firewalld防火墙（RHEL7）

基础配置

防火墙作用：隔离，进行过滤所有入站请求

预设安全区域

根据所在的网络场所区分,预设保护规则集
– public:仅允许访问本机的sshd、ping、dhcp服务
– trusted:允许任何访问
– block:阻塞任何来访请求（明确拒绝，有回应客户端）
– drop:丢弃任何来访的数据包（直接丢弃，没有回应客户端）
节省服务器资源

防火墙判定规则：（进入哪一个区域）

1.首先查看，客户端数据包中源IP地址，然后查看自己所有区域规则，那个区域有该源IP地址的规则，则进入该区域
2.进入默认区域（public）

]# firewall-cmd --zone=public --list-all     #查看区域策略
]# firewall-cmd --zone=public --add-service=协议名   #添加协议（临时）
]# firewall-cmd --zone=block  --add-source=172.25.0.10  #单独拒绝虚拟机desktop（172.25.0.10）进行访问本机所有服务
]# firewall-cmd --zone=block  --list-all 

区域中添加允许的服务或协议（永久设置）

--permanent

]# firewall-cmd --reload     #重新加载防火墙所有策略
]# firewall-cmd --zone=public --list-all     #查看区域策略
]# firewall-cmd --permanent --zone=public --add-service=http  #添加策略
]# firewall-cmd --reload 
]# firewall-cmd --zone=public  --list-all    #查看区域策略

实现本机的端口映射(端口转发)

端口：编号 标识主机上服务或协议 可以找到相应的程序
端口编号可以由root修改， 一个程序或服务具有多个端口
端口转发：本地应用的端口重定向(端口1 --> 端口2)
–比如从客户机访问 5423 的请求,自动映射到本机 80，访问以下两个地址可以看到相同的页面:

172.25.0.11：5423--------->172.25.0.11:80

]# firewall-cmd --permanent --zone=public
--add-forward-port=port=5423:proto=tcp:toport=80

]# firewall-cmd --reload   //重载配置
]# firewall-cmd  --zone=public  --list-all

虚拟机desktop
]# firefox 172.25.0.11
]# firefox 172.25.0.11:5423