Linux 防火墙配置（iptables和firewalld）

如何实现永久配置

--permanent  表示此配置加入到永久生效（默认临时生效）

或者在配置结束后执行此命令 firewall-cmd --runtime-to-permanent将临时更改为永久

永久配置完成后需要立即同步 firewall-cmd --reload 立即同步永久配置

查看默认区域并进行更改

firewall-cmd --get-zones                            查询可用的区域

firewall-cmd --get-default-zone                  查询默认区域的名称

firewall-cmd --get-active-zone                    显示当前正在使用的区域与网卡名称

firewall-cmd --set-default-zone=trusted     设置默认区域为trusted区域

将网卡/子网与区域绑定（允许/拒绝此子网通过）

firewall-cmd --zone=drop --add-source=192.168.20.0/24 将此子网与drop区域绑定（拒绝从此子网发来的流量）

firewall-cmd --zone=trusted --add-interface=ens160   将此网卡与trusted区域绑定（允许从此网卡发来的流量）

   --remove-source  删除子网与区域的绑定

   --change-source  更改子网与区域的绑定

配置区域允许/拒绝的协议/端口号

firewall-cmd --list-all                   显示当前区域的端口号、网卡、服务等信息

                   --list-all-zones         显示所有区域的

firewall-cmd --get-services        列举出来当前所有被允许的协议

firewall-cmd --zone=public --add-service http            配置public区域允许通过http协议

                                           --remove-service ssh      拒绝通过ssh协议

                                           --add-port=123/tcp          允许通过tcp的123端口

                                           --remove-port=123/tcp    拒绝通过tcp的123端口

cat /etc/services                                保存的协议类型和端口号

配置协议端口转换（端口映射）

firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.1

将192.168.10.1主机的tcp 22端口号转为888端口号（public区域接收ssh）

  --remove-forward-port 删除此端口映射

其它配置

--panic-on  紧急模式，切断一切的网络连接（特殊情况去使用）

--panic-off  恢复一切的网络连接

配置富规则rich（更复杂、更详细的防火墙策略配置）

优先级最高（高于默认规则，两个并不冲突）

能够根据源目地址、端口号来限制用户

firewall-cmd  --zone=public --list-rich-rule    显示public区域已经配置的富规则

firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.100.1/24" service name="ssh" accept"   允许来自192.168.100.1的主机访问22端口

 --add-rich-rule                 添加一个富规则

 --remove-rich-rule          删除一个富规则

 accept/reject                    允许/拒绝访问