從RHEL7開始,firewalld防火墻正式取代了iptables防火墻货矮。
iptables
防火墻會按照從上到下的順序來讀取配置的策略規(guī)則羊精,在找到匹配項后就立即結(jié)束匹配工作并去執(zhí)行匹配項中定義的行為。如果在讀取完所有的策略規(guī)則之后沒有匹配項囚玫,就去執(zhí)行默認(rèn)的策略喧锦。
基本的命令參數(shù)
iptables 是一款基于命令行的防火墻策略管理工具。
- -P 設(shè)置默認(rèn)策略
- -F 情況規(guī)則鏈
- -L 查看規(guī)則鏈
- -A 在規(guī)則鏈的末尾加入新規(guī)則
- -I num 在規(guī)則鏈的頭部加入新規(guī)則
- -s 匹配來源地址 IP/MASK
- -d 匹配目標(biāo)地址
- -i 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流入的數(shù)據(jù)
- -o 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流出的數(shù)據(jù)
- -p 匹配協(xié)議抓督、tcp燃少、udp、ICMP
- --dport num 匹配目標(biāo)端口號
- --sport num 匹配來源端口號
firewalld
firewall-cmd是firewalld防火墻配置管理工具的CLI(命令行界面)版本铃在。
查看firewalld服務(wù)當(dāng)前所使用的區(qū)域
[root@linuxprobe ~]# firewall-cmd --get-default-zone
public
查詢指定網(wǎng)卡在firewalld服務(wù)中綁定的區(qū)域
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=ens160
public
啟動和關(guān)閉firewalld防火墻服務(wù)的應(yīng)急狀況模式
如果想在1s的時間內(nèi)阻斷一切網(wǎng)絡(luò)連接阵具,可以使用panic緊急模式
- --panic-on參數(shù)會立即切斷一切網(wǎng)絡(luò)連接
- --panic-off會恢復(fù)網(wǎng)絡(luò)連接
查詢SSH和HTTPS協(xié)議的流量是否允許放行
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
把HTTP協(xié)議的流量設(shè)置為永久拒絕碍遍,并立即生效
