Linux防火牆相關知識----入門

1.查看兩種不同的防火牆（iptables & firewalld ）

防火牆是整個數據包進入主機前的第一道關卡。是一種位於內部網絡與外部網絡之間的網絡安全系統，是一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。防火牆主要通過Netfilter與TCPwrappers兩個機制來管理的

管理防火牆的兩種方式 ：

• （1）firewalld 管理火牆的工具，相對簡單
• （2）iptables 複雜，功能強大

查看服務器的防火牆，是哪個版本的？

# 查看防火牆服務狀態

systemctl status iptables.service
systemctl status firewalld.service

• 因爲我的服務器是firewalld版本的防火牆，所以第一條命令顯示沒發現iptables服務
• active，顯示我的防火牆firewall是開啓的
• 如果防火牆關閉的話，顯示效果如下：

2.開啓、關閉、重啓防火牆

# 開啓
service firewalld start

# 重啓
service firewalld restart

# 關閉
service firewalld stop

3.查看防火牆配置信息

firewall-cmd --list-all 

• services,這裏面描述了防火牆目前允許的傳輸方式（不知道是否準確），類似TCP,UPD,FTP,HTTP,HTTPS,SSH等等
• ports:目前開放的端口，因爲我沒有開放任何端口，所以mysql都連接不上，顯示如下

4.添加防火牆的端口

• 永久添加3306端口，對應的是tcp傳輸協議：

firewall-cmd --add-port=3306/tcp --permanent

# firewall-cmd --permanent --remove-port=8080/tcp   永久刪除8080端口

• 更新防火牆，類似刷新吧

firewall-cmd --reload

• 再次查看防火牆規則信息，發現已經吧3306/tcp添加進去了

firewall-cmd --list-all

firewall-cmd --state                           ##查看防火牆狀態，是否是running
firewall-cmd --reload                          ##重新載入配置，比如添加規則之後，需要執行此命令
firewall-cmd --get-zones                       ##列出支持的zone
firewall-cmd --get-services                    ##列出支持的服務，在列表中的服務是放行的
firewall-cmd --query-service ftp               ##查看ftp服務是否支持，返回yes或者no
firewall-cmd --add-service=ftp                 ##臨時開放ftp服務
firewall-cmd --add-service=ftp --permanent     ##永久開放ftp服務
firewall-cmd --remove-service=ftp --permanent  ##永久移除ftp服務
firewall-cmd --add-port=80/tcp --permanent     ##永久添加80端口 
iptables -L -n                                 ##查看規則，這個命令是和iptables的相同的
man firewall-cmd                               ##查看幫助
systemctl status firewalld.service                               ##查看防火牆狀態
systemctl [start|stop|restart] firewalld.service                 ##啓動|關閉|重新啓動  防火牆

5.添加某IP可訪問某port

firewall-cmd --permanent --add-rich-rule 'rule family=ipv4 source address=192.168.0.3 port port=32768 protocol=tcp accept'

- 刪除規則

firewall-cmd --permanent --remove-rich-rule 'rule family=ipv4 source address=192.168.0.3 port port=32768 protocol=tcp accept'

firewall-cmd --reload

• 以上的IP地址應該是你電腦的公網IP地址，不是內網IP地址。
• ipconfig 或ifconfig看到的是內網的地址，------------切記，切記，切記！！
• https://www.ipip.net/，這裏可以查看你本機外網地址

參考文章：
https://blog.csdn.net/qq_42036824/article/details/84898977
https://blog.csdn.net/lockey23/article/details/77389196