記住:
LINUX一切是文件
配置服務應該修改配置文件
如果讓服務生效就是重啓服務
相較於傳統的防火牆管理配置工具,firewalld 支持動態更新技術並加入了區域(zone)
的概念。簡單來說,區域就是firewalld 預先準備了幾套防火牆策略集合(策略模板),用戶可以根據生產場景的不同而選擇合適的策略集合,從而實現防火牆策略之間的快速切換。
下面練習設定防火牆策略規則:在家中允許訪問所有服務;在辦公室內僅允許訪問文件共享服務;在咖啡廳僅允許上網瀏覽。
RH7 nmtui 對應RH56時的 stup
nm-connection-editor
二、防火牆
相當於家裏的大門,不是爲了防止內部的人出去,而是爲了防止外面的人進來。
INPUT
OUTPUT
FORWARD
防火牆規則 :從上往下,越上的優先級越高,一但匹配後就不往下匹配了
規則匹配的方式有2種,其一爲全允許(寫拒絕的條目) 其二爲全拒絕(寫允許的條目)。
學習試驗用第一種
工作使用第二種
iptables是一個功能強大的防火牆,配置比較麻煩,需要很多命令
7.3之後就沒有了
iptables -P INPUT DROP
iptables -I INPUT -P icmp -j
DROP 丟包,對方不知道, 而REJECT,對方能知道拒絕。
iptables -I INPUT -P icmp -j ACCEPT
7版本只能設置DROP不能設置REJECT模式
zone 區域 模板
例如一臺筆記本
RUNTIME 默認防火牆策略,可立即生效,但重啓失效
permanent 當前不生效,重啓後永久生效
不想重啓 --reload 也可以讓參數配置後生效
firewall-cmd --zone=public --query-sevice =ssh
查詢此服務是否被放行
如果沒有放行
可以將服務加入到啓用項中,再查詢發現已經被放行