防火墙基础

一、Firewalld概述
Firewalld简介
支持网络区域所定义的网络链接以及接口安全等级的动态防火墙
管理工具支持IPv4、IPv6防火墙设置以及以太网桥支持服务或应用程序直接添加防火墙规则接口拥有两种配置模式
运行时配置永久配置
二、Firewalld和iptables的关系
netfilter
位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态’ Firewalld/iptables
CentOS7默认的管理防火墙规则的
工具(Firewalld)称为Linux防火墙的“用户态”
Firewalld和iptables的区别：

三、iptables的四表五链
链就是位置:共有五个进路由(PREROUT ING)、进系统(INPUT)、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING);表就是存储的规则;数据包到了该链处，会去对应表中查询设置的规则，然后决定是否放行、丢弃、转发还是修改等等操作。
3.1、四表
filter表 一 过滤数 据包Nat表 一 用 于网络地址转换(IP、 端口)Mangle表 一 修改数 据包的服务类型、TIL、并且可以配置路由实现Q0SRaw表决定数据包是否被状态跟踪机制处理用的较多的是filter表、Nat表，默认的表是：filter
3.2、五链
INPUT链—进来的数据包应用此规则链中的策略 OUTPUT链----外出的数据包应用此规则链中的策略 FORWARD链-----转发数据包时应用此规则链中的策略 PREROUTING 链----对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理) POSTROUTING 链----对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)
3.3、iptables语法格式

四、Firewalld的防火墙配置

防火墙状态查询命令

防火墙重载配置命令
重新加载Firewalld的配置
firewall-cmd -reload

查看区域内允许访问的服务：firewall-cmd --zone=区域 --list-services 设置某区域允许访问的服务：firewall-cmd --zone=区域 --add-service=服务 删除某区域中的某服务：firewall-cmd --zone=区域 --remove-srevice=服务 查询某区域是否开启了某服务：firewall-cmd -zone=区域 --query-service=服务

查看某区域内允许访问的所有端口号：firewall-cmd --zone=区域 --list-sport 启用某区域某端口的某协议：firewall-cmd --zone=区域 --add-port=端口号/协议 --timeout=5m 禁用某区域某端口的协议：firewall-cmd --zone=区域 --remove-port=端口号/协议 查看某区域中是否开启了某端口和协议：firewall-cmd --zone=区域 --query-port=端口号/协议

显示work区域内所阻塞的所有ICMP：firewall-cmd --zone=work --list-icmp-block 为work区域设置阻塞类型为echo-reply的ICMP：firewall-cmd --zone=work --add-icmp-block=echo-reply 删除work区域以阻塞的echo-reply的ICMP：firewall-cmd --zone=work --remove-icmp-block=echo-reply 查询work区域echo-request类型ICMP是否阻塞：firewall-cmd --zone=work --query-icmp-block=echo-reques

设置接口默认的区域：firewall-cmd --set-default-zone=区域 查看已**的所有区域：firewall-cmd --get-active-zones 为ens33接口绑定work区域：firewall-cmd --zone=work --add-interface-ens33 为work区域删除绑定的nes33接口：firewall-cmd --zone=work --remove-interface-ens33

总结
防火墙（friewalld）这里的字符界面修改配置命令非常多，但是只要找到规律其实是非常好记的。一般的，指明一个区域：–zone=区域名。；查看：–get；添加：–add；移除：–remove；查询：–query；永久性修改：–permanent；设置：–set等等，一系列通过组合而成。