1. 区域概念与作用
可以分为以下规则区域
trusted #允许所有的数据包
home #拒绝流入的数据包,除非与输出流量数据包相关或者是ssh,mdns,ipp=client,samba-client,与dhcpv6-client服务则允许
internal #等同于home区域
work #拒绝流入的数据包,除非与输出流量包相关或者是ssh,ipp-client和dhcpv6-client服务则允许
public #拒绝流入的数据包,除非与输出流量数据包相关ssh,dhcpv6-client服务则允许
external #拒绝流入的数据包,除非与输出流量数据包相关或者是ssh服务则允许
dmz #拒绝流入的数据包,除非与输出流量数据包相关或者是ssh服务则允许
block #拒绝流入的数据包,除非与输出流量数据包相关
drop #拒绝流入的数据包,除非与输出流量数据包相关
2. 字符管理工具firewall-cmd
--get-default-zone #查询默认的区域名称
--set-default-zone=<区域名称>#设置默认区域,永久生效
--get-zones #显示可用的区域
--get-services #显示预先定义的服务
--get-active-zones #显示当前正在使用的区域和网卡名称
--add-source= #将来源于此IP或者子网的流量指向指定的区域
--remove-source #不再将此IP或者子网的流量指向指定的区域
--add-interface=<网卡名称>#将来源于该网卡的所有流量都导向某个指定区域
--change-interface=<网络名称>#将某个网卡与区域关联
--list-all 显示当前的网卡配置参数,资源和端口及服务等信息
--list-all-zones #显示所有区域的网卡配置参数,资源和端口及服务等信息
--add-service=<服务名> #设置默认区域允许该服务的流量
--add-port=<端口号/协议> #设置默认区域允许该端口的流量
--remove-sevice=<服务名> #设置默认区域不再允许该服务的流量
--remove-port=<端口/协议> #设置默认区域不在允许该端口的流量
--reload #让永久生效的配置规则立即生效,覆盖当前的
修改的是永久生效的策略记录时,必须执行–reload参数后才能够立即生效,否则需要重启后再生效。
例子
firewall-cmd –permanent –zone=public –add-port=80/tcp
firewall-cmd –reload
3. 在命令行中输入 firewall-config 进入firewall的图形界面管理
4. 服务的访问控制列表
允许名单 /etc/hosts.allow
拒绝名单 /etc/hosts.deny
例子
允许X.X.X.0/24网段主机可以访问本机的httpd服务
vim /etc/hosts.allow
httpd:X.X.X.(IP地址)