一.區(qū)域分類
區(qū)域: 規(guī)則的集合
默認(rèn)活動(dòng)區(qū)域:public
區(qū)域默認(rèn)規(guī)則:除trusted區(qū)域曹步,其他區(qū)域中若未指定策略默認(rèn)為reject或drop
二.查看
1.查看區(qū)域策略
系統(tǒng)默認(rèn)區(qū)域?yàn)閜ulic,且狀態(tài)為active(活動(dòng))時(shí),所有流量匹配public域里的規(guī)則
firewall-cmd --list-all --zone=public
2.查看默認(rèn)區(qū)域
新增策略不指定--zone時(shí)默認(rèn)添加到的區(qū)域
firewall-cmd --get-default-zone
3.查看活動(dòng)區(qū)域
策略匹配的區(qū)域
firewall-cmd --get-active-zones
4.查看指定區(qū)域策略明細(xì)
firewall-cmd --list-all --zone=drop
三.設(shè)置
個(gè)人平時(shí)使用drop突颊、trusted域,將完全信任的IP地址添加到trusted域句携,drop域中添加開放的端口或服務(wù)以及IP疗锐。
1.設(shè)置默認(rèn)區(qū)域
此后當(dāng)不指定--zone時(shí),新增策略默認(rèn)添加到drop域
firewall-cmd --set-default-zone=drop
2.手動(dòng)設(shè)置網(wǎng)卡接口到區(qū)域
連接會(huì)優(yōu)先匹配該區(qū)域的策略(當(dāng)策略添加到zone時(shí)該zone默認(rèn)變?yōu)閍ctive搔耕,可以不用手動(dòng)配置)
1.切換網(wǎng)卡接口到默認(rèn)區(qū)域
firewall-cmd --permanent --change-interface=eth0 --zone=drop
2.添加網(wǎng)卡接口到指定區(qū)域
firewall-cmd --permanent --add-interface=eth0 --zone=drop
3.添加和移除訪問策略
只能限制指定的主機(jī)隙袁、網(wǎng)段、端口以及服務(wù)弃榨。當(dāng)指定--permanent時(shí)服務(wù)重啟或firewall-cmd --reload生效菩收。
- trusted添加信任源
- 添加Source :firewall-cmd --permanent --add-source=192.168.1.0/24 --zone=trusted
- drop添加開放策略
- 添加Source :firewall-cmd --permanent --add-source=192.168.2.0/24 --zone=drop
- 添加Port :firewall-cmd --permanent --add-port=80/udp --add-port=80/tcp --zone=drop
- 添加Service :firewall-cmd --permanent --add-service=http --add-service=https--zone=drop
- remove策略
- 移除策略:add—>remove
4.富策略
drop/accept更加具體的策略
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.2" service name="tftp" drop|accept"
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.2" port port="3306" protocol="tcp" drop|accept"
