firewall防火墙使用

发布时间:2018-11-15  栏目:LINUX  评论:0 Comments

一样、Centos7用firewall的管住防火墙

firewall用zone来区分管理,默认有以下一些zone:

1.firewalld骨干用

丢弃(DROP)

  启动:systemctl start firewalld

另流入网络的包都被丢,不作出任何响应。只同意流出的网络连接。

  关闭:systemctl stop firewalld

阻塞(Block)

  状态:systemctl status firewalld

其它进入的网络连接都叫拒,并回 IPv4 底 icmp-host-prohibited 报文或者
IPv6 的 icmp6-adm-prohibited 报文。只同意由该体系初始化的网络连接。

  开机禁用:systemctl disable firewalld

公开(Public)

  开机启用:systemctl enable firewalld

用来可以公开之一部分。你觉得网络被任何的处理器不可信并且可能伤而的计算机。只允许选中的连接接入。(You
do not trust the other computers on networks to not harm your computer.
Only selected incoming connections are accepted.)

2.部署项目

外部(Extend)

  例1:开放80端口

所以在路由器等启用伪装的表面网络。你看网络被另外的电脑不可信并且可能挫伤而的微处理器。只允许选中的连接接入。

  a.开启80端口

隔离区(dmz)

  命令:firewall-cmd –zone=public –add-port=80/tcp
–permanent
    #–permanent永久生效,没有此参数还开后失效

用来允许隔离区(dmz)中之微处理器有限地于外边网络访问。只接受被选中的总是。

  b.重新加载:

工作(work)

  命令: firewall-cmd –reload  #重新加载后生效

因而在劳作网络。你相信网络中之多数计算机不见面影响你的电脑。只受吃入选的连年。

 

家庭(home)

  例2:关闭80端口

故当家庭网络。你相信网络被的大部处理器不会见潜移默化而的电脑。只接受被入选的连。

  a.删除80端口:

内部(internal)

  命令:firewall-cmd –zone=public –remove-port=80/tcp –permanet

为此在里头网络。你相信网络中的多数电脑不见面影响您的电脑。只领吃选中的接连。

  b.重新加载:

受信赖的(trust)

  命令: firewall-cmd –reload  #重加载后生效

允许持有网络连接。

 

 

  例3:查看已开的端口

盖默认的zone 是public

  a.命令:firewall-cmd –zone=public –list-ports

1.添加抹某个端口

 

firewall-cmd –add-port=3306/tcp

firewall-cmd –remove-port=3306/tcp

2.添加抹某个服务

firewall-cmd –add-service=mysqld

firewall-cmd –remove-service=mysqld

3.添加勾某个ip 访问有端口

firewall-cmd  –add-rich-rule=”rule family=”ipv4″ source
address=”192.168.0.0/16″ port port=”3306″ protocol=”tcp” accept”

firewall-cmd  –remove-rich-rule=”rule family=”ipv4″ source
address=”192.168.0.0/16″ port port=”3306″ protocol=”tcp” accept”

4.添加去某个ipset 访问

firewall-cmd –add-source=”192.168.85.0/32″

firewall-cmd –remove-source=”192.168.85.0/32″

保存配置

firewall-cmd –runtime-to-permanent

留下评论

网站地图xml地图