RHEL 7中防火墙的配置和使用方法

RHEL7 中使用了firewalld代替了原来的iptables，操作设置和原来有点不同：

查看防火墙状态：systemctl status firewalld

启动防火墙：systemctl start firewalld

停止防火墙：systemctl stop firewalld

防火墙中的一切都与一个或者多个区域相关联，下面对各个区进行说明：

Zone         Description 
-----------------------------------------------------
drop (immutable)     Deny all incoming connections, outgoing ones are accepted. 
block (immutable)    Deny all incoming connections, with ICMP host prohibited messages issued. 
trusted (immutable)    Allow all network connections 
public       		Public areas, do not trust other computers
external       		For computers with masquerading enabled, protecting a local network 
dmz        		For computers publicly accessible with restricted access. 
work        		For trusted work areas 
home        		For trusted home network connections 
internal       		For internal network, restrict incoming connections

drop（丢弃）
任何接收的网络数据包都被丢弃，没有任何回复。仅能有发送出去的网络连接。

block（限制）
任何接收的网络连接都被 IPv4 的 icmp-host-prohibited 信息和 IPv6 的 icmp6-adm-prohibited 信息所拒绝。

public（公共）
在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接。

external（外部）
特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算，不能相信它们不会对您的计算机造成危害，只能接收经过选择的连接。

dmz（非军事区）
用于您的非军事区内的电脑，此区域内可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接。

work（工作）
用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接。

home（家庭）
用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择的连接。

internal（内部）
用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选择的连接。

trusted（信任）
可接受所有的网络连接。

操作防火墙的一些常用命令：

--显示防火墙状态

[root@localhost zones]# firewall-cmd --state
running

--列出当前有几个zone
[root@localhost zones]# firewall-cmd --get-zones
block dmz drop external home internal public trusted work

--取得当前活动的zones
[root@localhost zones]# firewall-cmd --get-active-zones
public
  interfaces: ens32 veth4103622

--取得默认的zone
[root@localhost zones]# firewall-cmd --get-default-zone
public

--取得当前支持service
[root@localhost zones]# firewall-cmd --get-service          
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt MySQL nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

--检查下一次重载后将激活的服务。
[root@localhost zones]# firewall-cmd --get-service --permanent
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https

--列出zone public 端口
[root@localhost zones]# firewall-cmd --zone=public --list-ports

--列出zone public当前设置
[root@localhost zones]# firewall-cmd --zone=public --list-all
public (default, active)
  interfaces: eno16777736
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:
--增加zone public开放http service
[root@localhost zones]# firewall-cmd --zone=public --add-service=http
success
[root@localhost zones]# firewall-cmd --permanent --zone=internal --add-service=http
success

--重新加载配置
[root@localhost zones]# firewall-cmd --reload
success

--增加zone internal开放443/tcp协议端口
[root@localhost zones]# firewall-cmd --zone=internal --add-port=443/tcp
success

--列出zone internal的所有service
[root@localhost zones]# firewall-cmd --zone=internal --list-services
dhcpv6-client ipp-client mdns samba-client ssh

设置黑/白名单
--增加172.28.129.0/24网段到zone trusted（信任）
[root@localhost zones]# firewall-cmd --permanent --zone=trusted --add-source=172.28.129.0/24
success

--列出zone truste的白名单
[root@localhost zones]# firewall-cmd --permanent --zone=trusted --list-sources
172.28.129.0/24

--活动的zone
[root@localhost zones]# firewall-cmd --get-active-zones
public
  interfaces: eno16777736

--添加zone truste后重新加载，然后查看--get-active-zones
[root@localhost zones]# firewall-cmd --reload         
success
[root@localhost zones]# firewall-cmd --get-active-zones
public
  interfaces: ens32 veth4103622
trusted
  sources: 172.28.129.0/24

--列出zone drop所有规则
[root@localhost zones]# firewall-cmd --zone=drop --list-all
drop
  interfaces:
  sources:
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

--添加172.28.13.0/24到zone drop
[root@localhost zones]# firewall-cmd --permanent --zone=drop --add-source=172.28.13.0/24
success

--添加后需要重新加载
[root@localhost zones]# firewall-cmd --reload
success

[root@localhost zones]# firewall-cmd --zone=drop --list-all
drop
  interfaces:
  sources: 172.28.13.0/24
  services:
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

[root@localhost zones]# firewall-cmd --reload
success

--从zone drop中删除172.28.13.0/24
[root@localhost zones]# firewall-cmd --permanent --zone=drop --remove-source=172.28.13.0/24
success

--查看所有的zones规则
[root@localhost ~]# firewall-cmd --list-all-zones

最后再提几点：

1、很多时候我们需要开放端口或开放某IP访问权限，我们需要先查看我们当前默认的zone是哪个，然后在对应的zone里面添加port和source，这样对外才会有作用。

比如我当前的默认zone是public，我需要开放80端口对外访问，则执行如下命令：

[root@localhost zones]# firewall-cmd --zone=public --permanent --add-port=80/tcp
success
[root@localhost zones]# firewall-cmd --reload
success

2、使用命令的时候加上 --permanent 是永久生效的意思，在重启防火墙服务后依然生效。否则，只对重启服务之前有效。

3、我们执行的命令，结果其实都体现在具体的配置文件中，其实我们可以直接修改对应的配置文件即可。

以public zone为例，对应的配置文件是/etc/firewalld/zones/public.xml，像我们刚刚添加80端口后，体现在public.xml 中的内容为：

[root@localhost zones]# cat public.xml
<?xml version="1.0" encoding="utf-8"?>
<zone>
 <short>Public</short>
 <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
 <service name="dhcpv6-client"/>
 <service name="ssh"/>
 <port protocol="tcp" port="80"/>
</zone>

这个大家可自己再进一步了解下配置文件的结构后，进行自行配置，不过记得要在配置后 --reload 或重启 firewall 服务。

以上就是小编为大家带来的RHEL 7中防火墙的配置和使用方法全部内容了，希望大家多多支持~

# rhel7  # 防火墙配置  # CentOS7下Firewall防火墙配置用法详解(推荐)  # CentOS7中防火墙的一些常用配置介绍  # 您的  # 配置文件  # 您可以  # 重启  # 会对  # 加载  # 体现在  # 造成危害  # 会有  # 多个  # 没有任何  # 一切都  # 要在  # 我们可以  # 能有  # 有几个  # 相关联  # 几点  # 为例  # 后将 

相关文章： 微信网站制作公司有哪些,民生银行办理公司开户怎么在微信网页上查询进度？  如何在局域网内绑定自建网站域名？  mc皮肤壁纸制作器,苹果平板怎么设置自己想要的壁纸我的世界？  专业的网站制作设计是什么,如何制作一个企业网站，建设网站的基本步骤有哪些？  浙江网站制作公司有哪些,浙江栢塑信息技术有限公司定制网站做的怎么样？  较简单的网站制作软件有哪些,手机版网页制作用什么软件？  招商网站制作流程,网站招商广告语？  建站之星如何修改网站生成路径？  已有域名和空间，如何快速搭建网站？  建站之星免费模板：自助建站系统与智能响应式一键生成  专业网站建设制作报价,网页设计制作要考什么证？  专业型网站制作公司有哪些,我设计专业的，谁给推荐几个设计师兼职类的网站？  音响网站制作视频教程,隆霸音响官方网站？  网站制作公司哪里好做,成都网站制作公司哪家做得比较好，更正规？  佛山企业网站制作公司有哪些,沟通100网上服务官网？  岳西云建站教程与模板下载_一站式快速建站系统操作指南  建站之星会员如何解锁更多建站功能？  购物网站制作费用多少,开办网上购物网站，需要办理哪些手续？  中山网站制作网页,中山新生登记系统登记流程？  高防服务器：AI智能防御DDoS攻击与数据安全保障  智能起名网站制作软件有哪些,制作logo的软件？  行程制作网站有哪些,第三方机票电子行程单怎么开？  宝塔建站助手安装配置与建站模板使用全流程解析  Python文件管理规范_工程实践说明【指导】  简历在线制作网站免费,免费下载个人简历的网站是哪些？  如何配置支付宝与微信支付功能？  如何通过FTP空间快速搭建安全高效网站？  如何用低价快速搭建高质量网站？  如何用PHP工具快速搭建高效网站？  金*站制作公司有哪些,金华教育集团官网？  如何将凡科建站内容保存为本地文件？  西安市网站制作公司,哪个相亲网站比较好?西安比较好的相亲网站？  企业网站制作费用多少,企业网站空间一般需要多大，费用是多少？  如何快速使用云服务器搭建个人网站？  建站之星代理平台如何选择最佳方案？  杭州银行网站设计制作流程,杭州银行怎么开通认证方式？  武清网站制作公司,天津武清个人营业执照注销查询系统网站？  如何在建站之星绑定自定义域名？  如何快速重置建站主机并恢复默认配置？  如何选择服务器才能高效搭建专属网站？  大连网站制作公司哪家好一点,大连买房网站哪个好？  怎么制作网站设计模板图片,有电商商品详情页面的免费模板素材网站推荐吗？  长沙企业网站制作哪家好,长沙水业集团官方网站？  零基础网站服务器架设实战：轻量应用与域名解析配置指南  免费网站制作模板下载,除了易企秀之外还有什么H5平台可以制作H5长页面，最好是免费的？  北京企业网站设计制作公司,北京铁路集团官方网站？  活动邀请函制作网站有哪些,活动邀请函文案？  广德云建站网站建设方案与建站流程优化指南  韩国网站服务器搭建指南：VPS选购、域名解析与DNS配置推荐  如何在Mac上搭建Golang开发环境_使用Homebrew安装和管理Go版本