CentOS7防火墙

一、CentOS7依然使用iptables的方法

CentOS7不再使用iptables，而是使用firewalld，若不想使用firewalld，可以停掉firewalld并且安装iptables-services包,具体操作方法如下：

systemctl stop firewalld

systemctl disable firewalld

yum -y install iptables-services

systemctl enable iptables

systemctl start iptables

二、firewalld的9个zone

1、drop(丢弃)：任何接收的网络数据包都被丢弃，没有任何回复，仅能有发送出去的网络连接；

2、block(限制)：任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm-prohibited信息所拒绝；

3、public(公共)在公共区域内使用，不能相信网络内的其他计算机不会对您的计算机造成危害，只能接收经过选取的连接；

4、extemal(外部)：特别是为路由器启用了伪装功能的外部网，您不能信任来自网络的其他计算机，不能相信他们不会对您的计算机造成危害，只能接收过选择的连接；

5、dmz(非军事区)：用于您的非军事区内的电脑，此区域可公开访问，可以有限地进入您的内部网络，仅仅接收经过选择的连接；

6、work(工作)：用于工作区，您可以基本相信网络内的其他计算机不会危害您的计算机，仅仅接收经过选择的连接；

7、home(家庭)：用于家庭网络，您可以基本相信网络内的其他计算机不会危害您的计算机，仅仅接收经过选择的连接；

8、internal(内部)：用于内部网络，您可以相信网络内的其他计算机不会威胁您的计算机，仅仅接收经过选择的连接；

9、trusted(信任)：可以接受所有的网络连接

指定其中一个区域为默认区域是可行的，当接口连接加入了NetworkManager，他们就被分配为默认区域，安装时，firewalld里的默认区域被设定为公共区域。

二、firewalld zone相关的命令用法

配置文件在/etc/firewalld

所有zone的配置文件在： /usr/lib/firewalld/zones/

设置默认的zone：

firewall-cmd --set-default-zone=work

查看网卡所在的zone：

firewall-cmd --get-zone-of-interface=eno16777728

给指定网卡设置zone：

firewall-cmd --zone=public --add-interface=lo

针对网卡更改zone：

firewall-cmd --zone=dmz --change-interface=lo

针对网卡删除zone：

firewall-cmd --zone=dmz --remove-interface=lo

查看所有网卡所在的zone：

firewall-cmd --get-active-zones

三、firewalld service相关的命令用法

在/usr/lib/firewalld/services/目录中，还保存了另外一类配置文件，每个文件对应一项具体的网络服务，如ssh服务等

与之对应的配置文件中记录了各项服务所使用的tcp/udp端口，在最新版本的firewalld中默认已经定义了70+种服务

zone就是调用了不同的service而实现了不同的效果

列出所有的service：

firewall-cmd --get-services

列出当前zone下加载的service：

firewall-cmd --list-services

查看某个zone下面的service：

firewall-cmd --zone=public --list-services

给一个zone下面添加一个service

firewall-cmd --zone=public --add-service=http

要想将添加的service保存到配置文件需要加上permanent

firewall-cmd --zone=public --add-service=http
--permanent

删除service

firewall-cmd --zone=public --remove-service=http
--permanent

四、防火墙规则编写

例如:将ssh端口号设置为2016添加到规则中去

firewall-cmd -add-port=2016/tcp --permanent

如果需要是规则保存到zone配置文件，则需要加参数--permanent

防火墙配置文件也可以手动修改，修改后记得重载，重载的命令：

firewall-cmd --reload

重载加载防火墙并不会中断用户连接，也可以彻底加载，这时候会终端用户连接，也会丢弃状态信息

firewall-cmd --complete-reload

添加一个端口范围：

firewall-cmd -add-port=2000-4000/tcp

针对某个zone添加端口：

firewall-cmd --permanent --zone=home --add-port=443/tcp

启用端口转发，例如把22端口转发到127.0.0.2

firewall-cmd --permanent --zone=home --add-forward-port=port=22:proto=tcp:toaddr=127.0.0.2

五、firewalld的配置文件

两个路径/etc/firewalld/和/usr/lib/firewalld/

系统使用的是/etc/firewalld下面的配置文件

在/etc/firewalld/zones下面只有一个public.xml，如果给另外一个zone做一些改动，并永久保存，那么会自动生成对应的配置文件

比如给work zone增加一个端口：

firewall-cmd --permanent --zone=work --add-port=1000/tcp

此时就会生成一个work.xml配置文件

例如：

修改ftp的端口，默认ftp端口是21，改成1121

cp /usr/lib/firewalld/service/ftp.xml /etc/firewalld/services

把21改为1121

vim /etc/firewalld/services/ftp.xml

work默认为zone，所以要编辑啊work.xml增加一行：

vim /etc/firewalld/zones/work.xml加入：

<service name="ftp"/>

重新加载

firewall-cmd --reload