当下的主流红帽系Linux版本是 Red Hat Enterprise Linux 8 和 CentOS 8,系统默认的防火墙也从iptables换成firewalld。firewalld最大的好处有两个:支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效。firewalld在使用上要比iptables人性化很多,即使不明白“四表五链”而且对TCP/ip协议也不理解也可以实现大部分功能。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。firewall-config、firewall-cmd是firewalld的管理工具,通过配置文件“/usr/lib/firewalld”下面的xml配置信息,在启动时自动载入配置并应用到系统中,当使用firewalld-cmd添加防火墙规则时,它实际是转换成iptables规则后,再应用到系统中。
firewalld定义了几个概念:
zone: 它是安全域的范围,就类似于Window上的域网络,工作网络,家庭网络,Internet网络等,不同的安全作用域其安全级别不同,安全程度不同,家庭zone的安全规则就是最宽松的。
service: 它是zone里面的定义一个规则集,它将iptables中单独根据 入接口,出接口,源目端口,协议等定义单独规则整合为一个规则集合,方便识别和管理。
protocol: 定义协议规则
port,source-port :基于端口定义规则,port我的理解:定义源和目标为指定端口的规则。
source: 定义源地址规则
interface: 定义基于出入接口的规则。
direct: 直接定义原始iptables规则。
全局选项:
--state //显示当前firewalld服务的运行状态。
--runtime-to-permanent //将运行时配置保存为永久配置。
全局刷新配置:
--reload //重新加载防火墙permanent的规则配置,覆盖当前runtime的规则配
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
