鉴于大量企业生产环境还在使用Centos 6,对照Centos 7把防火墙相关命令和问题一同记忆
| 防火墙 | centos7 | centos6 |
|---|---|---|
| 状态 | systemctl status firewalld.service | service iptables status |
| 开启 | systemctl start firewalld.service | service iptables start |
| 关闭 | systemctl stop firewalld.service | servcie iptables stop |
| 自启 | systemctl enable firewalld.service | chkconfig iptables on |
| 禁止 | systemctl disable firewalld.service | chkconfig iptables off |
| 重启 | systemctlrestart firewalld.service | service iptables restart |
| 更新 | firewall-cmd --reload | |
| 策略 | firewall-cmd --zone=public --list-port | iptables -nL |
| 添加端口 | firewall-cmd --zone=public --add-port=80/tcp --permanent | iptables -A INPUT -p tcp --dport 80 -j ACCEPT |
| 删除策略 | firewall-cmd --zone=public --remove-port=80/tcp --permanent | iptables -A INPUT -p tcp --dport 80 -j REJECT |
| 添加进程 | firewall-cmd --zone=public --add-service=samba | |
| 删除进程 | firewall-cmd --zone=public --rmove-service=samba |
--reload :动态更新,不用重启服务
--permanent : 永久生效,没有此参数重启后失效
--zone :作用域,一个网卡同时只能绑定一个zone
zone
命令
firewall-cmd --get-active-zones 输出活跃的区域
firewall-cmd [--zone=] --list-all输出区域全部启用的特性。如果省略区域,将显示默认区域的信息
类型
- 丢弃(drop):任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
- 阻塞(block):任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。
- 公开(public):用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
- 外部(external):用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
- 隔离区(dmz):用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。
- 工作(work):用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
- 家庭(home):用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
- 内部(internal):用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
- 受信任的(trusted):允许所有网络连接。
Linux7/Centos7新特性之防火墙:https://blog.csdn.net/weixin_41078837/article/details/80566588
CentOS7 防火墙(firewall)的操作命令:https://www.cnblogs.com/leoxuan/p/8275343.html
CentOS7中firewalld的安装与使用详解:https://blog.csdn.net/solaraceboy/article/details/78342360
----to be continue