Firewalld防火墙规则

允许哪些服务端口被放行 以及哪些服务端口被阻拦
如何进行阻拦的一组网络安全规则
支持ipv4和ipv6，分为直接规则和富规则两种

一、配置(防火墙)firewall

1、添加防火墙的直接规则

查看防火墙放行的服务
root@localhost ~]# firewall-cmd  --list-all

在防火墙中放行某服务，并设为永久生效
root@localhost ~]# firewall-cmd  --permanent --add-service=&协议名
例:
root@localhost ~]# firewall-cmd  --permanent --add-service=ftp

刷新防火墙配置
root@localhost ~]# firewall-cmd  --reload 

删除防火墙规则
root@localhost ~]# firewall-cmd  --permanent --remove-service=ftp

刷新防火墙配置
root@localhost ~]# firewall-cmd  --reload 

2、添加防火墙 通行(accept) 的富规则

添加富规则	 	

这个IP里的ftp服务永久通行
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept’

刷新防火墙配置	
root@localhost ~]# firewall-cmd  --reload 

删除富规则
root@localhost ~]# firewall-cmd  --permanent --remove-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ftp accept’

刷新防火墙配置			不管是添加还是删除都要刷新防火墙配置
root@localhost ~]# firewall-cmd  --reload 

3、添加端口到防火墙中

	这个IP里的80端口 永久通行
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.2.0/24 port port=80 protocol=tcp accept’

二、配置防火墙的 攻击域(拒绝访问) reject

1、笼统的设置攻击域

	这个网段的所有服务都访问不了
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.2.0/24 reject’ 

root@localhost ~]# firewall-cmd  --reload 

2、为具体的服务 设置一个攻击域

	把这个IP的ssh服务拒绝访问
root@localhost ~]# firewall-cmd  --permanent --add-rich-rule='rule family=ipv4 source address=172.25.1.0/24 service name=ssh reject' 

root@localhost ~]# firewall-cmd  --reload 

三、防火墙的端口转发

	把80端口转变成5423
	这里要删掉端口80的通行
root@localhost ~]# firewall-cmd --permanent --add-rich-rule='rule family=ipv4 source address=192.168.200.0/24 forward-port port=5423 protocol=tcp to-port=80'

root@localhost ~]# firewall-cmd  --reload