防火墙

iptables.service 和 firewalld.service 都可以配置防火墙，但是最好只用其中一个以防冲突

优先级：soucece > interface > default zone

source  ： 源ip

interface ：网卡

default zone：默认值

 

[root@server30 yum.repos.d]# firewall-cmd --get-services  - - 查看支持的服务
amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

[root@server30 yum.repos.d]# firewall-cmd --get-zones     ----- 查看支持的zone
block dmz drop external home internal public trusted work
[root@server30 yum.repos.d]# firewall-cmd --get-default-zone  ---- 查看默认zone
public

[root@server30 yum.repos.d]# firewall-cmd --list-all     ---- 查看public 规则
public (default, active)
  interfaces: eno16777736 eno33554992 eno50332216 eno67109440 team
  sources: 
  services: dhcpv6-client ssh
  ports: 
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

 

[root@server30 yum.repos.d]# firewall-config --- 调出图形界面

[root@server30 yum.repos.d]# firewall-cmd --list-all --zone=work --- 如果设置了source，那么无论default zone是哪个，从192.168.0.0 过来的都会遵循以下规则，允许http和ssh，允许端口8899
work
  interfaces: 
  sources: 192.168.0.0/24
  services: http ssh
  ports: 8899/tcp
  masquerade: no
  forward-ports: 
  icmp-blocks: 
  rich rules: 

 

firewall-cmd --list-all --zone=work   列出work zone 的配置

firewall-cmd --permanent --add-source=192.168.0.0/24 --zone=home  -- 添加源ip

firewall-cmd --permanent --remove-service=http --zone=work  --- 移除服务

firewall-cmd --permanent --remove-port=8899/tcp --zone=work  --- 移除端口

 

伪装：局域网内部的人可以访问公网
端口转发：公网的人可以访问局域网共享数据的资源