從RHEL7開始，firewalld防火墻正式取代了iptables防火墻。

iptables

防火墻會按照從上到下的順序來讀取配置的策略規(guī)則，在找到匹配項(xiàng)后就立即結(jié)束匹配工作并去執(zhí)行匹配項(xiàng)中定義的行為。如果在讀取完所有的策略規(guī)則之后沒有匹配項(xiàng)，就去執(zhí)行默認(rèn)的策略。

基本的命令參數(shù)

iptables 是一款基于命令行的防火墻策略管理工具。

• -P 設(shè)置默認(rèn)策略
• -F 情況規(guī)則鏈
• -L 查看規(guī)則鏈
• -A 在規(guī)則鏈的末尾加入新規(guī)則
• -I num 在規(guī)則鏈的頭部加入新規(guī)則
• -s 匹配來源地址 IP/MASK
• -d 匹配目標(biāo)地址
• -i 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流入的數(shù)據(jù)
• -o 網(wǎng)卡名稱 匹配從這塊網(wǎng)卡流出的數(shù)據(jù)
• -p 匹配協(xié)議、tcp、udp、ICMP
• --dport num 匹配目標(biāo)端口號
• --sport num 匹配來源端口號

firewalld

firewall-cmd是firewalld防火墻配置管理工具的CLI(命令行界面)版本。
查看firewalld服務(wù)當(dāng)前所使用的區(qū)域

[root@linuxprobe ~]# firewall-cmd --get-default-zone
public

查詢指定網(wǎng)卡在firewalld服務(wù)中綁定的區(qū)域

[root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=ens160 
public

啟動和關(guān)閉firewalld防火墻服務(wù)的應(yīng)急狀況模式
如果想在1s的時(shí)間內(nèi)阻斷一切網(wǎng)絡(luò)連接，可以使用panic緊急模式

• --panic-on參數(shù)會立即切斷一切網(wǎng)絡(luò)連接
• --panic-off會恢復(fù)網(wǎng)絡(luò)連接
  查詢SSH和HTTPS協(xié)議的流量是否允許放行

[root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
success

把HTTP協(xié)議的流量設(shè)置為永久拒絕，并立即生效