从RHEL7开始,firewalld防火墙正式取代了iptables防火墙。
iptables
防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。
基本的命令参数
iptables 是一款基于命令行的防火墙策略管理工具。
- -P 设置默认策略
- -F 情况规则链
- -L 查看规则链
- -A 在规则链的末尾加入新规则
- -I num 在规则链的头部加入新规则
- -s 匹配来源地址 IP/MASK
- -d 匹配目标地址
- -i 网卡名称 匹配从这块网卡流入的数据
- -o 网卡名称 匹配从这块网卡流出的数据
- -p 匹配协议、tcp、udp、ICMP
- --dport num 匹配目标端口号
- --sport num 匹配来源端口号
firewalld
firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。
查看firewalld服务当前所使用的区域
[root@linuxprobe ~]# firewall-cmd --get-default-zone
public
查询指定网卡在firewalld服务中绑定的区域
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=ens160
public
启动和关闭firewalld防火墙服务的应急状况模式
如果想在1s的时间内阻断一切网络连接,可以使用panic紧急模式
- --panic-on参数会立即切断一切网络连接
- --panic-off会恢复网络连接
查询SSH和HTTPS协议的流量是否允许放行
[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success
把HTTP协议的流量设置为永久拒绝,并立即生效
