Linux - ファイアウォール サービスの追加、削除、変更、クエリ - が直接勝利します

1. 応用シナリオ

1. iperf3 を使用してストリーミングする場合、ポート 9996 などの特定のポートを指定します。ファイアウォールで許可されていない場合、ストリームが失敗します。firewalld サービスが閉じられていない場合は、許可するファイアウォールを追加する必要があります。港

2. ファイアウォールにより NFS リリース サービスが追加される

2. 手順

firewalld サービスが有効になっている 2 つのホスト間で iperf3 がフローする

サーバ側：

 

クライアント側：

 

 

1. iperf3 はリリースポートを追加します

(1) #ファイアウォールの状態を問い合わせる

         ファイアウォール-cmd --state

(2) #ポートが解放されているかどうかを問い合わせる

         ファイアウォール-cmd --query-port=9996/tcp

(3) #リリースポートの追加

         firewall-cmd --zone=public --add-port=9996/tcp --permanent

(4) #リロード設定

         ファイアウォール-cmd --reload

iper3 を使用してストリーミング検証を続行: ポート 9996 は通過可能

 

2. NFS 追加リリース

Centos は、NFS 専用の対応するファイアウォール ルールを提供します

firewall-cmd --zone=public --addd-service=nfs --permanent

ファイアウォール-cmd --reload

3. 拡張

1、firewalld域

ネットワークゾーン名	デフォルトの割り当て
信頼できる	すべてのネットワーク接続を受け入れます
家	ホーム ネットワークの場合は、ssh、mdns、gp-client、samba-client、dhcpv6-client 接続のみを受け入れます。
内部	内部ネットワークの場合は、ssh、mdns、gp-client、samba-client、dhcpv6-client 接続のみを受け入れます。
仕事	ワークスペースの場合、sshjpp-client、dhcpv6-client サービス接続のみを受け入れます
公共（仕事）	ワークエリアの場合は、ssh、ipp-client、dhcpv6-client サービス接続のみを受け入れます。パブリックエリアで使用される場合は、ssh または dhcpv6-client サービス接続のみを受け入れます。これは、firewalld のデフォルトのエリアです
外部の	このエリアを経由する送信 IPv4 ネットワーク接続はマスカレードまたは転送されており、ssh サービス接続のみが受け入れられます。
Dmz (非武装地帯)	SSH サービスからの接続のみを受け入れる
ブロック（制限）	すべてのネットワーク接続を拒否する
ドロップ（捨てる）	受信したネットワーク パケットは応答せずにドロップされます。

2. ファイアウォールの追加、削除、変更、確認

(1)増加

ポートモード:

firewall-cmd --zone=public --add-port=9996/tcp --permanent
firewall-cmd --reload
firewall-cmd --list-ports

送信元IP方式:

firewall-cmd --zone=public --add-source=192.168.1.0/24--permanent
firewall-cmd --reload
firewall-cmd --list-sources

(2) 削除

firewall-cmd --zone=public --remove-port=9996/tcp

firewall-cmd --zone=public --remove-source=192.168.1.0/24

(3) 変化

firewall-cmd --ste-default-zone=work
firewall-cmd --get-default-zone=work

(4) チェック

# デフォルトエリア構成情報の問い合わせ firewall-cmd --list-all

# ゾーン構成情報の表示 firewall-cmd --list-all --zone=work

# すべてのポートをクエリする firewall-cmd --list-ports

# 指定されたポートをクエリする firewall-cmd --zone=public --query-port=22/tcp

# IP セグメントを解放するためのクエリ firewall-cmd --list-sources

# デフォルト ゾーンを表示する firewall-cmd --get-default-zone

# 利用可能なすべてのゾーンを表示 firewall-cmd --get-zones

# アクティブなゾーンを表示する firewall-cmd --get-active-zones

# ネットワークカードがどのエリアにバインドされているかを確認します firewall-cmd --get-zone-of-interface=[IFACE]

# すべてのサービスを表示 firewall-cmd --get-services