1.Firewalld 概述
动态防火墙后台程序firewalld提供了一个动态管理的防火墙,用以支持网络“zones”,以配对一个网络即器相关链接和界面一定程度的信任。它具备对ipv4和ipv6防火墙设置的支持。它支持以太网桥,并有分离运行时间和用机具性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口系统提供了图像化的配置工具firewall-config,system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld永久性或非永久性运行时间的改变:它依次用iptables工具与执行数据包筛选的内核中的Netfilter通信
2.Firewalld域
trusted(信任) 可接受所有的网络连接
home(家庭) 可用于家庭网络,仅接受ssh,mdns,ippp-client,或dhcpv6-client服务连接
internal(内部) 用于内部网络,仅接受ssh,mdns,ipp-client,samba-client,dhcpv6-client服务连接
work(工作) 用于工作区,仅接受ssh,ipp-client或dhcpv6-client服务连接
public(公共) 在公共区域内使用,仅接受ssh或dhcpv6-client服务连接,为firewalld的默认区域
external(外部) 出去的ipv4网络连接通过此区域伪装和转发,仅接受ssh服务连接
dmz(非军事区) 仅接受ssh服务连接
block(限制) 拒绝所有网络连接
drop(丢弃) 任何接收的网络数据包都被丢弃,没有任何回复
3.火墙命令行管理
1>火墙的启动
systemctl stop iptables.servicesystemctl disable iptables.service
systemctl start firewalld.service
systemctl enable firewalld.service
2>iptables的启动
systemctl stop firewalldsystemctl disable firewalld
systemctl start iptables
systemctl enable iptables
3>firewall管理
firewall-cmd --get-active-zones #列出当前正在被使用的域
firewall-cmd --state #火墙状态
firewall-cmd --get-default-zone #查看火墙默认生效的域
firewall-cmd --zone=public --list-all #查看public域里面的信息
firewall-cmd --zone=block --list-all #查看block域里面的信息
firewall-cmd --list-all-zones