firewalld
iptables
配置檔案
/usr/lib/firewalld/ 和 /etc/firewalld/
/etc/sysconfig/iptables
對規則的修改
不需要全部重新整理政策,不丢失現行連接配接
需要全部重新整理政策,丢失連接配接
防火牆類型
動态防火牆
靜态防火牆
-----------------------以上都是有關firewalld的基本概念-------------------------------
drop(丢棄)
任何接收的網絡資料包都被丢棄,沒有任何回複。僅能有發送出去的網絡連接配接
block(限制)
任何接收的網絡連接配接都被IPv4的icmp-host-prohibited資訊和IPv6的icmp6-adm-prohited資訊所拒絕
public(公共)
在公共區域内使用,不能相信網絡的其他計算機不會對甯的計算機造成危害,隻能接收經過選取的連接配接
external(外部)
特别是為路由器啟用了僞裝功能的外部網。您不能信任來自網絡的其他計算,不能相信他們不會對您的計算機造成危害,隻能接收經過選擇的連接配接
dmz(非軍事區)
用于您的非軍事區内的電腦,此區域内可公開通路,可以有限地進入您的内部網絡,僅僅接收經過選擇的連接配接
work(工作)
用于工作區。您可以基本相信網絡内的其他電腦不會危害您的電腦。僅僅接收過選擇的連接配接
home(家庭)
用于家庭網絡。您可以基本信任網絡内的其他計算機不會危害您的計算機。僅僅接收經過選擇的連接配接
internal(内部)
用于内部網絡。您可以基本上信任網絡内的其他計算機。僅僅接收經過限制的連接配接
trusted(信任)
可接收所有的網絡連接配接
interfaces(接口)網卡
與區域相關的網絡接口
sources(源位址)
與區域相關的源ip位址
services(服務)
允許通過區域的入戰服務
ports(端口)
允許通過區域的目标端口
protocols(協定)
目标端口的協定,tcp、udp
masquerade(僞裝)
指定是否啟用源網絡位址轉換(NAT)
forward-ports(轉發端口)
端口轉發規則(将發送給本地端口的流量映射到同一台或另一台主機上的其他端口上)
source-ports(源端口)
icmp-blocks(ICMP堵塞)
用于堵塞ICMP資訊
rich rules(福規則)
寫進階的防火牆規則