1.直接規則
1)直接使用iptables或firewall語句將規則寫入管理區域中。
2)執行優先級最高,優先規則:直接規則→富規則→區域規則
3)firewall語句與iptables語句互相通用
4)使用於服務或應用程序。
語句格式:
firewall-cmd --direct
例1:啓用黑名單
firewall-cmd --direct --add-chain ipv4 raw blacklist
例2:將來自黑名單的數據包丟棄
fireall-cmd --direct --add-rule ipv4 raw blacklist 1 -j DROP
2.富語言
語句中描述的時間或表達式比較詳細,包括拒絕、允許。配置日誌記錄,端口轉發,地址僞裝、速率限制、訪問時間。
語句格式
firewall-cmd --zone=區域 --add-rich-rule=’ rule 富規則表達式’
注意:區域選項爲可選。如不使用區域選項,表示爲所有區域添加。
爲所有區域添加富規則:
firewall-cmd --add-rich-rule
刪除富規則
firewall-cmd --remove-rich-rule
查看rule規則是否添加到指定的區域
firewall-cmd --query-rich-rule
查看富規則列表
firewall-cmd --list-rich-rule
3.富規則表達式
格式:
firewall-cmd --zone=區域 --add-rich-rule"rule 選項 要素類型 動作"
- 選項
source address=源IP地址
destination address= 目標IP地址
log=日誌管理
log prefix=日誌文件
level=日誌級別
limit value=條數/時間 記錄日誌週期
- 要素類型:
server name=服務名
port port=端口號
Protocol value=協議類型(TCP/UDP)
icmp-block name=ICMP數據包類型(request reply)
masquerade 轉換地址與端口號
- 動作
audit:審覈
accept:通過
drop:拒絕、丟棄
reject:拒絕並返回信息
--timeout=300 300秒,只限制5分鐘。
- 實例
例1:在external區域中,爲認證包頭協議AH使用新的ipv4和ipv6連接
firewall-cmd --zone=external --add-rich-rule='rule protocol value=ah accept'
例2:允許ipv4的主機訪問FTP服務,並使用審覈記錄每分鐘記錄一次
firewall-cmd --zone=internal --add-rich-rule='rule family=ipv4 service name=ftp log limit value=1/m audit accept'