Firewalld防火牆規則

允許哪些服務埠被放行 以及哪些服務埠被阻攔
如何進行阻攔的一組網路安全規則
支援ipv4和ipv6，分為直接規則和富規則兩種

一、配置(防火牆)firewall

1、新增防火牆的直接規則

檢視防火牆放行的服務
root@localhost ~]# firewall-cmd  --list-all

在防火牆中放行某服務，並設為永久生效
root@localhost ~]# firewall-cmd  --permanent --add-service=&協議名
例:
root@localhost ~]# firewall-cmd  --permanent --add-service=ftp

重新整理防火牆配置
root@localhost ~]# firewall-cmd  --reload 

刪除防火牆規則
root@localhost ~]# firewall-cmd  --permanent --remove-service=ftp

重新整理防火牆配置
root@localhost ~]# firewall-cmd  --reload 

 

2、新增防火牆 通行(accept) 的富規則

新增富規則	 	

這個IP裡的ftp服務永久通行
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept’

重新整理防火牆配置	
root@localhost ~]# firewall-cmd  --reload 

刪除富規則
root@localhost ~]# firewall-cmd  --permanent --remove-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept’

重新整理防火牆配置			不管是新增還是刪除都要重新整理防火牆配置
root@localhost ~]# firewall-cmd  --reload 
 

3、新增埠到防火牆中

	這個IP裡的80埠 永久通行
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.2.0/24 port port=80 protocol=tcp accept’

二、配置防火牆的 攻擊域(拒絕訪問) reject

1、籠統的設定攻擊域

	這個網段的所有服務都訪問不了
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.2.0/24 reject’ 

root@localhost ~]# firewall-cmd  --reload 
 

2、為具體的服務 設定一個攻擊域

	把這個IP的ssh服務拒絕訪問
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ssh reject' 

root@localhost ~]# firewall-cmd  --reload 

三、防火牆的埠轉發

	把80埠轉變成5423
	這裡要刪掉埠80的通行
root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 forward-port port=5423 protocol=tcp to-port=80'

root@localhost ~]# firewall-cmd  --reload