CentOS 7 防火墙配置指令及配置实例详解
一、 CentOS 7 防火墙简介
centos7 的防火墙设置由原来的 iptables 改版为 Firewalld。其中发生了两大变化,其一是:
支持动态更新,不用重启服务;第二个就是加入了防火墙的“zone”概念。
哪个区域<zone>可用?
由 firewalld 提供的区域按照从不信任到信任的顺序排序。
丢弃(drop):任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
阻塞(block):任何进入的网络连接都被拒绝,并返回 IPv4 的 icmp-host-prohibited 报
文或者 IPv6 的 icmp6-adm-prohibited 报文。只允许由该系统初始化的网络连接。
公开(public):用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计
算机。只允许选中的连接接入。
外部(external):用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且
可能伤害你的计算机。只允许选中的连接接入。
隔离区(dmz):用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。
工作(work):用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中
的连接。
家庭(family):用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被
选中的连接。
内部(internal):用在内部网络。信任网络中的大多数计算机不会影响你的计算机。只接受被
选中的连接。
受信任的(trusted):允许所有网络连接。
我应该选用哪个区域?
例如,公共的 WIFI 连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你
使用的网络最符合的区域进行选择。
二、 防火墙配置指令详解
Firewalld 配置工具有图形界面工具和命令行工具:
图形界面工具:# firewall-config
命令行工具:# firewall-cmd
对防火墙的配置在 root 模式下进行,进入 root 模式:$ su