Centos7-----firewalld详解
一.firewalld是啥玩楞?~~?
防火墙,顾名思义,是防火的墙,咳咳,可能说的有点直白。我们这里要讲的是centos7里面的firewalld。
firewalld简介
~支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
~支持IPV4,IPV6防火墙设置以及以太网桥
~支持服务或应用程序直接添加防火墙规则接口
~拥有两种配置模式
######运行时配置
######永久配置
firewalld和iptables的区别
iptables是什么
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。
四表五链概念
•filter表——过滤数据包
•Nat表——用于网络地址转换(IP、端口)
•Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
•Raw表——决定数据包是否被状态跟踪机制处理
•INPUT链——进来的数据包应用此规则链中的策略
•OUTPUT链——外出的数据包应用此规则链中的策略
•FORWARD链——转发数据包时应用此规则链中的策略
•PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
•POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
实操
登录win7的浏览器去访问主机的ip地址是无法访问的
平时我们应该是关闭防火墙,这次实操我们将不需要关闭防火墙。
我们加入一条允许其访问80端口的规则
用iptables -L可以查看规则是否已经插入。
接下来偶们可以试试能不能访问。
由于我们添加了这条规则,所以偶们现在可以访问了。
如果想要清空规则,我们也可以使用iptables -F 。
小结:随着互联网技术的不断跟新,日新月异,防火墙的发展肯定也会越来越迅速,不久的将来,可能还会出现防水墙,防风墙,防鬼墙,防黑墙之类的,至于具体用途我们也可以拭目以待。
