Centos7-----firewalld詳解
一.firewalld是啥玩楞?~~?
防火牆,顧名思義,是防火的牆,咳咳,可能說的有點直白。我們這裏要講的是centos7裏面的firewalld。
firewalld簡介
~支持網絡區域所定義的網絡鏈接以及接口安全等級的動態防火牆管理工具
~支持IPV4,IPV6防火牆設置以及以太網橋
~支持服務或應用程序直接添加防火牆規則接口
~擁有兩種配置模式
######運行時配置
######永久配置
firewalld和iptables的區別
iptables是什麼
IPTABLES 是與最新的 3.5 版本 Linux 內核集成的 IP 信息包過濾系統。如果 Linux 系統連接到因特網或 LAN、服務器或連接 LAN 和因特網的代理服務器, 則該系統有利於在 Linux 系統上更好地控制 IP 信息包過濾和防火牆配置。
防火牆在做數據包過濾決定時,有一套遵循和組成的規則,這些規則存儲在專用的數據包過濾表中,而這些表集成在 Linux 內核中。在數據包過濾表中,規則被分組放在我們所謂的鏈(chain)中。而netfilter/iptables IP 數據包過濾系統是一款功能強大的工具,可用於添加、編輯和移除規則。
雖然 netfilter/iptables IP 信息包過濾系統被稱爲單個實體,但它實際上由兩個組件netfilter 和 iptables 組成。
netfilter 組件也稱爲內核空間(kernelspace),是內核的一部分,由一些信息包過濾表組成,這些表包含內核用來控制信息包過濾處理的規則集。
iptables 組件是一種工具,也稱爲用戶空間(userspace),它使插入、修改和除去信息包過濾表中的規則變得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否則需要下載該工具並安裝使用它。
四表五鏈概念
•filter表——過濾數據包
•Nat表——用於網絡地址轉換(IP、端口)
•Mangle表——修改數據包的服務類型、TTL、並且可以配置路由實現QOS
•Raw表——決定數據包是否被狀態跟蹤機制處理
•INPUT鏈——進來的數據包應用此規則鏈中的策略
•OUTPUT鏈——外出的數據包應用此規則鏈中的策略
•FORWARD鏈——轉發數據包時應用此規則鏈中的策略
•PREROUTING鏈——對數據包作路由選擇前應用此鏈中的規則(所有的數據包進來的時侯都先由這個鏈處理)
•POSTROUTING鏈——對數據包作路由選擇後應用此鏈中的規則(所有的數據包出來的時侯都先由這個鏈處理)
實操
登錄win7的瀏覽器去訪問主機的ip地址是無法訪問的
平時我們應該是關閉防火牆,這次實操我們將不需要關閉防火牆。
我們加入一條允許其訪問80端口的規則
用iptables -L可以查看規則是否已經插入。
接下來偶們可以試試能不能訪問。
由於我們添加了這條規則,所以偶們現在可以訪問了。
如果想要清空規則,我們也可以使用iptables -F 。