Firewall配置
一、安裝firewall
#yum install -y firewalld firewall-config
二、啟動并設(shè)置開機自啟動
# systemctl start firewalld
# systemctl enable firewalld
# systemctl stop firewalld
# systemctl disable firewalld
三、firewall配置
# firewall-config 防火墻圖形配置界面
# firewall-cmd --list-all
# firewall-cmd --zone=public --list-all
# firewall-cmd --list-all-zones 列出所有區(qū)域的設(shè)置
# firewall-cmd --list-services 列出所有預(yù)設(shè)服務(wù)
# firewall-cmd --list-rich-rules
設(shè)置網(wǎng)絡(luò)地址到指定的區(qū)域
# firewall-cmd --permanent --zone=internal --add-source=172.25.254.0/24
#firewall-cmd --permanent --zone=internal --remove-source=172.25.254.0/24
添加、改變、刪除網(wǎng)絡(luò)接口:
# firewall-cmd --permanent --zone=internal --add-interface=eth0
# firewall-cmd --permanent --zone=internal --change-interface=eth0
# firewall-cmd --permanent --zone=internal --remove-interface=eth0
添加、刪除服務(wù):
# firewall-cmd --permanent --zone=public --add-service=smtp
# firewall-cmd --permanent --zone=public --remove-service=smtp
列出、添加、刪除端口:
# firewall-cmd --zone=public --list-ports
# firewall-cmd --permanent --zone=public --add-port=8080/tcp
# firewall-cmd --permanent --zone=public --remove-port=8080/tcp
使用 –direct 選項在運行時間里增加或者移除鏈:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -p tcp --dport 80 -j ACCEPT
刪除規(guī)則:
# firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 10 -p tcp --dport 80 -j ACCEPT
列出規(guī)則:
# firewall-cmd --direct --get-all-rules
重載防火墻:
# firewall-cmd --reload
添加復(fù)雜路由:
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.17.0.0/16" port port="3306" protocol="tcp" accept'
四、復(fù)雜路由:rich-rules
在這個部分,所有命令都必須以 root 用戶身份運行。增加一項規(guī)則的命令格式如下:
firewall-cmd [--zone=zone] --add -rich-rule='rule' [--timeout=seconds]
這樣將為 zone 分區(qū)增加一項多語言規(guī)則 rule 。這個選項可以多次指定。如果分區(qū)被省略,將使用默認分區(qū)。如果出現(xiàn)超時,規(guī)則將在指定的秒數(shù)內(nèi)被激活,并在之后被自動移除移除一項規(guī)則:
firewall-cmd [--zone=zone] --remove-rich-rule='rule'
檢查一項規(guī)則是否存在:
firewall-cmd [--zone=zone] --query-rich-rule='rule'
這將復(fù)查是否已經(jīng)為區(qū)域增加一個多語言規(guī)則 。如果可用,屏幕會顯示 yes,退出狀態(tài)為0; 否則,屏幕顯示 no ,退出狀態(tài)為 1。如果省略 zone,默認區(qū)域?qū)⒈皇褂谩?br />列出所有多語言規(guī)則:
firewall-cmd --list-rich-rules
添加規(guī)則:
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.10" accept'
允許172.25.0.10主機所有連接。
# firewall-cmd --add-rich-rule='rule service name=ftp limit value=2/m accept'
每分鐘允許2個新連接訪問ftp服務(wù)。
# firewall-cmd --add-rich-rule='rule service name=ftp log limit value="1/m" audit accept'
同意新的 IP v4 和 IP v6 連接 FT P ,并使用審核每分鐘登錄一次。
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.25.0.0/24" service name=ssh log prefix="ssh" level="notice" limit value="3/m" accept'
允許來自172.25.0.0/24地址的新 IPv4連接連接TFTP服務(wù),并且每分鐘記錄一次。
# firewall-cmd --permanent --add-rich-rule='rule protocol value=icmp drop'
丟棄所有icmp包
# firewall-cmd --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 reject' --timeout=10
當使用source和destination指定地址時,必須有family參數(shù)指定ipv4或ipv6。如果指定超時,
規(guī)則將在指定的秒數(shù)內(nèi)被激活,并在之后被自動移除。
#firewall-cmd --add-rich-rule='rule family=ipv6 source address="2001:db8::/64" service name="dns" audit limit value="1/h" reject' --timeout=300
拒絕所有來自2001:db8::/64子網(wǎng)的主機訪問dns服務(wù),并且每小時只審核記錄1次日志。
# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=172.25.0.0/24 service name=ftp accept'
允許172.25.0.0/24網(wǎng)段中的主機訪問ftp服務(wù)
# firewall-cmd --add-rich-rule='rule family="ipv6" source address="1:2:3:4:6::" forward-port to-addr="1::2:3:4:7" to-port="4012" protocol="tcp" port="4011"'
轉(zhuǎn)發(fā)來自ipv6地址1:2:3:4:6::TCP端口4011,到1:2:3:4:7的TCP端口4012
#firewall-cmd --add-rich-rule='rule family="ipv4" source address="172.17.0.0/16" port port="3306" protocol="tcp" accept'
轉(zhuǎn)載于:https://www.cnblogs.com/xiatian09/p/10213353.html
總結(jié)
以上是生活随笔為你收集整理的Firewall配置的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: .net core mvc初级教程(六)
- 下一篇: 如何为你的博客园添加到百度统计