防火墙——firewalld

iptables 静态的防火墙
firewalld 动态的防火墙

firewalld

centos7自带的，和iptables一样，也是包过滤防火墙。
firewalld过滤，通过区域来进行配置。

friewalld靠的是区域

1、trusted :信任区，所有流量都可以传入
2、public 公共区域，允许ssh或dhcp6-client的流量可以传入，其他的全部拒绝，也是firewalld的默认区
3、external外部区域，允许ssh或者dhcpv-client的流量可以传入，其他的全部拒绝，默认通过此区城转发的ipv4流量地址，可以进行伪装。
4、home家庭区域，允许ssh或dhcp6-client的流量可以传入，其他的全部拒绝。
5、internal 内部区域，默认值与home区域的作用相同
6、work 工作区域,允许ssh或者dhcpv6-client的流量可以传入，其他的全部拒绝
7、DMZ 隔离区 非军事区 : 允许ssh,其他的预定义好配置，其他的全部拒绝
8、block 限制区，拒绝所有流量
9、drop：丢弃区域，所有流量都丢失，没有任何相应
        注：dhcp6-client 获取ipv6地址的客户回测根据

显示当前系统中的默认区域

firewall-cmd --get-default-zone

显示默认区域内的所有规则

firewaL-cmd --list-all

默认区域的开关设置

1、关闭
firewall-cmd --set-default-zone=block

2、开启
firewall-cmd --set-default-zone=public  

注：
启默认区域服务关闭后，若关闭时服务在运行中，不立即生效 需重新开
默认区域服务开启后，无需重新开启

查看区域内允许通过服务

firewall-cmd --List-service

临时添加

1、单个添加
firewall-cmd --add-service=http --zone=public #添加http服务到public中
2、一次添加多个
命令内容       添加http和nginx服务到public中
方法一
firewall-cmd --addservice=http --add-service=nginx --zone=public 
方法二
firewall-cmd --add-service={ftp,http}

永久添加

1、添加ftp和nginx服务到	public中
firewall-cmd --add-service={ftp,http} --zone=public --permanent 
2、添加完毕之后重新加载firewalld规则
firewall-cmd--reload

开放public的80端口

1、firewall-cmd --zone=public --add-port=80/tcp
命令说明 在默认区域添加80端口

2、一次开发多个端口
firewall-cmd --add-port={3306,80,21}/tcp

3、范围添加30-35
firewall-cmd --add-port=30-35/tcp

关闭public的80端口

firewall-cmd --zone=public --remove-port=80/tcp
命令说明  从public移除80端口