一, 什麼是防火牆規則？

允許哪些服務埠被放行，怎麼放行，及哪些服務埠被阻攔，如何阻攔的一組網路安全規則。支援ipv4和ipv6，且分為直接規則和富規則兩種。

二, 如何管理firewalld

1, 使用命令firewall-cmd
2, 使用圖形工具firewall-config
3, 使用配置檔案，位於/etc/firewalld

三, 如何配置防火牆策略

使用命令的前提條件是保證firewalld服務開啟並執行。

1, 檢視放行服務命令

  firewalld-cmd --list-all

2, 放行某種服務並設為永久生效

  firewall-cmd --permanent --add-service=協議名 (例如:ftp)
 

3, 放行某種服務埠並設為永久生效

注:並不是所有服務都有協議名,所以某些服務只能放行其服務埠
firewall-cmd --permanent --add-port=21/tcp (21埠為例)

4, 重新整理防火牆配置

注:每次配置完防火牆服務都需要重新重新整理一次防火牆配置
firewall-cmd --reload

四, firewall-cmd命令列新增防火牆富規則

1, 新增一條富規則

  firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=ip/24 service name=ftp accept’
 

2, 刪除一條富規則

  firewall-cmd  --permanent --remove-rich-rule='rule family=ipv4 source address=ip/24 service name=ftp accept’

3, 籠統的設定一個攻擊域

  firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=ip/24 reject’ 

4, 為某個具體的服務設定一個攻擊域

  firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=ip/24 service name=ftp(例) reject'
 

五, 防火牆新增埠轉發

注:拿httpd實驗,如果之前添加了http的80埠,需要刪除之前新增的80埠富規則,如果沒有就不用
(1)安裝httpd服務
yum -y install httpd
(2)重啟httpd服務
systemctl restart httpd
(3)檢視埠是否在執行
netstat -pant
(4)新增埠轉發
firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=ip/24 forward-port port=8008 protocol=tcp to-port=80'
(5)重新整理防火牆配置
firewall-cmd --reload
(6)檢視放行服務
firewall-cmd --list-all
(7)進行測試
去客戶端開啟瀏覽器測試：http://ip:8008