1、Redhat Enterprise Linux7已經預設使用firewalld作為防火牆,其使用方式已經變化。
基于iptables的防火牆被預設不啟動,但仍然可以繼續使用。
RHEL7中有幾種防火牆共存:firewalld、iptables、ebtables等,預設使用firewalld作為防火牆,管理工具是firewall-cmd。RHEL7的核心版本是3.10,在此版本的核心裡防火牆的包過濾機制是firewalld,使用firewalld來管理netfilter,不過底層調用的指令仍然是iptables等。因為這幾種daemon是沖突的,是以建議禁用其他幾種服務。
例如若要禁用iptables、ip6tables、ebtables防火牆,方法 :systemctl mask {iptables,ip6tabels,ebtables}
2、擷取firewalld狀态:firewall-cmd --state
3、想要列出預設有效的服務,也可以進入下面的目錄也能夠取得
4、列出全部啟用的區域的特性(即查詢目前防火牆政策)
解釋:特性可以是定義的防火牆政策,如:服務、端口和協定的組合、端口/資料報轉發、僞裝、ICMP 攔截或自定義規則等
5、擷取永久選項所支援的服務
firewall-cmd --permanent --get-services
擷取永久選項所支援的ICMP類型清單
firewall-cmd --permanent --get-icmptypes
6、擷取支援的永久區域
firewall-cmd --permanent --get-zones
7、配置防火牆在public區域打開http協定,并儲存,以緻重新開機有效
firewall-cmd --permanent --zone=public --add-service=http
8、檢視永久模式下public區域是否打開http服務。
firewall-cmd --permanent --zone=public --query-service=http
9、防火牆開放8080端口在public區域
firewall-cmd --permanent --zone=public --add-port=8080/tcp
10、指令行配置負規則:
檢視負規則:# firewall-cmd --list-rich-rules
建立負規則:
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp log prefix="80" level=info accept' --permanent
firewall-cmd --add-rich-rule rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"
11、 負規則中使用僞裝功能可以更精确詳細的限制:
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.10.10.2/24 masquerade'
12、 僅允許部分IP通路本機服務配置
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"
source address="192.168.0.0/24" service name="http" accept"
禁止遠端IP通路ssh
firewall-cmd --permanent --zone=public --add-rich-rule=’rule family=ipv4
source address=192.168.0.0/24 service name=ssh reject’
删除rich規則
firewall-cmd --permanent --zone=public --remove-rich-rule=’rule family=ipv4
13、僅允許部分IP通路本機端口配置
source address="192.168.0.0/24"port protocol="tcp" port="8080" accept"
建立rich規則,可以指定日志的字首和輸出級别
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24"port port=8080 protocol="tcp" log prefix=proxy level=warning accept"
14、firewall daemon 主要的配置工具是firewall-config。它支援防火牆的所有特性。管理者也可以用它來改變系統或使用者政策。