在 CentOS 7 中,引入了一個新的服務,Firewalld,下面一張圖,讓大家明确的了解 Firewall 與 iptables 之間的關系與差別。
安裝它,隻需
如果需要圖形界面的話,則再安裝
防火牆守護 firewalld 服務引入了一個信任級别的概念來管理與之相關聯的連接配接與接口。它支援 ipv4 與 ipv6,并支援網橋,采用 firewall-cmd (command) 或 firewall-config (gui) 來動态的管理 kernel netfilter 的臨時或永久的接口規則,并實時生效而無需重新開機服務。
Firewall 能将不同的網絡連接配接歸類到不同的信任級别,Zone 提供了以下幾個級别
drop: 丢棄所有進入的包,而不給出任何響應
block: 拒絕所有外部發起的連接配接,允許内部發起的連接配接
public: 允許指定的進入連接配接
external: 同上,對僞裝的進入連接配接,一般用于路由轉發
dmz: 允許受限制的進入連接配接
work: 允許受信任的計算機被限制的進入連接配接,類似 workgroup
home: 同上,類似 homegroup
internal: 同上,範圍針對所有網際網路使用者
trusted: 信任所有連接配接
具體的規則管理,可以使用 <code>firewall-cmd</code>,具體的使用方法可以
檢視運作狀态
檢視已被激活的 Zone 資訊
檢視指定接口的 Zone 資訊
檢視指定級别的接口
檢視指定級别的所有資訊,譬如 public
檢視所有級别被允許的資訊
檢視重新開機後所有 Zones 級别中被允許的服務,即永久放行的服務
添加某接口至某信任等級,譬如添加 eth0 至 public,再永久生效
設定 public 為預設的信任級别
a. 管理端口
列出 dmz 級别的被允許的進入端口
允許 tcp 端口 8080 至 dmz 級别
允許某範圍的 udp 端口至 public 級别,并永久生效
b. 管理服務
添加 smtp 服務至 work zone
移除 work zone 中的 smtp 服務
c. 配置 ip 位址僞裝
檢視
打開僞裝
關閉僞裝
d. 端口轉發
要打開端口轉發,則需要先
然後轉發 tcp 22 端口至 3753
轉發 22 端口資料至另一個 ip 的相同端口上
轉發 22 端口資料至另一 ip 的 2055 端口上
以上都是一些常用方法,更多進階方法,請參考:
<a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html" target="_blank">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html</a>
<a href="https://fedoraproject.org/wiki/FirewallD" target="_blank">https://fedoraproject.org/wiki/FirewallD</a>
本文轉自 h2appy 51CTO部落格,原文連結:http://blog.51cto.com/h2appy/1679439,如需轉載請自行聯系原作者
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)