标签:firewalled
CentOS 7打开firewalled
systemctl disable iptables #关闭服务
systemctl stop iptables #停止运行的服务
systemctl enable firewalld #开启firewalld服务
systemctl start firewalld #打开firewalld服务firewalld默认有9个zone (zone是个单位)
默认zone 为public
每个zone是一个规则集
firewall-cmd --get-zones ##查看所有zone
firewall-cmd --get-default-zone ##查看默认zone drop、 block、 public、 external、 dmz、 work、 home、 internal、trusted
drop( 丢弃),任何接收的网络数据包都被丢弃,没有任何回复。
仅能有发送出去的网络连接。
block( 限制) 任何接收的网络连接都被PV4 的icmp-host-prohibited信息和PV6 的icmp6-adm-prohibited 信息所拒绝
public (公共)在公共区域内使用,
不能相信网络内的其他计算机不会对你的计算机造成危害,只能接收经过选取的连接。
external (外部)特别是为路由器启用了伪装功能的外部网。
你不能信任来自网络的其他计算,不能相信它们不会对你的计算机造成危害,只能接收经过选择的连接。
dmz (非军事区)用于你的非军事区内的电脑,
此区域内可公开访问,可以有限地进入你的内部网络,仅仅接收经过选择的连接。
work( 工作) 用于工作区。
你可以基本相信网络内的其他电脑不会危害你的电脑。仅仅接收经过选择的连接。
home (家庭)用于家庭网络。
你可以基本信任网络内的其他计算机不会危害你的计算机。仅仅接收经过选择的连接。
internal (内部) 用于内部网络。
你可以基本上信任网络内的其他计算机不会威胁你的计算机。仅仅接受经过选择的连接。
trusted (信任)可接受所有的网络连接。firewall-cmd --set-default-zone=work #设定默认zone
firewall-cmd --get-zone-of-interface=ens37 #查找指定的网卡
firewall-cmd --zone=public --add-interface=lo #给指定网卡设置zone
firewall-cmd --zone=dmz --change-interface=lo #针对网卡更改zone
firewall-cmd --zone=dmz --remove-interface=lo #针对网卡删除zone
firewall-cmd --get-active-zones #查看系统所有网卡所在的zone
[root@huidou01 ~]$ firewall-cmd --get-zone-of-interface=ens37
no zone
#需要手动关闭systemctl stop NetworkManager 服务
[root@huidou01 ~]$ firewall-cmd --zone=work --add-interface=ens37
success
[root@huidou01 ~]$ firewall-cmd --get-zone-of-interface=ens37
workzone下面的一个单元,或者说是一个指定的端口
firewall-cmd --get-service //查看所有的service
firewall-cmd --list-service //查看当前zone下面有哪些service
firewall-cmd --zone=public --add-service=http //把http增加到public zone下面
firewall-cmd --zone=public --remove-service=http //在public zone中删除ls /usr/lib/firewalld/zones/ zone的配置文件模板
firewall-cmd --zone=public --add-service=http --permanent 更改配置文件,之后会在/etc/firewalld/zones目录下面生成配置文件
#需求:ftp服务自定端口1121,需要在work zone下面放行ftp
cp /usr/lib/firewalld/services/ftp.xml /etc/firewalld/services
vi /etc/firewalld/service/ftp.xml 把21端口改成1121
cp /usr/lib/firewalld/zones/work.xml /etc/firwalld/zones/
vi /etc/firewalld/zones/work.xml 增加一行
<service name="ftp"/>
firewall-cmd --reload 重新加载
firewall-cmd --zone=work --list-servicesfirewalld zone 规则集合每个zone都有iptables规则
每个zone下面都有 service,如果有service 就作为白名单放行,把服务增加到配置文件里去然后reload就行 标签:firewalled
原文地址:http://blog.51cto.com/13574510/2083309
