firewall防火墙配置

获取所有zone

firewall-cmd --list-all-zones

重启服务

firewall-cmd --complete-reload

名词解释

在具体介绍zone之前学生先给大家介绍几个相关的名词，因为如果不理解这几个名词zone就无从入手。

• target：目标，这个前面学生也已经给大家介绍过了，可以理解为默认行为，有四个可选值：default、ACCEPT、%%REJECT%%、DROP，如果不设置默认为default

• service：这个在前面学生已经给大家解释过了，他表示一个服务

• port：端口，使用port可以不通过service而直接对端口进行设置

• interface：接口，可以理解为网卡

• source：源地址，可以是ip地址也可以是ip地址段

• icmp-block：icmp报文阻塞，可以按照icmp类型进行设置

• masquerade：ip地址伪装，也就是按照源网卡地址进行NAT转发

• forward-port：端口转发

• rule：自定义规则

哪个zone在起作用

我们知道每个zone就是一套规则集，但是有那么多zone，对于一个具体的请求来说应该使用哪个zone（哪套规则）来处理呢？这个问题至关重要，如果这点不弄明白其他的都是空中楼阁，即使规则设置的再好，不知道怎样用、在哪里用也不行。

对于一个接受到的请求具体使用哪个zone，firewalld是通过三种方法来判断的：

1、source，也就是源地址

2、interface，接收请求的网卡

3、firewalld.conf中配置的默认zone

这三个的优先级按顺序依次降低，也就是说如果按照source可以找到就不会再按interface去查找，如果前两个都找不到才会使用第三个，也就是学生在前面给大家讲过的在firewalld.conf中配置的默认zone。

好了，我们现在知道其原理了，下面学生就给大家介绍每一种方式所对应的配置方法。