防火牆

1、Redhat Enterprise Linux7已經預設使用firewalld作為防火牆，其使用方式已經變化。

基于iptables的防火牆被預設不啟動，但仍然可以繼續使用。

RHEL7中有幾種防火牆共存：firewalld、iptables、ebtables等，預設使用firewalld作為防火牆，管理工具是firewall-cmd。RHEL7的核心版本是3.10，在此版本的核心裡防火牆的包過濾機制是firewalld，使用firewalld來管理netfilter,不過底層調用的指令仍然是iptables等。因為這幾種daemon是沖突的，是以建議禁用其他幾種服務。

例如若要禁用iptables、ip6tables、ebtables防火牆，方法 ：systemctl mask {iptables，ip6tabels，ebtables}

2、擷取firewalld狀态：firewall-cmd --state

3、想要列出預設有效的服務，也可以進入下面的目錄也能夠取得

4、列出全部啟用的區域的特性（即查詢目前防火牆政策）

解釋：特性可以是定義的防火牆政策，如：服務、端口和協定的組合、端口/資料報轉發、僞裝、ICMP 攔截或自定義規則等

5、擷取永久選項所支援的服務

firewall-cmd --permanent --get-services

擷取永久選項所支援的ICMP類型清單

firewall-cmd --permanent --get-icmptypes

6、擷取支援的永久區域

firewall-cmd --permanent --get-zones

7、配置防火牆在public區域打開http協定，并儲存，以緻重新開機有效

firewall-cmd --permanent --zone=public --add-service=http

8、檢視永久模式下public區域是否打開http服務。

firewall-cmd --permanent --zone=public --query-service=http

9、防火牆開放8080端口在public區域

firewall-cmd --permanent --zone=public --add-port=8080/tcp

10、指令行配置負規則：

檢視負規則：# firewall-cmd --list-rich-rules

建立負規則：

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp  log prefix="80" level=info accept' --permanent

firewall-cmd --add-rich-rule rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"

11、 負規則中使用僞裝功能可以更精确詳細的限制：

firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.10.10.2/24 masquerade'

12、 僅允許部分IP通路本機服務配置

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"

source address="192.168.0.0/24" service name="http" accept"

禁止遠端IP通路ssh

firewall-cmd --permanent --zone=public --add-rich-rule=’rule family=ipv4

source address=192.168.0.0/24 service name=ssh reject’

删除rich規則

firewall-cmd --permanent --zone=public --remove-rich-rule=’rule family=ipv4

13、僅允許部分IP通路本機端口配置

source address="192.168.0.0/24"port protocol="tcp" port="8080" accept"

建立rich規則，可以指定日志的字首和輸出級别

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24"port port=8080 protocol="tcp" log prefix=proxy level=warning accept"

14、firewall daemon 主要的配置工具是firewall-config。它支援防火牆的所有特性。管理者也可以用它來改變系統或使用者政策。