防火牆

1、Redhat Enterprise Linux7已經默認使用firewalld作爲防火牆，其使用方式已經變化。
基於iptables的防火牆被默認不啓動，但仍然可以繼續使用。
RHEL7中有幾種防火牆共存：firewalld、iptables、ebtables等，默認使用firewalld作爲防火牆，管理工具是firewall-cmd。RHEL7的內核版本是3.10，在此版本的內核裏防火牆的包過濾機制是firewalld，使用firewalld來管理netfilter,不過底層調用的命令仍然是iptables等。因爲這幾種daemon是衝突的，所以建議禁用其他幾種服務。

例如若要禁用iptables、ip6tables、ebtables防火牆，方法 ：systemctl mask {iptables，ip6tabels，ebtables}
2、獲取firewalld狀態：firewall-cmd --state
3、想要列出默認有效的服務，也可以進入下面的目錄也能夠取得

4、列出全部啓用的區域的特性（即查詢當前防火牆策略）
解釋：特性可以是定義的防火牆策略，如：服務、端口和協議的組合、端口/數據報轉發、僞裝、ICMP 攔截或自定義規則等

5、獲取永久選項所支持的服務
firewall-cmd --permanent --get-services
獲取永久選項所支持的ICMP類型列表
firewall-cmd --permanent --get-icmptypes
6、獲取支持的永久區域
firewall-cmd --permanent --get-zones
7、配置防火牆在public區域打開http協議，並保存，以致重啓有效
firewall-cmd --permanent --zone=public --add-service=http
8、查看永久模式下public區域是否打開http服務。
firewall-cmd --permanent --zone=public --query-service=http
9、防火牆開放8080端口在public區域
firewall-cmd --permanent --zone=public --add-port=8080/tcp
10、命令行配置負規則：
查看負規則：# firewall-cmd --list-rich-rules
創建負規則：
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 service name=ftp log prefix="ftp" level=info accept' --permanent
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.35.89.0/24 port port=80 protocol=tcp  log prefix="80" level=info accept' --permanent
firewall-cmd --add-rich-rule rule family="ipv4" source address="192.168.10.30" forward-port port="808" protocol="tcp" to-port="80" to-addr="10.10.10.2"
11、 負規則中使用僞裝功能可以更精確詳細的限制：
firewall-cmd --add-rich-rule 'rule family=ipv4 source address=10.10.10.2/24 masquerade'
12、 僅允許部分IP訪問本機服務配置
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"
source address="192.168.0.0/24" service name="http" accept"
禁止遠程IP訪問ssh
firewall-cmd --permanent --zone=public --add-rich-rule=’rule family=ipv4
source address=192.168.0.0/24 service name=ssh reject’
刪除rich規則
firewall-cmd --permanent --zone=public --remove-rich-rule=’rule family=ipv4
source address=192.168.0.0/24 service name=ssh reject’
13、僅允許部分IP訪問本機端口配置
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4"
source address="192.168.0.0/24"port protocol="tcp" port="8080" accept"
創建rich規則，可以指定日誌的前綴和輸出級別
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.0.4/24"port port=8080 protocol="tcp" log prefix=proxy level=warning accept"
14、firewall daemon 主要的配置工具是firewall-config。它支持防火牆的所有特性。管理員也可以用它來改變系統或用戶策略。