1. 応用シナリオ
1. iperf3 を使用してストリーミングする場合、ポート 9996 などの特定のポートを指定します。ファイアウォールで許可されていない場合、ストリームが失敗します。firewalld サービスが閉じられていない場合は、許可するファイアウォールを追加する必要があります。港
2. ファイアウォールにより NFS リリース サービスが追加される
2. 手順
firewalld サービスが有効になっている 2 つのホスト間で iperf3 がフローする
サーバ側:
クライアント側:
1. iperf3 はリリースポートを追加します
(1) #ファイアウォールの状態を問い合わせる
ファイアウォール-cmd --state
(2) #ポートが解放されているかどうかを問い合わせる
ファイアウォール-cmd --query-port=9996/tcp
(3) #リリースポートの追加
firewall-cmd --zone=public --add-port=9996/tcp --permanent
(4) #リロード設定
ファイアウォール-cmd --reload
iper3 を使用してストリーミング検証を続行: ポート 9996 は通過可能
2. NFS 追加リリース
Centos は、NFS 専用の対応するファイアウォール ルールを提供します
firewall-cmd --zone=public --addd-service=nfs --permanent
ファイアウォール-cmd --reload
3. 拡張
1、firewalld域
ネットワークゾーン名 |
デフォルトの割り当て |
信頼できる |
すべてのネットワーク接続を受け入れます |
家 |
ホーム ネットワークの場合は、ssh、mdns、gp-client、samba-client、dhcpv6-client 接続のみを受け入れます。 |
内部 |
内部ネットワークの場合は、ssh、mdns、gp-client、samba-client、dhcpv6-client 接続のみを受け入れます。 |
仕事 |
ワークスペースの場合、sshjpp-client、dhcpv6-client サービス接続のみを受け入れます |
公共(仕事) |
ワークエリアの場合は、ssh、ipp-client、dhcpv6-client サービス接続のみを受け入れます。パブリックエリアで使用される場合は、ssh または dhcpv6-client サービス接続のみを受け入れます。これは、firewalld のデフォルトのエリアです |
外部の |
このエリアを経由する送信 IPv4 ネットワーク接続はマスカレードまたは転送されており、ssh サービス接続のみが受け入れられます。 |
Dmz (非武装地帯) |
SSH サービスからの接続のみを受け入れる |
ブロック(制限) |
すべてのネットワーク接続を拒否する |
ドロップ(捨てる) |
受信したネットワーク パケットは応答せずにドロップされます。 |
2. ファイアウォールの追加、削除、変更、確認
(1)増加
ポートモード:
firewall-cmd --zone=public --add-port=9996/tcp --permanent
firewall-cmd --reload
firewall-cmd --list-ports
送信元IP方式:
firewall-cmd --zone=public --add-source=192.168.1.0/24--permanent
firewall-cmd --reload
firewall-cmd --list-sources
(2) 削除
firewall-cmd --zone=public --remove-port=9996/tcp
firewall-cmd --zone=public --remove-source=192.168.1.0/24
(3) 変化
firewall-cmd --ste-default-zone=work
firewall-cmd --get-default-zone=work
(4) チェック
# デフォルトエリア構成情報の問い合わせ firewall-cmd --list-all
# ゾーン構成情報の表示 firewall-cmd --list-all --zone=work
# すべてのポートをクエリする firewall-cmd --list-ports
# 指定されたポートをクエリする firewall-cmd --zone=public --query-port=22/tcp
# IP セグメントを解放するためのクエリ firewall-cmd --list-sources
# デフォルト ゾーンを表示する firewall-cmd --get-default-zone
# 利用可能なすべてのゾーンを表示 firewall-cmd --get-zones
# アクティブなゾーンを表示する firewall-cmd --get-active-zones
# ネットワークカードがどのエリアにバインドされているかを確認します firewall-cmd --get-zone-of-interface=[IFACE]
# すべてのサービスを表示 firewall-cmd --get-services