【Linux学习】day 11 firewall防火墙

firewall

zone

快速变更策略规则模板

两种操作状态

1. runtime（命令模式默认运行在当前生效模式）
2. permanent（永久生效模式，执行后不生效，或执行–reload后才生效）
   

firewall-cmd（命令模式）

firewall-cmd [-permanent] [区域操作] [参数操作]

实例：

firewall-cmd --get-zone-of-interface=eno16777728 public
查询网卡所在firewall服务中的区域

firewall-cmd --set-default-zone=public
把firewalld服务的当前默认区域设置为public

流量转发格式：
firewall-cmd --permanent --zone=<区域> --add-forward-port=port=<源端口号>:proto=<协议>:toport=<目标端口号>:toaddr=<目标IP地址>

更多实例访问：LinuxProbe.com

firewall-config（图形化模式）

在这里插入代码片

服务的访问控制列表（TCP Wrapper）

不同于基于数据链路层的iptables于firewall，TCP Wrapper是基于应用层的一个流量监控程序。
TCP Wrapper主要由两个文件组成
/etc/hosts.allow 白名单，放行对服务的请求流量
/etc/hosts.deny 黑名单，阻止对服务的请求流量

格式：

[服务名称]:[IP地址]

遵循两个原则：

1. 编写拒绝策略规则时，填写的是服务名称，而非协议名称；
2. 建议先编写拒绝策略规则，再编写允许策略规则，以便直观地看到相应的效果。