firewall防火墙

管理防火墙

        防火墙根据技术的防范方式和侧重点的不同而分为多种，但总体来说分为包过滤防火墙和代理服务器两种类型

       动态防火墙后台此程序firewalld提供了一个动态管理的防火墙，用以支持网络“zones”,已分配对一个网络及其相关链接和界面一定程度的新人。它具备对ipv4和ipv6防火墙设置的支持。它支持以太网，并且有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。

     系统提供图形化配置工具firewall-config/system-config-firewall,提供命令行客户端firewall-cmd,用于配置firewalld永久性或非永久性运行时间的改变：用iptables工具与执行数据包晒选的内核中的netfilter通信。 

     firewalld 和 iptables server 之间最本质的不同是：iptables server在/etc/sysconfig/iptables中存储配置，而ffirewalld将配置存储在/user/lib/firewalld/和/etc/firewalld/中的各种xml文件里；

1.防火墙的图形界面工具：输入 firewall-config 来启用

注意：以上页面右上角默认是临时设置，想要永久设置，选择permanent;

2.客户端firewall-cmd 启用或者关闭防火墙；

a. 在使用命令前，先启动防火墙，将防火墙设置为开机自启模式；

b.获取防火墙的状态；

  ###防火墙处于运行状态；

c.获取防火墙的当前使用区域以及使用的物理网卡；

d.查看防火墙当前使用的默认区域；

e.获取防火墙支持的区域；

f.查看public区域的详细信息；

g.查看防火墙支持那些服务；

h.firewall-cmd --list-all-zones   ###查看防火墙所有区域的详细信息；

i.firewall-cmd --set-def ault-zone=dmz    ####设置防火墙的默认区域为dmz，查看如下；

j.防火墙特定区域添加默认访问ip与改变物理网卡；

firewall-cmd  --permanent --zone=internal(区域) --add-source=192.168.88.134  

##给特定区域添加用户可以使用该区域的服务；

可以看见我们添加成功，但是现在我们查看不出现默认用户需要重新加载才能同步出现；

firewall-cmd  --permanent --zone=internal(区域) --remove-source=192.168.88.134 

####删除指定区域的允许访问的用户

删除完的命令不能马上生效，需要重新加载；

firewall-cmd --permanent --zone=internal(区域)  --add-interface=eth0

####给特定区域永久增加一块物理网卡eth1

firewall-cmd --permanent --zone=internal(区域)  --change-interface=eth1

####将物理网卡eth1改变到某个区域

firewall-cmd --permanent --zone=internal(区域)  --add-interface=eth0

####删除特定区域的物理网卡

k.给特定区域永久添加，删除服务与改变服务的端口

firewall-cmd   --permanent  --zone=public  --add-server=http

####给公共区域永久添加http服务

我已经安装http服务，而且public区域里面没有http服务；现在开始添加：

 firewall-cmd   --permanent  --zone=public  --remove-server=http

####永久删除公共区域的http服务

firewall-cmd   --zone=public  --list-ports    ####列出public区域的所有端口；

如果该区域启用端口，则显示使用的端口，否则没有返回信息

我们将http服务添加到public区域的防火墙下；http服务默认的端口是80端口，我们可以进行访问：

想要改成8080端口；需要在/usr/lib/firewalld/server/目录下http.xml文件里面将80端口改成8080端口；

虽然我们将http服务的80端口改成8080端口，但是我们的防火墙还没有设置8080端口，所以不能访问浏览器；

firewall-cmd --permanent --zone=public --add-port=8080/tcp

####允许公共区域的服务通过tcp协议的8080端访问

firewall-cmd --permanent --zone=public --remove-port=8080/tcp

####永久删除public区域tcp协议的8080端口

firewall-cmd   --reload    ####重新加载防火墙服务，不断开正在工作的任务

firewall-cmd   --complete-reload    ###重新加载防火墙服务，断开正在工作的任务