ConfiguringthenetworkfirewallwithFirewallD
如今redhat linux 下载,我们来学习怎么使用FirewallD配置网路防火墙。从CentOS7开始,FirewallD代替了iptables作为默认的防火墙配置工具(尽管iptables是FirewallD底层实现的工具)。基于那个区域和服务的配置,我们可以通过控制流量是容许还是不被准许来提高系统的安全性。
Gettingready
本文须要一个CentOs系统,带有一个工作网路联接。同样centos 6.4关闭防火墙步骤,我们须要管理员权限登入系统。
Howtodoit...
下边的命令结合给你们展示怎样实现一些基础的配置:
firewall-cmd --get-active-zones
firewall-cmd --zone=public --change-interface=enp0s3
vi /etc/sysconfig/network-scripts/ifcfg-enp0s3 ZONE="public"
firewall-cmd --zone=public --list-all
firewall-cmd --zone=public --permanent --add-service=http
firewall-cmd --zone=public --permanent --add-port=8080/tcp
firewall-cmd --zone=public --permanent --remove-service=http firewall-cmd --zone=public --permanent --remove- port=8080/tcp
firewall-cmd --reload
Howitworks...
默认的FirewallD早已有了一些预配置区域可用centos 6.4关闭防火墙步骤,比如,publiclinux vi 命令,dmz,work,hone以及trusted。不同的插口可以属于不同的区域,应用不同的策略。要想查看存在的区域以及配置,我们可以使用firewall-cmd带着--list-all-zones命令:
firewall-cmd --list-all-zones
对防火墙规则所做的大多数更新将立刻生效,但都是临时的。我们早些时侯见到了这一点,当时我们必须更新设备的配置文件,并重新启动服务,使区域修改成为永久性的。这使我们可以在完成配置之前尝试不同的设置。配置服务和端口时,使用--永久标志使修改成为永久性。假如不提供标志,修改将立刻生效,但只是临时的(不会在系统重新启动或重新启动防火墙服务之间保持不存在):
firewall-cmd --zone=public --permanent --remove-service=http
命名服务是特定网路服务通用的预配置端口设置,可为我们提供便利。诸如,SSH通讯一般由发送到端口22的TCP数据包组成,因而ssh服务反映了这一点。在示例中,我们使用了http服务,该服务配置了端口80,这是用于为网页提供服务的标准端口。其实直接分配端口具有相同的疗效,但服务提供了便捷、可读的名称,应尽可能使用。若要获取所有可用服务的列表,请使用-get服务:
firewall-cmd --get-services
firewall-cmdisacommand-lineclientforconfigur
NOTE
命名服务定义为/usr/lib/firewalld/services下的XML文件。假如要容许个别通讯访问,但未定义服务,而且为了易于阅读而倾向于使用服务而不是端口和合同来执行配置,则可以在此目录中创建新的服务文件。复制现有文件作为起点,并按照须要对其进行更改。
Seealso
FormoreinformationonworkingwithFirewallD,refertothefollowingresources: