防火墙守护之firewalld服务

firewalld服务引入了一个信任级别(Zone，或称之为区域)的概念来管理与之相关联的连接与接口,支持ipv4与ipv6，并支持网桥

采用firewall-cmd(command)或firewall-config(gui)来动态的管理临时或永久的接口规则。

Firewall将不同的网络连接归类到不同的信任级别，Zone提供了以下几个级别

    drop: 丢弃所有进入的包，而不给出任何响应
    block: 拒绝所有外部发起的连接，允许内部发起的连接
    public: 公共区域使用，仅接受ssh和dhcpv6-client服务连接
    external: 仅接受ssh服务连接，且出去的ipv4连接通过此区域伪装和转发
    dmz: 仅接受ssh服务连接
    work: 工作区，仅接受ssh，ipp-client和dhcpv6-client服务连接
    home: 用于家庭网络，仅接受ssh，ipp-client，samba-client和dhcpv6-client服务连接
    internal: 用于内部网络，仅接受ssh，ipp-client，samba-client和dhcpv6-client服务连接
    trusted: 可接受所有连接

过滤规则：

    source: 根据源地址过滤
    interface: 根据网卡过滤
    service: 根据服务名过滤
    port: 根据端口过滤
    icmp-block: icmp 报文过滤，按照 icmp 类型配置
    masquerade: ip 地址伪装
    forward-port: 端口转发
    rule: 自定义规则

公共查看信息参数

    -h：查看帮助信息
    -V：查看防火墙版本

运行状态参数

    --state：查看防火墙运行状态
    --reload：重新加载防火墙并保留状态信息(不会中断已建立的连接)
    --complete-reload：重新加载防火墙并丢失状态信息(会中断已建立的连接)
    --runtime-to-permanent：从运行时配置创建永久
    --check-config：检查永久配置是否有错误

永久生效和临时生效参数：

    --permanent：永久设置选项
    --timeout=seconds：持续生效时间，到期后自动移除，用于调试，不能与--permanent同时使用

网卡设置和查询参数

    --list-interfaces：查看指定区域分配的网卡
    --add-interface=：添加到指定区域网卡
    --change-interface=：添加指定区域网卡
    --query-interface=：查询指定区域是否分配了指定网卡
    --remove-interface=：删除指定区域网卡
    以上命令使用--zone=指定区域，否则使用默认区域

服务设置查询参数

    --list-services：查看所有已经由防火墙管理的服务
    --new-service=：注册一个服务到预定义服务
    --delete-service=：从预定义服务删除一个服务
    --info-service=：查看预定义服务中指定服务的信息
    --path-service=：查看预定义服务中指定服务的文件路径
    --add-service=：添加一个服务到指定区域
    --remove-service=：从指定区域删除一个服务

源(ip地址)和端口设置查询参数

    --add-source=192.168.1.1/24：添加一个ip地址到指定区域
    --remove-source=192.168.1.1/24：从指定区域删除一个ip地址
    --list-ports：查看指定区域的所有端口
    --add-port=8080|8000-8500/tcp：添加指定协议的指定端口(范围)到指定区域
    --remove-source=8080|8000-8500/tcp：从指定区域删除一个端口(范围)
    --query-port=8080|8000-8500/tcp：查看指定端口是否在指定区域中
    --list-protocols：查看指定区域的所有协议
    --add-protocol=：添加指定协议到指定区域
    --remove-protocol=：从指定区域删除指定协议
    --query-protocol=：查看指定协议是否在指定区域中

区域相关参数

    --get-default-zone：查看默认区域
    --set-default-zone=：设置默认区域
    --get-active-zones：查看当前活动的区域并附带一个目前分配给它们的网卡列表
    --get-zones：查看预定义的区域
    --get-services：打印预定义的服务
    --get-icmptypes：打印预定义的ICMP类型
    --get-zone-of-interface=：查看绑定到指定网卡的区域
    --get-zone-of-source=[/]||ipset:：查看绑定到指定源的区域
    --list-all-zones：列出为所有区域添加或启用的所有内容
    --new-zone=：添加新区域
    --new-zone-from-file= [--name=]：从具有可选名称的文件中添加新区域
    --delete-zone=：删除已存在的区域
    --load-zone-defaults=：装载区默认设置
    --zone=指定区域，默认public：指定设置或查询的区域
    --get-target：获取区域的target
    --set-target=：设置区域的target
    --info-zone=：查看指定区域的信息
    --path-zone=：打印区域的文件路径