firewalld 是centos7一大特性,最大的好处:1、支持动态更新,不用重启服务;2、加入了防火墙的zone的概念
1.firewalld的字符界面管理工具是firewall-cmd
2.firewalld默认配置文件有两个:/usr/lib/firewalld(系统配置,尽量不要修改)和/etc/firewalld(用户配置地址)
3.zone概念:硬件防火墙默认一般有三个区,firewalld引入这一概念系统默认存在以下区域:
drop:默认丢弃所有包
block:拒绝所有外部链接,允许外部发起的连接。
public:指定外部连接可以进入。
external:这个解释不了,功能上和上面大致相同,允许指定的外部连接。
dmz:和硬件防火墙一样,受限制的公共连接可以进入。
work:工作区,允许指定的外部连接。
home:这个不知道怎么说了,类似家庭组吧。
internal:信任所有连接。
4.安装firewalld
root执行#yum install firewalld firewall-config (一般服务器默认是安装的)
5.运行、停止、禁用firewalld
启动:#systemctl start firewalld
查看状态:#systemctl status firewalld或者firewall-cmd --state
停止:#systemctl stop firewalld
禁用:systemctl disable firewalld
开机启动:#systemctl enable firewalld
6、配置firewalld
查看版本:#firewall-cmd --version
拒绝所有包:#firewall-cmd --panic-on
取消拒绝状态:#firewall-cmd --panic-off
查看是否拒绝:#firewall-cmd --query-panic
更新防火墙规则;
#firewall-cmd --reload
#firewall-cmd --complete-reload
两者的区别就是第一个无需断开连接,就是firewalld特性之一动态添加规则,第二个需要断开连接,类似重启服务。
将接口添加到区域,默认接口都在public
#firewall-cmd --zone=public --add-interface=eth0
永久生效再加上–permanent ,然后reload防火墙。
设置默认接口区域
#firewall-cmd --set-default-zone=public
立即生效,无需重启。
打开端口(这个比较常用)‘
查看所有打开的端口:
#firewall-cmd --zone=dmz --list-ports
加一个端口到区域:
#firewall-cmd --zone=dmz --add-port=8080/tcp 若要永久生效方法同上。
打开一个服务,类似于将端口可视化,服务需要在配置文件中添加,
#firewall-cmd --zone=work --add-service=http
移除服务的话将add替换为remove即可。
设置默认zone #firewall-cmd --set-default-zone=.
常用举例:
1、打开80端口(永久生效)
firewall-cmd --permanent --zone=public --add-port=80/tcp
2、查看当前firewalld的端口状态
firewall-cmd --zone=public --list-ports
