(1) Что такое firewalld?
firewalld является определением сетевых соединений и интерфейс уровня безопасности динамического инструмента управления брандмауэром обеспечивает поддержку сетевой зону / брандмауэра (зоны).
(2) отношения между .firewalld и IPTables
firewalld-службы и обеспечивает демон, а также командной строки и графический инструмент для настройки интерфейса, он только частично заменен IPTables-Service, основной или используемый в качестве правила брандмауэра Iptables управления на входе. firewalld сами по себе не имеют функции межсетевого экрана, но IPTables и должны быть реализовано с помощью Netfilter ядра, IPTables и что firewalld, они используются для поддержания роли правил, в то время как реальная работа заключается в использовании правила ядра Netfilter, но firewalld и Iptables структуры и как использовать различный Бэйл.
(3) Какова область (зона)?
В firewalld установки вызова правила фильтрации в зоне. Зона представляет собой набор правил фильтрации, пакет должен пройти через зону на входящий или исходящий. firewalld карта , соответствующая другой области (зоны), зоны общей 9, соответственно, блок, ДЗ по умолчанию, падение внешнего, дома , внутренний, общественных, доверенный, работа. Различия между различными регионами поведения по умолчанию заключается в обработке их различные пакеты данных, на основе имени региона мы можем интуитивно знать особенности региона, в системах CentOS7, область по умолчанию устанавливается как общедоступный.
(4) Область (зона) Описание
падение (отбрасывания): любой не получил сетевые пакеты отбрасываются, никакого ответа. Там отправляются только к сетевому соединению.
Блочные (ограничения): присланное сетевое соединение отвергаются ICMP-хост-запрещенной информации IPv4 и icmp6-ADM Недопустимости информации о IPv6.
общественности (Public): использовать в общественных местах, не могут поверить , что другие компьютеры в сети не причинит вреда вашему компьютеру, выберите соединение можно получить только через.
внешний (внешний): специально для маршрутизатора с поддержкой функции экстранет камуфляжа. Вы не можете доверять другие компьютеры из сети, не может поверить, что они не причиняют вред вашего компьютера, может получить только через выбранное соединение.
DMZ (демилитаризованная зона): компьютер для демилитаризованной зоны, общедоступная в этой области может быть ограничен доступом к внутренней сети, получает только выбранное соединение.
(работа): рабочая зона. Вы можете базисное доверие другие компьютеры в сети не нанесут вред вашему компьютеру. После получения только выбранное соединение.
дома (дома): для домашних сетей. Вы можете в основном доверять другим компьютерам в сети не нанесут вред вашему компьютеру. После получения только выбранное соединение.
внутренний (внутренний): для внутренней сети. Вы можете в основном доверять другим компьютерам в сети не будет угрожать вашему компьютеру. После выбора только принимает соединения.
Trusted (доверенный): Приемлемо все сетевые соединения.
9 или больше областей обозначена область область по умолчанию. При добавлении к интерфейсу NetworkManager, они назначены зоны по умолчанию. При установке firewalld в зоне по умолчанию для общественности.
(5) Предварительно установленный профиль службы
В / USR / Lib / firewalld / услуги / каталог содержит число заканчивающееся с файлами конфигурации .xml, каждый из которых соответствует службы, такие как ssh.xml. Эти профили хранятся в службе краткое описание, длинное описание, номер порта и порта протокола.
[корень @ youxi1 ~] # кошка /usr/lib/firewalld/services/ssh.xml <? XML версия = "1,0" кодировка = "UTF-8"?> <сервис> <короткий> SSH </ короткая> <описание > Secure Shell (SSH) представляет собой протокол для входа и выполнения команд на удаленных машинах. Она обеспечивает безопасное зашифрованное соединение. Если вы планируете доступ к вашей машине удалено через SSH через интерфейс файервола, включите эту опцию. Вам нужен пакет OpenSSH-сервер , установленный для этого параметра , чтобы быть полезным. </ Описание> <порт протокола = «TCP» порт = «22» /> </ услуги>
Когда услуга предоставляется по умолчанию не достаточно или нужен другой порт для службы, мы должны обслуживать конфигурационный файл в / и т.д. / firewalld / услуги / каталог.
/ Etc / firewalld / магазин модифицированная конфигурация (первый поиск, найти не удается найти конфигурацию по умолчанию)
/ Usr Библиотека / firewalld конфигурации / / по умолчанию
Например: SSH услуги порта был изменен на 23591, вам необходимо скопировать /usr/libfirewalld/ssh.xml файлы в / и т.д. / firewalld / услуги / каталога, а затем в связи с номером порта в файле.
сервисные профили в более эффективном порт управления, каждый профиль службы соответствует сетевому приложению (сеть может быть вне сети).
(6) .firewalld два перезагрузки
брандмауэр-CMD --reload отключен без
брандмауэр-CMD --complete-перезарядка нужно отключить, подобно перезапустить службу