-zones                                ##显示当前正在使用的区域与网卡名称

firewall-cmd --get-default-zone                       ###查询默认的区域名称

firewall-cmd --get-zones                                      ##显示可用的区域。                    

firewall-cmd --zone=public --list-all                           ##列出当前区域的所有信息

firewall-cmd --add-service=http                ##设置默认区域允许该服务的流量

firewall-cmd --add-port=8080/tcp                                               ##允许默认区域允许该端口的流量

firewall-cmd --set-default-zone=public               ##设置默认区域为公共区域（系统默认）

[root@localhost ~]# firewall-cmd --permanent --add-source=172.25.254.124 --zone=trusted
success                                                                               ##永久设置172.25.254.124为trust用户
[root@localhost ~]# firewall-cmd --reload
success

firewall-cmd --permanent --zone=internal --add-interface=eth0        ##将来自于该网卡的所有流量都导向internal指定区域

firewall-cmd --permanent --zone=internal --add-source=172.25.254.124  ##将来源于此IP或子网的流量导向指定的internal区域

firewall-cmd --permanent --zone=internal --remove-source=172.25.254.124   ##移除

允许https服务流量通过public区域
方法一:分别设置当前生效与永久有效的规则记录：

 firewall-cmd --zone=public --add-service=https           ##重启后失效

方法二:设置永久生效的规则记录后读取记录：

 firewall-cmd --permanent --zone=public --add-service=https               ##永久生效

 firewall-cmd --reload                                                                        ##加载后立即生效

##direct rules

 firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.124 -p tcp --dport 22 -j REJECT                     

##除172.25.254.250之外的所有id都拒绝

firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -s 172.25.254.124 -p tcp --dport 22 -j REJECT                         

  ##拒绝172.25.254.124登陆

  174  firewall-cmd --direct --add-rule ipv4 filter INPUT 1 ! -s 172.25.254.250 -p tcp --dport 22 -j drop                    

    ##反应动作丢弃，即不做任何回应

  175  firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 ! -s 172.25.254.250 -p tcp --dport 22 -j drop              

     ##移除规则

 
  firewall 防火墙中的三个表 filter   nat  mangle
  DNAT（源地址转换prerouting，在路由前）
 SNAT（目的地址转换postrouting，在路由后）

 

地址伪装（路由前规则）：

firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.68

##目的地址转换,将地址伪装成172.25.254.68

 

##源地址转换（相当于路由器）

配置服务端两块网卡分别为：

设置rich规则：

firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.254.100 masquerade'

测试：在192.168.0.1客户端：ping 172.25.254.68

## iptables

yum install iptables-services.x86_64 -y

 
 
  iptables
  197  systemctl stop firewalld
  198  systemctl mask firewalld
  199  systemctl start iptables.service
  200  systemctl enable iptables.service  
  354  iptables -nL
  355  iptables -F
  356  service iptables save
  357  systemctl restart iptables.service
  358  iptables -nL
  359  iptables -A INPUT -p tcp --dport 22 -j ACCEPT
  360  iptables -A INPUT -i lo -j ACCEPT
  361  iptables -nL
  362  iptables -A INPUT -j REJECT
  363  iptables -nL
  测试 在浏览器输入172.25.254.243
  364  iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  测试 。。
  iptables -A INPUT -R tcp --dport 8080 -j ACCEPT   修改
  iptables -P INPUT DROP 修改默认
  iptables -D INPUT 4  ## 删除
 
 
  net state   查看状态
 
  iptables -N westos  新建一个表连接
  iptables -E westos  WESTOS    修改
  iptables -X westos  删除