shell第7章防火墙

防火墙针—对红帽centOS

1、
命令
firewall-cmd      【使用命令行模式配置防火墙】
firewall-config   【使用图形化界面配置防火墙】
2、
命令行设置防火墙：
参数：其中为重点：--list-all、--add-service=<服务名> 、--add-port=<端口号/协议>、--reload
--get-default-zone            【查询默认的区域名称】
--set-default-zone=<区域名称> 【设置默认的区域，永久生效】
--get-zones                   【显示可用的区域】
--get-services                【显示预先定义的服务】
--get-active-zones            【显示当前正在使用的区域】
--add-source=IP               【将来源于次IP或子网的流程导向指定的区域】
--remove-source=IP            【不再将此IP或子网的流量导向某个指定区域】
--list-all                    【显示当前区域的网卡配置参数，资源，端口以及服务等信息】
--list-all-zones              【显示所有区域的网卡配置参数，资源，端口以及服务等信息】
--add-service=<服务名>        【设置默认区域允许该服务的流量】
--add-port=<端口号/协议>      【允许默认区域允许该端口的流量】
--remove-source=<服务名>      【设置默认区域不再允许该服务的流量】
--remove-port=<端口号/协议>   【允许默认区域不再允许该端口】
--reload                      【让"永久生效"的配置规则立即生效，覆盖当前的】
--query-service=<服务名>      【查询服务是否被允许】
--permanent                   【使配置永久生效】

如：允许http协议加入并永久生效
firewall-cmd --permanent --add-service=http
firewall-cmd --reload
firewall-cmd --list-all
firewall-cmd --query-service=http

如：移除http协议
firewall-cmd --remove-service=http
firewall-cmd --reload
firewall-cmd --list-all

如：允许TCP的8080与8081端口流量通过Public区域，立即生效且永久生效
firewall-cmd --permanent --add-port=8080/tcp
firewall-cmd --permanent --add-port=8081/tcp

3、富规则
rich rules:
允许来自127.0.0.1/24网段访问
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=127.0.0.1/24 reject'
拒绝来自127.0.0.1/24网段访问
firewall-cmd --permanent --remove-rich-rule='rule family=ipv4 source address=127.0.0.1/24 reject'