firewalld
iptables
配置文件
/usr/lib/firewalld/ 和 /etc/firewalld/
/etc/sysconfig/iptables
对规则的修改
不需要全部刷新策略,不丢失现行连接
需要全部刷新策略,丢失连接
防火墙类型
动态防火墙
静态防火墙
-----------------------以上都是有关firewalld的基本概念-------------------------------
drop(丢弃)
任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接
block(限制)
任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohited信息所拒绝
public(公共)
在公共区域内使用,不能相信网络的其他计算机不会对宁的计算机造成危害,只能接收经过选取的连接
external(外部)
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信他们不会对您的计算机造成危害,只能接收经过选择的连接
dmz(非军事区)
用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收经过选择的连接
work(工作)
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收过选择的连接
home(家庭)
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接
internal(内部)
用于内部网络。您可以基本上信任网络内的其他计算机。仅仅接收经过限制的连接
trusted(信任)
可接收所有的网络连接
interfaces(接口)网卡
与区域相关的网络接口
sources(源地址)
与区域相关的源ip地址
services(服务)
允许通过区域的入战服务
ports(端口)
允许通过区域的目标端口
protocols(协议)
目标端口的协议,tcp、udp
masquerade(伪装)
指定是否启用源网络地址转换(NAT)
forward-ports(转发端口)
端口转发规则(将发送给本地端口的流量映射到同一台或另一台主机上的其他端口上)
source-ports(源端口)
icmp-blocks(ICMP堵塞)
用于堵塞ICMP信息
rich rules(福规则)
写高级的防火墙规则