Centos 7 中firewalld防火墙一些重点知识点

安全防护firewalld防火墙

防火墙：匹配即停止

管理工具：firewalld-cmd

防火墙预设安全区域

    public：仅允许访问本机的sshd、DHCP、ping等少量服务

    trusted：允许任何访问

    block：拒绝任何来访请求

    drop：丢弃任何来访的数据包

#开启防火墙
systemctl start firewalld

#查看默认区域
firewall-cmd --get-default-zone

#修改默认区域
firewall-cmd --set-default-zone=区域名

#将默认区域修改为block
firewall-cmd --set-default-zone=block

#查看public区域规则
firewall-cmd --zone=public --list-all

public (active)
  target: default    #默认区域
  icmp-block-inversion: no
  interfaces: ens32
  sources: 
  services: ssh dhcpv6-client   #允许访问的服务
  ports: 
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
  
 #为public区域添加http协议，使用 --add-service=服务名
 firewall-cmd --zone=public --add-service=http
 
 #为public区域永久添加http协议
 firewall-cmd  --premanent --zone=public --add-service=http
 #永久修改需重新加载防火墙配置
 firewalld-cmd --reload
 
 #单独拒绝某一个IP
 firewall-cmd --zone=block --add-source=192.168.0.24 
 
 #删除block区域的指定IP
 firewall-cmd --zone=block  --remove-source=192.168.0.24
 
 #删除public区域的ftp协议
 firewall-cmd --zone=public  --remove-service=ftp

防火墙端口映射

    本地应用的端口重定向（端口1 > 端口2）从客户机访问 端口1 的请求，自动映射到本机端口2

#当有人访问5432端口时，映射到本机的80端口
firewall-cmd --zone=public --add-forward-port=port=5432:proto=tcp:toport=80
--add--forward   #添加转发端口
port=port=5432   #指定转发的端口
proto=tcp        #指定tcp协议
toport=80        #指定目标端口