Firewalld的基本參數和簡單使用方法

Firewalld即Dynamic Firewall Manager of Linux systems，Linux系統的動態防火牆管理器。Firewalld是一個服務，用於配置網絡連接，從而哪些內外部網絡的數據包可以允許穿過網絡或阻止穿過網絡。

區域規則

drop（丟棄）
任何接收的網絡數據包都被丟棄，沒有任何回覆。僅能有發送出去的網絡連接。
block（限制）
任何接收的網絡連接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒絕。
public（公共）
在公共區域內使用，不能相信網絡內的其他計算機不會對您的計算機造成危害，只能接收經過選取的連接。
external（外部）
特別是爲路由器啓用了僞裝功能的外部網。您不能信任來自網絡的其他計算，不能相信它們不會對您的計算機造成危害，只能接收經過選擇的連接。
dmz（非軍事區）
用於您的非軍事區內的電腦，此區域內可公開訪問，可以有限地進入您的內部網絡，僅僅接收經過選擇的連接。
work（工作）
用於工作區。您可以基本相信網絡內的其他電腦不會危害您的電腦。僅僅接收經過選擇的連接。
home（家庭）
用於家庭網絡。您可以基本信任網絡內的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接。
internal（內部）
用於內部網絡。您可以基本上信任網絡內的其他計算機不會威脅您的計算機。僅僅接受經過選擇的連接。
trusted（信任）
可接受所有的網絡連接。
指定其中一個區域爲默認區域是可行的。當接口連接加入了 NetworkManager，它們就被分配爲默認區域。安裝時，firewalld 裏的默認區域被設定爲公共區域。

使用方法

查看當前的區域

firewall-cmd --get-default-zone

查詢eth1網卡區域

firewall-cmd --get-zone-of-interface=eth1

查詢public中相關服務是否被允許

firewall-cmd --zone=public --query-service=ssh
firewall-cmd --zone=public --query-service=http

列出所有支持的 service

firewall-cmd --get-services

查看當前zone加載的 service

firewall-cmd --list-services

讓配置文件立即生效

firewall-cmd --reload

允許https服務流量通過public

firewall-cmd --permanent --zone=public --add-service=https
firewall-cmd --reload

允許80端口通過public

firewall-cmd --permanent --zone=public --add-port=80/tcp 
firewall-cmd --reload

修改eth1網卡區域爲external

firewall-cmd --permanent --zone=external --change-interface=eth1
firewall-cmd --reload

拒絕172.27.10.0/22網絡用戶訪問ssh

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="172.27.10.0/22" service name="ssh" reject"

重讀防火牆

並不中斷用戶連接，即不丟失狀態信息：

firewall-cmd --reload

中斷用戶連接，丟棄狀態信息：

firewall-cmd --complete-reload

注意:通常在防火牆出現嚴重問題時，這個命令纔會被使用。如防火牆規則正確，但態信息不正確和無法建立連接等。

設置默認區域

firewall-cmd --set-default-zone=work
注意:流入默認區域中配置的接口的新訪問請求將被置入新的默認區域，當前活動的連接將不受影響。

獲取活動的區域

firewall-cmd --get-active-zones

根據接口獲取區域

firewall-cmd –get-zone-of-interface=<interface>
firewall-cmd --get-zone-of-interface=eth1

修改接口所屬區域

“`firewall-cmd [–zone=] –change-interface=

列舉區域中啓用的服務

firewall-cmd [ –zone= ] –list-services“`

啓用應急模式阻斷所有網絡連接

firewall-cmd --panic-on

禁用應急模式

firewall-cmd --panic-off

查詢應急模式

firewall-cmd --query-panic

啓用區域中的一種服務

firewall-cmd [--zone=<zone>] --add-service=<service> [--timeout=<seconds>]

使區域中的 ipp-client 服務生效60秒:

firewall-cmd --zone=home --add-service=ipp-client --timeout=60

圖形管理工具firewall-config

圖形化配置比較簡單，這裏就不贅述了。