Centos7中firewalld防火牆的設置

systemctl status firewalld:查看防火牆狀態

防火牆區域：

firewalld防火牆爲了簡化管理，將所有網絡流量分爲多個區域（zone）。然後要所數據包的源IP地址或傳入的網絡接口條件等將流量傳入相應區域。每個區域都定義了自己打開或關閉的端口服務列表。其中默認區域爲public區域，trusted區域默認允許所有流量通過，是一個特殊的區域。用戶可以根據具體環境選擇使用區域。管理員也可以對這些區域進行自定義，使其具有不同的設置規則。

查看默認使用的區域：firewall-cmd --get-default-zone

安裝Apache服務：yum install httpd
驗證：本地：localhost
外部：無法顯示,沒開80端口。打開http服務，可以訪問。
查看public區域開放的服務：firewall-cmd --list-all --zone=public

firewall-cmd --set-default-zone=trusted:設置默認區域爲trusted,允許所有的通過

防火牆的兩種狀態：

• runtime（正在運行生效的狀態）：添加的規則立即生效，重啓服務，或計算機就失
  效。
• permanent(永久生效的狀態) ：設置後不會立即啓動，需要重啓防火牆才立即生效。

區域管理：

firewalld-cmd --help | wc -l:查看幫助信息,wc -l 統計行數。
firewalld-cmd --get-default-zone :查看默認區域
firewalld-cmd --get-active-zones :列出當前正在使用的區域及其所對應的網卡接口。
firewalld-cmd --get-zones :列出所有可用的區域
firewalld-cmd --set-default-zone=block :設置默認區域

服務管理：

1.查看預定義服務 ：firewall-cmd --get-services
2.添加http服務到public區域 ：firewall-cmd --add-service=http --zone=public --
permanent
重啓防火牆服務才生效（permanent狀態）： systemctl restart firewalld
3.查看public區域已配置的規則：firewall-cmd --list-all --zone=public
4.移除public區域的http服務，不使用--zone指定區域時使用默認區域：
firewall-cmd --remove-service=http --permanent --zone=public
systemctl restart firewalld
5.將多個服務添加到某一個區域，不添加--permanent選項表示是即時生效的臨時設置：firewall-
cmd --add-service=http --add-service=https
systemctl restart firewalld
6.添加端口：firewall-cmd --add-port=80/tcp --zone=public
端口號後面一定要跟協議。

端口管理：

1.允許tcp的3306端口到public區域：firewall-cmd --add-port=3306/tcp --zone=public
2.從public區域將tcp的3306端口移除：firewall-cmd --remove-port=3306/tcp --
zone=public
3.允許某一範圍的端口，如允許udp的2048-2050端口到public區域：
firewall-cmd --add-port=2048-2050/udp --zone=public
4.使用--list-ports 查看加入的端口操作是否成功：
firewall-cmd --list-ports --zone=public

僞裝ip：

firewall-cmd --query-masquerade # 檢查是否允許僞裝IP
firewall-cmd --permanent --add-masquerade # 允許防火牆僞裝IP
firewall-cmd --permanent --remove-masquerade# 禁止防火牆僞裝IP

端口轉發：

當我們想把某個端口隱藏起來的時候，就可以在防火牆上阻止那個端口訪問，然後再開一個不規則的端
口，之後配置防火牆的端口轉發，將流量轉發過去。
例：
1. firewall-cmd --permanent --add-masquerade ：開啓地址僞裝。
2. firewall-cmd --add-forward-port=port=8080:proto=tcp:toport80 ：添加轉發
8080--》80
3. firewall-cmd --add-port=8080/tcp
4. firewall-cmd --remove-service=http 刪除80端口的協議。

多區域的應用：

1.可以根據不同的接口配置不同的區域
2.可以對同一個接口，對不同網段的ip/流量，配置不同的訪問
例：
1. 一個接口只能對應一個區域，將接口與指定區域關聯：
firewall-cmd --change-interface=ens75 --zone=drop
2. 根據不同的訪問來源網段，設定至不同的區域規則：
firewall-cmd --add-source=192.168.75.0/24 --zone=public
firewall-cmd --add-source=192.168.85.0/24 --zone=drop
firewall-cmd --get-active-zones ：查看（活動區域）默認接口和區域。
3. 建議配置方案：
將所有接口劃分到不同區域