firewall

Redhat Linux 6 版本打开图形化管理防火墙   system-config-firewall

Redhat Linux 7 安装，开启、关闭iptables服务：http://www.cnblogs.com/kreo/p/4368811.html

#先检查是否安装了iptables

service iptables status

#安装iptables

yum install -y iptables

#安装iptables-services

yum install iptables-services

禁用/停止自带的firewalld服务

#停止firewalld服务 systemctl stop firewalld.service

#禁用firewalld服务 systemctl mask firewalld.service

#systemctl unmask firewalld    解除禁用

#iptables-save  保存策略到/etc/sysconfig/iptables（重启服务失效）

#保存规则

service iptables save

#查看iptables现有规则

iptables -L -n

#先允许所有,不然有可能会杯具

iptables -P INPUT ACCEPT

#清空所有默认规则

iptables -F

#清空所有自定义规则

iptables -X

centos6的版本防火墙使用的iptables，iptables是一个静态防火墙，也就是说它不能够动态的添加开启端口，必须在配置文件中添加开启端口，然后重启防火墙才能生效。

centos7的防火墙使用的是firewalld，它是动态的，可以通过命令添加开启端口，不用重启服务就可以使改变生效。有两种方式

1.图像化的 firewall-config 工具

2.提供命令行客户端，firewall-cmd，用于进行永久性或非永久性运行时间的改变

firewalld防火墙：https://access.redhat.com/documentation/zh-CN/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Using_Firewalls.html

• target：目标，可以理解为默认行为，有四个可选值：default、ACCEPT、%%REJECT%%、DROP，如果不设置默认为default

• service：这个在前面学生已经给大家解释过了，他表示一个服务

• port：端口，使用port可以不通过service而直接对端口进行设置

• interface：接口，可以理解为网卡

• source：源地址，可以是ip地址也可以是ip地址段

• icmp-block：icmp报文阻塞，可以按照icmp类型进行设置

• masquerade：ip地址伪装，也就是按照源网卡地址进行NAT转发

• forward-port：端口转发

• rule：自定义规则

firewalld默认配置文件有两个：/usr/lib/firewalld/ （系统配置，尽量不要修改）和 /etc/firewalld/ （用户配置地址）

查看防火墙状态。

systemctl status firewalld  或 firewall-cmd --state

查询服务的启用状态

firewall-cmd --query-service ft