Linux防火墙相关知识----入门

1.查看两种不同的防火墙（iptables & firewalld ）

防火墙是整个数据包进入主机前的第一道关卡。是一种位于内部网络与外部网络之间的网络安全系统，是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙主要通过Netfilter与TCPwrappers两个机制来管理的

管理防火墙的两种方式 ：

• （1）firewalld 管理火墙的工具，相对简单
• （2）iptables 复杂，功能强大

查看服务器的防火墙，是哪个版本的？

# 查看防火墙服务状态

systemctl status iptables.service
systemctl status firewalld.service

• 因为我的服务器是firewalld版本的防火墙，所以第一条命令显示没发现iptables服务
• active，显示我的防火墙firewall是开启的
• 如果防火墙关闭的话，显示效果如下：

2.开启、关闭、重启防火墙

# 开启
service firewalld start

# 重启
service firewalld restart

# 关闭
service firewalld stop

3.查看防火墙配置信息

firewall-cmd --list-all 

• services,这里面描述了防火墙目前允许的传输方式（不知道是否准确），类似TCP,UPD,FTP,HTTP,HTTPS,SSH等等
• ports:目前开放的端口，因为我没有开放任何端口，所以mysql都连接不上，显示如下

4.添加防火墙的端口

• 永久添加3306端口，对应的是tcp传输协议：

firewall-cmd --add-port=3306/tcp --permanent

# firewall-cmd --permanent --remove-port=8080/tcp   永久删除8080端口

• 更新防火墙，类似刷新吧

firewall-cmd --reload

• 再次查看防火墙规则信息，发现已经吧3306/tcp添加进去了

firewall-cmd --list-all

firewall-cmd --state                           ##查看防火墙状态，是否是running
firewall-cmd --reload                          ##重新载入配置，比如添加规则之后，需要执行此命令
firewall-cmd --get-zones                       ##列出支持的zone
firewall-cmd --get-services                    ##列出支持的服务，在列表中的服务是放行的
firewall-cmd --query-service ftp               ##查看ftp服务是否支持，返回yes或者no
firewall-cmd --add-service=ftp                 ##临时开放ftp服务
firewall-cmd --add-service=ftp --permanent     ##永久开放ftp服务
firewall-cmd --remove-service=ftp --permanent  ##永久移除ftp服务
firewall-cmd --add-port=80/tcp --permanent     ##永久添加80端口 
iptables -L -n                                 ##查看规则，这个命令是和iptables的相同的
man firewall-cmd                               ##查看帮助
systemctl status firewalld.service                               ##查看防火墙状态
systemctl [start|stop|restart] firewalld.service                 ##启动|关闭|重新启动  防火墙

5.添加某IP可访问某port

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.3 port port=32768 protocol=tcp accept'

- 删除规则

firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.3 port port=32768 protocol=tcp accept'

firewall-cmd --reload

• 以上的IP地址应该是你电脑的公网IP地址，不是内网IP地址。
• ipconfig 或ifconfig看到的是内网的地址，------------切记，切记，切记！！
• https://www.ipip.net/，这里可以查看你本机外网地址

参考文章：
https://blog.csdn.net/qq_42036824/article/details/84898977
https://blog.csdn.net/lockey23/article/details/77389196