Linux下的firewalld防火墙管理

1.firewalld介绍
动态防火墙后台程序 firewalld 提供了一个 动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接
和界面一定程度的信任。它具备对 IP v4 和 IP v6 防火墙设置的支持。
它支持以太网桥 , 并有分离运行时间和永久性配置选择，它还具备一个通向服务或者应用程序以直接增加防火墙规则
的接口
系统提供了图像化的配置工具 firewall-config 、 system-config-firewall, 提供命令行客户端 firewall-cmd, 用于配
置 firewalld 永久性或非永久性运行时间的改变 : 英语培训费用它依次用iptables 工具与执行数据包筛选的内核中的 Netfilter 通信
2.firewalld和 iptables service
firewalld 和 iptables service 之间最本质的不同是 :

• iptables service 在 /etc/sysconfig/iptables 中储存配 置
• firewalld 将配置储存在 /usr/lib/firewalld/ 和 /etc/firewalld/ 中的各种 XML 文件里 .

当 firewalld 在Red Hat Enterprise Linux上安装失败时， /etc/sysconfig/iptables 文件就不存在

3,firewalld域
基于用户对网络中设备和交通所给与的信任程度，防火墙可以用来将网络分割成不同的区域

1.命令管理firewalld
下载并开启服务关闭iptables

打开图形管理工具

firewalld管理命令

2.修改默认域
安装apache并修改默认发布页

查看默认域：

测试：

修改默认的域为trusted

再次测试：

3.对指定ip或网段的控制
添加一块新的网卡，并且给其配ip

临时添加主机域，重启之后会失效：

永久生效需要添加参数–permanentt

重启之后不消失

从trusted域移除

4.用文件的方式添加

5.修改端口

6.移除防火墙的服务
暂时性移除

永久性移除

测试：

添加direct rules 使62这台主机可以访问80端口 -p 协议 –dport 目的端口 -s 来源 -j 动作

查看direct rules

测试：
在62这台主机可以访问172.25.254.105

其他主机不能访问

当别的主机通过22端口连接105时会转发至205这台主机

测试：

取消地址转发：

在desktop中：
添加两块网卡 分别修改ip为 eth0 172.25.4.105 eth1 172.25.254.105
使内核让两块网卡可以通信

在server中：
修改ip为172.25.4.205 GATEWAY=172.25.4.105
再测试：ping 172.25.254.62 成功