原文:http://blog.csdn.net/dream361/article/details/54022470(原文真的很好,這個算是筆記了)
附件:https://linux.cn/article-8098-1-rel.html(具體的安裝與使用文檔)
firewalld的配置文檔有兩個文件夾,分別爲以下兩個文件夾
1、/etc/firewalld/
2、/usr/lib/firewalld/
使用時的規則是這樣的:當需要一個文件時firewalld會首先到第一個目錄中去查找,如果可以找到,那麼就直接使用,否則會繼續到第二個目錄中查找。firewalld的配置文件結構非常簡單,主要有兩個文件和三個目錄:
文件:firewalld.conf、lockdown-whitelist.xml
目錄:zones、services、icmptypes
我們要注意,在保存默認配置的目錄“/usr/lib/firewalld/”中只有我們這裏所說的目錄,而沒有firewalld.conf、lockdown-whitelist.xml和direct.xml這三個文件,也就是說這三個文件只存在於“/etc/firewalld/”目錄中。
以下是介紹/etc/firewalld/firewalld.conf文件的配置文檔。
firewalld.conf:firewalld的主配置文件,是鍵值對的格式,不過非常簡單,只有五個配置項
DefaultZone:默認使用的zone,關於zone學生稍後給大家詳細介紹,默認值爲public;
MinimalMark: 標記的最小值,linux內核會對每個進入的數據包都進行標記,目的當然是爲了對他們進行區分,比如學生在前面給大家補充iptables五張表相關的內 容時候介紹說符合raw表規則的數據包可以跳過一些檢查,那麼是怎麼跳過的呢?這裏其實就是使用的標記,當然對數據包的標記還有很多作用。這裏所設置的 MinimalMark值就是標記的最小值,默認值爲100,一般情況下我們不需要對其進行修改,但是如果我們有特殊需要的時候就可以通過對其進行修改來 告訴linux所使用標記的最小值了,比如我們需要給符合某條件的數據包標記爲123,這時候爲了防止混淆就需要將MinimalMark設置爲一個大於
123的值了;
CleanupOnExit:這個配置項非常容易理解,他表示當退出firewalld後是否清除防火牆規則,默認值爲yes;
Lockdown: 這個選項跟D-BUS接口操作firewalld有關,firewalld可以讓別的程序通過D-BUS接口直接操作,當Lockdown設置爲yes的 時候就可以通過lockdown-whitelist.xml文件來限制都有哪些程序可以對其進行操作,而當設置爲no的時候就沒有限制了,默認值爲 no;
IPv6_rpfilter:其功能類似於rp_filter,只不過是針對ipv6版的,其作用是判斷所接受到的包是否是僞造的,檢查方式主要是通過路由表中的路由條目實現的,更多詳細的信息大家可以搜索uRPF相關的資料,這裏的默認值爲yes。lockdown-whitelist.xml:當Lockdown爲yes的時候用來限制可以通過D-BUS接口操作firewalld的程序direct.xml:通過這個文件可以直接使用防火牆的過濾規則,這對於熟悉iptables的用戶來說會非常順手,另外也對從原來的iptables到firewalld的遷移提供了一條綠色通道
以下是其他的文件夾的作用
zones:保存zone配置文件
services:保存service配置文件
icmptypes:保存和icmp類型相關的配置文件
對於具體的安裝與使用案例,可以直接看附件