firewalld

firewalld:动态防火墙后台程序

1.firewalld的配置

查看Firewalld的状态       firewall-cmd --state

查看当前活动区域，并附带一个目前分配的的接口列表    firewall-cmd --get-active-zones

查看默认区-zones域    firewall-cmd  --get-default-zone

查看所有可用区域    firewall-cmd  --get-zones

列出指定区域的所有设置  firewall-cmd --zone=public --list-all

列出所有预设服务  firewall-cmd  --get-services

列出所有区域   firewall-cmd  --list-all-zones

 

 

2.设置默认区域为trusted

 

测试结果：可以访问

 

3.设置网络地址到指定区域，默认是public    firewall-cmd  --permanent  --add-source=172.25.254.74

    重新加载服务，不中断服务      firewall-cmd  --reload

    重新加载服务，中断服务    firewall-cmd -complete --reload

    移除指定区域的网络地址   firewall-cmd  --permanent  --remove-source=172.25.254.74

   

4.firewall-cmd  --permanent  --zone=trusted  --add-source=172.25.254.74

 

测试结果：可以访问

 

5.从public区域移除eth0端口    firewall-cmd  --remove-interface=eth0  --zone=public

   添加eth0端口到trusted   firewall-cmd  --add-interface=eth0  --zone=trusted

测试结果：可以访问eth0端口，不可以访问eth1端口

 

 

6.添加http服务   firewall-cmd  --add-service=http  --zone=public

   删除ssh服务   firewall-cmd  --remove-service=ssh  --zone=public

7.设置出了7主机的22端口不可访问，其他主机22端口都可以访问   firewall-cmd  --direct  --add-rule  ipv4  filter  INPUT  0！-s  172.25.254.74  -p  tcp  --dport   22  -j  ACCEPT

测试结果：ssh [email protected]     无法访问，但是其他主机可以访问

 

8.伪装和端口转发

打开伪装   firewall-cmd  --permanent  --zone=public  --add-masquerade

伪装   firewall-cmd  --zone=public  --add-rich-rule family=ipv4 source  address=172.25.254.97  masquerade

测试结果：不同网段的IP可以连接

 

端口转发  firewall-cmd  --zone=public  --add-forward-port=port=22:proto:toport=22:toaddr=172.25.254.97

测试结果：连接143主机，实际连接97主机