Firewall,对iptables防火墙的进一步封装,没有链与表的概念,只有区域的概念,比iptables操作简单,但是底层还是调用Iptables。
Firewall包括四个基本区域,根据所在的网络场所区分,预设保护规则集:
## 列出所有区域;
[root@localhost ~]# firewall-cmd --get-zones
block dmz drop external home internal libvirt public trusted work
## 列出当前区域;
[root@localhost ~]# firewall-cmd --get-default-zone
public
## 切换当前区域;
[root@localhost ~]# firewall-cmd --set-default-zone=trusted
success
## 列出当前区域信息;
[root@localhost ~]# firewall-cmd --zone=trusted --list-all
trusted (active)
target: ACCEPT
icmp-block-inversion: no
interfaces: ens33
sources:
services:
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
## 重新加载防火墙所有配置;
[root@localhost ~]# firewall-cmd --reload
## 添加指定服务允许网络请求;
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service='服务名'
## 查看防火墙端口;
[root@localhost ~]# firewall-cmd --zone=public --list-ports
## 重载防火墙配置;
[root@localhost ~]# firewall-cmd --reload
## 开放端口;
[root@localhost ~]# firewall-cmd --zone=public --add-port=100-500/tcp --permanent
[root@localhost ~]# firewall-cmd --zone=public --add-port=80/tcp --permanent
## 限制端口;
[root@localhost ~]# firewall-cmd --zone=public --remove-port=22/tcp --permanent
## 开发IP地址;
[root@localhost ~]# firewall-cmd --permanent --add-source=192.168.1.0/24
## 禁止IP地址;
[root@localhost ~]# firewall-cmd --permanent --add-source=192.168.1.0/24
## 添加复杂规则;
[root@localhost ~]# firewall-cmd --permanent --add-rich-rule="rule family="ipv4