CentOS7Firewall防火墻配置用法詳解

1、CentOS7 Firewall防火墻配置用法詳解編輯:swteen來源：轉(zhuǎn)載centos 7中防火墻是一個非常的強(qiáng)大的功能了，但對于centos 7中在防火墻中進(jìn)行了 升級了，下面我們一起來詳細(xì)的看看關(guān)于centos 7中防火墻使用方法。FirewallD提供了支持網(wǎng)絡(luò)/防火墻區(qū)域(zone)定義網(wǎng)絡(luò)鏈接以及接口安全等級的動態(tài) 防火墻管理工具。它支持IPv4, IPv6防火墻設(shè)置以及以太網(wǎng)橋接，并且擁有運(yùn)行時配 置和永久配置選項(xiàng)。它也支持允許服務(wù)或者應(yīng)用程序直接添加防火墻規(guī)則的接口。以前的system-config-firewall/lokkit防火墻模型是靜態(tài)的，每次修改都要求防火墻完全重

2、啟。這個過程包括內(nèi)核netfilter防火墻模塊的卸載和新配置所需模塊的裝載等。而模塊的卸載將會破壞狀態(tài)防火墻和確立的連接。 相反，firewall daemon動態(tài)管理防火墻，不需要重啟整個防火墻便可應(yīng)用更改。因而也就沒有必要重載所有內(nèi)核防火墻模塊了。不過，要使用firewall daemon就要求防火墻的所有變更都要通過該守護(hù)進(jìn)程來實(shí)現(xiàn)，以確保守護(hù)進(jìn)程中的狀態(tài)和內(nèi)核里的防火墻是一致的。另外，firewall daemon無法解析由ip*tables和ebtables命令行工具添加的防火墻規(guī)則。 守護(hù)進(jìn)程通過D-BUS提供當(dāng)前激活的防火墻設(shè)置信息， 也通過D-BUS接受使用PolicyKit

3、認(rèn)證方式做的更改?！笆刈o(hù)進(jìn)程”應(yīng)用程序、守護(hù)進(jìn)程和用戶可以通過D-BUS請求啟用一個防火墻特性。特性可以是預(yù)定義的防火墻功能，如：服務(wù)、端口和協(xié)議的組合、端口/數(shù)據(jù)報轉(zhuǎn)發(fā)、偽裝、ICMP攔截或自定義規(guī)則等。該功能可以啟用確定的一段時間也可以再次停用。通過所謂的直接接口，其他的服務(wù)(例如libvirt )能夠通過iptables變元(arguments)和參數(shù)(parameters)增加自己的規(guī)則。amanda、ftp、samba和tftp服務(wù)的netfilter防火墻助手也被守護(hù)進(jìn)程”解決了，只要它們還作為預(yù)定義服務(wù)的一部分。附加助手的裝載不作為當(dāng)前接口的一部分。由于一些助手只有在由模塊控制的

4、所有連接都關(guān)閉后才可裝載。因而，跟蹤連接信息很重要，需要列入考慮范圍。靜態(tài)防火墻(system-config-firewall/lokkit)使用system-config-firewall和lokkit的靜態(tài)防火墻模型實(shí)際上仍然可用并將繼續(xù)提供，但卻不能與“守護(hù)進(jìn)程”同時使用。用戶或者管理員可以決定使用哪一種方案。在軟件安裝，初次啟動或者是首次聯(lián)網(wǎng)時，將會出現(xiàn)一個選擇器。通過它你可以選擇要 使用的防火墻方案。其他的解決方案將保持完整，可以通過更換模式啟用。firewall daemon獨(dú)立于system-config-firewall, 但二者不能同時使用。使用iptables和ip6tab

5、les的靜態(tài)防火墻規(guī)則如果你想使用自己的iptables和ip6tables靜態(tài)防火墻規(guī)則，那么請安裝iptables-services并且禁用firewalld，啟用iptables和ip6tables:yum install iptables-services systemctl mask firewalld.service systemctl enable iptables.servicesystemctl enable ip6tables.service靜態(tài)防火墻規(guī)則配置文件是/etc/sysconfig/iptables以及/etc/sysconfig/ip6tables .注：ip

6、tables與iptables-services軟件包不提供與服務(wù)配套使用的防火墻規(guī)則.這些服務(wù)是用來保障兼容性以及供想使用自己防火墻規(guī)則的人使用的.你可以安裝并使用system-config-firewall來創(chuàng)建上述服務(wù)需要的規(guī)則.為了能使用system-config-firewall,你必須停止firewalld.為服務(wù)創(chuàng)建規(guī)則并停用firewalld后， 就可以啟用iptables與ip6tables服務(wù)了：systemctl stop firewalld.service systemctl start iptables.servicesystemctl startip6tables.

7、service什么是區(qū)域？ 網(wǎng)絡(luò)區(qū)域定義了網(wǎng)絡(luò)連接的可信等級。這是一個一對多的關(guān)系，這意味著一次連接可以僅僅是一個區(qū)域的一部分，而一個區(qū)域可以用于很多連接。 預(yù)定義的服務(wù)服務(wù)是端口和/或協(xié)議入口的組合。備選內(nèi)容包括netfilter助手模塊以及IPv4、IPv6地址。 端口和協(xié)議 定義了tcp或udp端口，端口可以是一個端口或者端口范圍。ICMP阻塞可以選擇Internet控制報文協(xié)議的報文。這些報文可以是信息請求亦可是對信息請求或錯 誤條件創(chuàng)建的響應(yīng)。 偽裝 私有網(wǎng)絡(luò)地址可以被映射到公開的IP地址。這是一次正規(guī)的地址轉(zhuǎn)換。端口轉(zhuǎn)發(fā)端口可以映射到另一個端口以及 /或者其他主機(jī)。 哪個區(qū)域可用？

8、 由firewalld提供的區(qū)域按照從不信任到信任的順序排序。丟棄任何流入網(wǎng)絡(luò)的包都被丟棄，不作出任何響應(yīng)。只允許流出的網(wǎng)絡(luò)連接。阻塞任何進(jìn)入的網(wǎng)絡(luò)連接都被拒絕，并返回IPv4的icmp-host-prohibited報文或者IPv6的icmp6-adm-prohibited報文。只允許由該系統(tǒng)初始化的網(wǎng)絡(luò)連接。公開用以可以公開的部分。 你認(rèn)為網(wǎng)絡(luò)中其他的計算機(jī)不可信并且可能傷害你的計算機(jī)。只允許選中的連接接入。（You do not trust the other computers on networks to not harm your computer. Onlyselected in

9、comingconnections are accepted. ）外部用在路由器等啟用偽裝的外部網(wǎng)絡(luò)。你認(rèn)為網(wǎng)絡(luò)中其他的計算機(jī)不可信并且可能傷害你的 計算機(jī)。只允許選中的連接接入。隔離區(qū)（dmz）用以允許隔離區(qū)（dm2中的電腦有限地被外界網(wǎng)絡(luò)訪問。只接受被選中的連接。工作用在工作網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計算機(jī)不會影響你的計算機(jī)。只接受被選中的連接。家庭用在家庭網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計算機(jī)不會影響你的計算機(jī)。只接受被選中的連接。 內(nèi)部用在內(nèi)部網(wǎng)絡(luò)。你信任網(wǎng)絡(luò)中的大多數(shù)計算機(jī)不會影響你的計算機(jī)。只接受被選中的連接。受信任的允許所有網(wǎng)絡(luò)連接。我應(yīng)該選用哪個區(qū)域？例如，公共的WIFI連接應(yīng)該主要

10、為不受信任的，家庭的有線網(wǎng)絡(luò)應(yīng)該是相當(dāng)可信任的。根據(jù)與你使用的網(wǎng)絡(luò)最符合的區(qū)域進(jìn)行選擇。如何配置或者增加區(qū)域？你可以使用任何一種firewalld配置工具來配置或者增加區(qū)域，以及修改配置。工具有例如firewall-config這樣的圖形界面工具，firewall-cmd這樣的命令行工具，以及D-BUS接口?；蛘吣阋部梢栽谂渲梦募夸浿袆?chuàng)建或者拷貝區(qū)域文件。PREFIX/lib/firewalld/zones被用于默認(rèn)和備用配置，/etc/firewalld/zones被用于用戶創(chuàng)建和自定義配置文件。如何為網(wǎng)絡(luò)連接設(shè)置或者修改區(qū)域區(qū)域設(shè)置以ZONE=選項(xiàng) 存儲在網(wǎng)絡(luò)連接的ifcfg文件中。如果

11、這個選項(xiàng)缺失或者為空，firewalld將使用配置的默認(rèn)區(qū)域。如果這個連接受到NetworkManager控制，你也可以使用nm-connection-editor來修 改區(qū)域。由NetworkManager控制的網(wǎng)絡(luò)連接防火墻不能夠通過NetworkManager顯示的名稱來配置網(wǎng)絡(luò)連接，只能配置網(wǎng)絡(luò)接口。因此在網(wǎng)絡(luò)連接之前NetworkManager將配置文件所述連接對應(yīng)的網(wǎng)絡(luò)接口告訴firewalld。如果在配置文件中沒有配置區(qū)域，接口將配置到firewalld的默認(rèn)區(qū)域。如果網(wǎng)絡(luò)連接使用了不止一個接口，所有的接口都會應(yīng)用到fiwewalld。接口名稱的改變也將由NetworkManag

12、er控制并應(yīng)用到firewalld。為了簡化，自此，網(wǎng)絡(luò)連接將被用作與區(qū)域的關(guān)系。如果一個接口斷開了，NetworkManager也將告訴firewalld從區(qū)域中刪除該接口。當(dāng)firewalld由systemd或者init腳本啟動或者重啟后，firewalld將通知NetworkManager把網(wǎng)絡(luò)連接增加到區(qū)域。由腳本控制的網(wǎng)絡(luò)對于由網(wǎng)絡(luò)腳本控制的連接有一條限制：沒有守護(hù)進(jìn)程通知firewalld將連接增加到區(qū)域。這項(xiàng)工作僅在ifcfg-post腳本進(jìn)行。因此，此后對網(wǎng)絡(luò)連接的重命名將不能被應(yīng)用到firewalld。同樣，在連接活動時重啟firewalld將導(dǎo)致與其失去關(guān)聯(lián)?，F(xiàn)在有意修復(fù)此

13、情況。最簡單的是將全部未配置連接加入默認(rèn)區(qū)域。區(qū)域定義了本區(qū)域中防火墻的特性：使用firewalld你可以通過圖形界面工具firewall-config或者命令行客戶端firewall-cmd啟用或者關(guān)閉防火墻特性。使用firewall-cmd命令行工具firewall-cmd支持全部防火墻特性。對于狀態(tài)和查詢模式，命令只返回狀態(tài)，沒有其他輸出。一般應(yīng)用獲取firewalld狀態(tài)firewall-cmd -state此舉返回firewalld的狀態(tài)，沒有任何輸出?？梢允褂靡韵路绞将@得狀態(tài)輸出：firewall-cmd -state &echo Running | echo Not ru

14、nning在Fedora 19中，狀態(tài)輸出比此前直觀：# rpm -qf $( which firewall-cmd )firewalld-0.3.3-2.fc19.noarch# firewall-cmd -statenot running在不改變狀態(tài)的條件下重新加載防火墻：firewall-cmd -reload如果你使用-complete-reload,狀態(tài)信息將會丟失。這個選項(xiàng)應(yīng)當(dāng)僅用于處理防火墻 問題時，例如，狀態(tài)信息和防火墻規(guī)則都正常，但是不能建立任何連接的情況獲取支持的區(qū)域列表firewall-cmd -get-zones這條命令輸出用空格分隔的列表。獲取所有支持的服務(wù)firew

15、all-cmd -get-services這條命令輸出用空格分隔的列表。獲取所有支持的ICMP類型firewall-cmd -get-icmptypes這條命令輸出用空格分隔的列表。列出全部啟用的區(qū)域的特性firewall-cmd -list-all-zones輸出格式是：interfaces: .services: .ports: .forward-ports: .icmp-blocks: .輸出區(qū)域全部啟用的特性。如果生略區(qū)域，將顯示默認(rèn)區(qū)域的信息。firewall-cmd -zone= -list-all獲取默認(rèn)區(qū)域的網(wǎng)絡(luò)設(shè)置firewall-cmd -get-default-zone設(shè)

16、置默認(rèn)區(qū)域firewall-cmd -set-default-zone=流入默認(rèn)區(qū)域中配置的接口的新訪問請求將被置入新的默認(rèn)區(qū)域。當(dāng)前活動的連接將不受影響。獲取活動的區(qū)域firewall-cmd -get-active-zones這條命令將用以下格式輸出每個區(qū)域所含接口 ：: .: .根據(jù)接口獲取區(qū)域firewall-cmd -get-zone-of-interface=這條命令將輸出接口所屬的區(qū)域名稱。將接口增加到區(qū)域firewall-cmd -zone= -add-interface=如果接口不屬于區(qū)域，接口將被增加到區(qū)域。如果區(qū)域被省略了，將使用默認(rèn)區(qū)域。接 口在重新加載后將重新應(yīng)用。修

17、改接口所屬區(qū)域firewall-cmd -zone= -change-interface=這個選項(xiàng)與-add-interface選項(xiàng)相似，但是當(dāng)接口已經(jīng)存在于另一個區(qū)域的時候,該接口將被添加到新的區(qū)域。從區(qū)域中刪除一個接口firewall-cmd -zone= -remove-interface=查詢區(qū)域中是否包含某接口firewall-cmd -zone= -query-interface=返回接口是否存在于該區(qū)域。沒有輸出。列舉區(qū)域中啟用的服務(wù)firewall-cmd -zone= -list-services啟用應(yīng)急模式阻斷所有網(wǎng)絡(luò)連接，以防出現(xiàn)緊急狀況firewall-cmd -pan

18、ic-on禁用應(yīng)急模式firewall-cmd -query-panic此命令返回應(yīng)急模式的狀態(tài)，沒有輸出?？梢允褂靡韵路绞将@得狀態(tài)輸出：firewall-cmd -query-panic & echo On | echo Off處理運(yùn)行時區(qū)域運(yùn)行時模式下對區(qū)域進(jìn)行的修改不是永久有效的。重新加載或者重啟后修改將失效。啟用區(qū)域中的一種服務(wù)firewall-cmd -zone= -add-service=-timeout=此舉啟用區(qū)域中的一種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。如果設(shè)定了超時時間,服務(wù)將只啟用特定秒數(shù)。如果服務(wù)已經(jīng)活躍，將不會有任何警告信息。例：使區(qū)域中的ipp-clie

19、nt服務(wù)生效60秒：firewall-cmd -zone=home -add-service=ipp-client -timeout=60例：啟用默認(rèn)區(qū)域中的http服務(wù)：firewall-cmd -add-service=http禁用區(qū)域中的某種服務(wù)firewall-cmd -zone= -remove-service=此舉禁用區(qū)域中的某種服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。例：禁止home區(qū)域中的http服務(wù)：firewall-cmd -zone=home -remove-service=http區(qū)域種的服務(wù)將被禁用。如果服務(wù)沒有啟用，將不會有任何警告信息。查詢區(qū)域中是否啟用了特定服務(wù)f

20、irewall-cmd -zone= -query-service=如果服務(wù)啟用，將返回1,否則返回0。沒有輸出信息。啟用區(qū)域端口和協(xié)議組合firewall-cmd -zone= -add-port=-/ -timeout=此舉將啟用端口和協(xié)議的組合。端口可以是一個單獨(dú)的端口或者是一個端口范圍-。協(xié)議可以是tcp或udp。禁用端口和協(xié)議組合firewall-cmd -zone= -remove-port=-/查詢區(qū)域中是否啟用了端口和協(xié)議組合firewall-cmd -zone= -query-port=-/如果啟用，此命令將有返回值。沒有輸出信息。啟用區(qū)域中的IP偽裝功能firewall-c

21、md -zone= -add-masquerade此舉啟用區(qū)域的偽裝功能。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個公有IP。這是地址轉(zhuǎn)換的一種形式，常用于路由。由于內(nèi)核的限制，偽裝功能僅可用于IPv4。禁用區(qū)域中的IP偽裝firewall-cmd -zone= -remove-masquerade查詢區(qū)域的偽裝狀態(tài)firewall-cmd -zone= -query-masquerade如果啟用，此命令將有返回值。沒有輸出信息。啟用區(qū)域的ICMP阻塞功能firewall-cmd -zone= -add-icmp-block=此舉將啟用選中的Internet控制報文協(xié)議（ICMB報文進(jìn)行阻塞。ICMP

22、報文可以是請 求信息或者創(chuàng)建的應(yīng)答報文，以及錯誤應(yīng)答。禁止區(qū)域的ICMP阻塞功能firewall-cmd -zone= -remove-icmp-block=查詢區(qū)域的ICMP阻塞功能firewall-cmd -zone= -query-icmp-block=如果啟用，此命令將有返回值。沒有輸出信息。例：阻塞區(qū)域的響應(yīng)應(yīng)答報文：firewall-cmd -zone=public -add-icmp-block=echo-reply在區(qū)域中啟用端口轉(zhuǎn)發(fā)或映射firewall-cmd -zone=-add-forward-port=port=-:proto= :toport=- | :toaddr

23、=| :toport=-:toaddr= 端口可以映射到另一臺主機(jī)的同一端口，也可以是同一主機(jī)或另一主機(jī)的不同端口。端口號可以是一個單獨(dú)的端口或者是端口范圍-。協(xié)議可以為tcp或udp。目標(biāo)端口可以是端口號或者是端口范圍-。目標(biāo)地址可以是IPv4地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4。禁止區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射firewall-cmd -zone=-remove-forward-port=port=-:proto= :toport=- | :toaddr=| :toport=-:toaddr= 查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射firewall-cmd -zone=-query-for

24、ward-port=port=-:proto= :toport=- | :toaddr=| :toport=-:toaddr= 如果啟用，此命令將有返回值。沒有輸出信息。例：將區(qū)域home的ssh轉(zhuǎn)發(fā)到firewall-cmd -zone=home-add-forward-port=port=22:proto=tcp:toaddr=處理永久區(qū)域永久選項(xiàng)不直接影響運(yùn)行時的狀態(tài)。這些選項(xiàng)僅在重載或者重啟服務(wù)時可用。為了使用運(yùn)行時和永久設(shè)置，需要分別設(shè)置兩者。選項(xiàng)-permanent需要是永久設(shè)置的第一個參數(shù)。獲取永久選項(xiàng)所支持的服務(wù)firewall-cmd -p

25、ermanent -get-services獲取永久選項(xiàng)所支持的ICMP類型列表firewall-cmd -permanent -get-icmptypes獲取支持的永久區(qū)域firewall-cmd -permanent -get-zones啟用區(qū)域中的服務(wù)firewall-cmd -permanent -zone= -add-service=此舉將永久啟用區(qū)域中的服務(wù)。如果未指定區(qū)域，將使用默認(rèn)區(qū)域。禁用區(qū)域中的一種服務(wù)firewall-cmd -permanent -zone= -remove-service=查詢區(qū)域中的服務(wù)是否啟用firewall-cmd -permanent -zon

26、e= -query-service=如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息。例：永久啟用home區(qū)域中的ipp-client服務(wù)firewall-cmd -permanent -zone=home -add-service=ipp-client永久啟用區(qū)域中的一個端口 -協(xié)議組合firewall-cmd -permanent -zone=-add-port=-/永久禁用區(qū)域中的一個端口 -協(xié)議組合firewall-cmd -permanent -zone=-remove-port=-/查詢區(qū)域中的端口 -協(xié)議組合是否永久啟用firewall-cmd -permanent -zone

27、=-query-port=-/如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息。例：永久啟用home區(qū)域中的htt ps (tcp 443)端口firewall-cmd -permanent -zone=home -add-port=443/tcp永久啟用區(qū)域中的偽裝firewall-cmd -permanent -zone= -add-masquerade此舉啟用區(qū)域的偽裝功能。私有網(wǎng)絡(luò)的地址將被隱藏并映射到一個公有IP。這是地址轉(zhuǎn)換的一種形式，常用于路由。由于內(nèi)核的限制，偽裝功能僅可用于IPv4。永久禁用區(qū)域中的偽裝firewall-cmd -permanent -zone= -remo

28、ve-masquerade查詢區(qū)域中的偽裝的永久狀態(tài)firewall-cmd -permanent -zone= -query-masquerade如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息。永久啟用區(qū)域中的ICMP阻塞firewall-cmd -permanent -zone= -add-icmp-block=此舉將啟用選中的Internet控制報文協(xié)議(ICMB報文進(jìn)行阻塞是請求信息或者創(chuàng)建的應(yīng)答報文或錯誤應(yīng)答報文。永久禁用區(qū)域中的ICMP阻塞firewall-cmd -permanent -zone=-remove-icmp-block=查詢區(qū)域中的ICMP永久狀態(tài)firewal

29、l-cmd -permanent -zone= -query-icmp-block=如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息。例：阻塞公共區(qū)域中的響應(yīng)應(yīng)答報文 ：firewall-cmd -permanent -zone=public -add-icmp-block=echo-reply在區(qū)域中永久啟用端口轉(zhuǎn)發(fā)或映射firewall-cmd -permanent -zone=-add-forward-port=port=-:proto= :toport=- | :toaddr=| :toport=-:toaddr= 端口可以映射到另一臺主機(jī)的同一端口，也可以是同一主機(jī)或另一主機(jī)的不同

30、端口。端口號可以是一個單獨(dú)的端口或者是端口范圍-。協(xié)議可以為tcp或udp。目標(biāo)端口可以是端口號或者是端口范圍-。目標(biāo)地址可以是IPv4地址。受內(nèi)核限制，端口轉(zhuǎn)發(fā)功能僅可用于IPv4。ICMP報文可以永久禁止區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射firewall-cmd -permanent -zone=-remove-forward-port=port=-:proto= :toport=- | :toaddr=| :toport=-:toaddr= 查詢區(qū)域的端口轉(zhuǎn)發(fā)或者端口映射狀態(tài)firewall-cmd -permanent -zone=-query-forward-port=port=-:prot

31、o= :toport=- | :toaddr=| :toport=-:toaddr= 如果服務(wù)啟用，此命令將有返回值。此命令沒有輸出信息。例：將home區(qū)域的ssh服務(wù)轉(zhuǎn)發(fā)到firewall-cmd -permanent -zone=home-add-forward-port=port=22:proto=tcp:toaddr=直接選項(xiàng)直接選項(xiàng)主要用于使服務(wù)和應(yīng)用程序能夠增加規(guī)則。規(guī)則不會被保存，在重新加載或者重啟之后必須再次提交。傳遞的參數(shù)與iptables, ip6tables以及ebtables一致。選項(xiàng)-direct需要是直接選項(xiàng)的第一個參數(shù)。將命令傳

32、遞給防火墻。參數(shù)可以是iptables, ip6tables以及ebtables命 令行參數(shù)。firewall-cmd -direct -passthrough ipv4 | ipv6 | eb 為表增加一個新鏈。firewall-cmd -direct -add-chain ipv4 | ipv6 | eb 從表中刪除鏈。firewall-cmd-direct-remove-chain ipv4| ipv6 | eb 查詢鏈?zhǔn)欠翊嬖谂c表.如果是，返回0,否則返回1.firewall-cmd-direct-query-chain ipv4| ipv6 | eb 如果啟用，此命令將有返回值。此命

33、令沒有輸出信息。獲取用空格分隔的表中鏈的列表。firewall-cmd -direct -get-chains ipv4 | ipv6 | eb 為表增加一條參數(shù)為的鏈，優(yōu)先級設(shè)定為。firewall-cmd -direct -add-rule ipv4 | ipv6 | eb 從表中刪除帶參數(shù)的鏈。firewall-cmd -direct -remove-rule ipv4 | ipv6 | eb 查詢帶參數(shù)的鏈?zhǔn)欠翊嬖诒碇?如果是，返回0,否則返回1.firewall-cmd -direct -query-rule ipv4 | ipv6 | eb 如果啟用，此命令將有返回值。此命令沒有輸

34、出信息。獲取表中所有增加到鏈的規(guī)則，并用換行分隔。firewall-cmd -direct -get-rules ipv4 | ipv6 | eb 當(dāng)前的firewalld特性D-BU S接口D-BUS接口提供防火墻狀態(tài)的信息，使防火墻的啟用、停用或查詢設(shè)置成為可能。區(qū)域網(wǎng)絡(luò)或者防火墻區(qū)域定義了連接的可信程度。firewalld提供了幾種預(yù)定義的區(qū)域。區(qū)域配置選項(xiàng)和通用配置信息可以在firewall.zone(5)的手冊里查到。服務(wù)服務(wù)可以是一系列本讀端口、目的以及附加信息，也可以是服務(wù)啟動時自動增加的防火墻助手模塊。預(yù)定義服務(wù)的使用使啟用和禁用對服務(wù)的訪問變得更加簡單。服務(wù)配置選項(xiàng)和通用文件

35、信息在firewalld.service(5)手冊里有描述。ICMP類型Internet控制報文協(xié)議(ICMP)被用以交換報文和互聯(lián)網(wǎng)協(xié)議(IP)的錯誤報文。在firewalld中可以使用ICMP類型來限制報文交換。ICMP類型配置選項(xiàng)和通用文件信息可以參閱firewalld.icmptype(5)手冊。直接接口直接接口主要用于服務(wù)或者應(yīng)用程序增加特定的防火墻規(guī)則。這些規(guī)則并非永久有效，并且在收到firewalld通過D-Bus傳遞的啟動、重啟、重載信號后需要重新應(yīng)用。運(yùn)行時配置運(yùn)行時配置并非永久有效，在重新加載時可以被恢復(fù)，而系統(tǒng)或者服務(wù)重啟、停止時，這些選項(xiàng)將會丟失。永久配置永久配置存儲在

36、配置文件種，每次機(jī)器重啟或者服務(wù)重啟、重新加載時將自動恢復(fù)。托盤小程序托盤小程序firewall-applet為用戶顯示防火墻狀態(tài)和存在的問題。它也可以用來配置用 戶允許修改的設(shè)置。圖形化配置工具firewall daemon主要的配置工具是firewall-config。它支持防火墻的所有特性(除了由服務(wù)/應(yīng)用程序增加規(guī)則使用的直接接口)。管理員也可以用它來改變系統(tǒng)或用戶策略。命令行客戶端firewall-cmd是命令行下提供大部分圖形工具配置特性的工具。對于ebtables的支持要滿足libvirtdaemon的全部需求，在內(nèi)核netfilter級上防止ip*tables和ebtables

37、間訪問問題，ebtables支持是需要的。由于這些命令是訪問相同結(jié)構(gòu)的，因而不能同時使 用。/usr/lib/firewalld中的默認(rèn)/備用配置該目錄包含了由firewalld提供的默認(rèn)以及備用的ICMP類型、服務(wù)、區(qū)域配置。由firewalld軟件包提供的這些文件不能被修改，即使修改也會隨著firewalld軟件包的更新被重置。 其他的ICMP類型、服務(wù)、區(qū)域配置可以通過軟件包或者創(chuàng)建文件的方式提供。/etc/firewalld中的系統(tǒng)配置設(shè)置存儲在此的系統(tǒng)或者用戶配置文件可以是系統(tǒng)管理員通過配置接口定制的，也可以是手動定制的。這些文件將重載默認(rèn)配置文件。為了手動修改預(yù)定義的icmp類型，

38、區(qū)域或者服務(wù)，從默認(rèn)配置目錄將配置拷貝到相應(yīng) 的系統(tǒng)配置目錄，然后根據(jù)需求進(jìn)行修改。如果你加載了有默認(rèn)和備用配置的區(qū)域，在/etc/firewalld下的對應(yīng)文件將被重命名為.old然后啟用備用配置。正在開發(fā)的特性富語言富語言特性提供了一種不需要了解iptables語法的通過高級語言配置復(fù)雜IPv4和IPv6防火墻規(guī)則的機(jī)制。Fedora 19提供了帶有D-Bus和命令行支持的富語言特性第2個里程碑版本。第3個里程碑版本也將提供對于圖形界面firewall-config的支持。對于此特性的更多信息，請參閱：firewalld Rich Language鎖定鎖定特性為firewalld增加了鎖定

39、本地應(yīng)用或者服務(wù)配置的簡單配置方式。它是一種輕量級的應(yīng)用程序策略。Fedora 19提供了鎖定特性的第二個里程碑版本，帶有D-Bus和命令行支持。第3個 里程碑版本也將提供圖形界面firewall-config下的支持。更多信息請參閱：firewalld Lockdown永久直接規(guī)則這項(xiàng)特性處于早期狀態(tài)。它將能夠提供保存直接規(guī)則和直接鏈的功能。通過規(guī)則不屬于該特性。更多關(guān)于直接規(guī)則的信息請參閱Direct options。從ip*tables和ebtables服務(wù)遷移這項(xiàng)特性處于早期狀態(tài)。它將盡可能提供由iptables,ip6tables和ebtables服務(wù)配置轉(zhuǎn)換為永久直接規(guī)則的腳本。此

40、特性在由firewalld提供的直接鏈集成方面可能存在局限性。此特性將需要大量復(fù)雜防火墻配置的遷移測試。計劃和提議功能防火墻抽象模型在ip*tables和ebtables防火墻規(guī)則之上添加抽象層使添加規(guī)則更簡單和直觀。要抽象層功能強(qiáng)大，但同時又不能復(fù)雜，并不是一項(xiàng)簡單的任務(wù)。為此，不得不開發(fā)一種防火墻語言。使防火墻規(guī)則擁有固定的位置，可以查詢端口的訪問狀態(tài)、訪問策略等普通信息和一些其他可能的防火墻特性。對于conntrack的支持要終止禁用特性已確立的連接需要conntrack。不過，一些情況下終止連接可能是不好的，如：為建立有限時間內(nèi)的連續(xù)性外部連接而啟用的防火墻服務(wù)。用戶交互模型這是防火墻

41、中用戶或者管理員可以啟用的一種特殊模式。應(yīng)用程序所有要更改防火墻的請求將定向給用戶知曉，以便確認(rèn)和否認(rèn)。為一個連接的授權(quán)設(shè)置一個時間限制并限制其所連主機(jī)、網(wǎng)絡(luò)或連接是可行的。配置可以保存以便將來不需通知便可應(yīng)用相同行為。該模式的另一個特性是管理和應(yīng)用程序發(fā)起的請求具有相同功能的預(yù)選服務(wù)和端口的外部鏈接嘗試。服務(wù)和端口的限制也會限制發(fā)送給用戶的請求數(shù)量。用戶策略支持管理員可以規(guī)定哪些用戶可以使用用戶交互模式和限制防火墻可用特性。端口元數(shù)據(jù)信息（由Lennart Poettering提議）擁有一個端口獨(dú)立的元數(shù)據(jù)信息是很好的。當(dāng)前對/etc/services的端口和協(xié)議靜態(tài)分配模型不是個好的解決方

42、案，也沒有反映當(dāng)前使用情況。應(yīng)用程序或服務(wù)的端口是動態(tài)的，因而端口本身并不能描述使用情況。元數(shù)據(jù)信息可以用來為防火墻制定簡單的規(guī)則。下面是一些例子：,允許外部訪問文件共享應(yīng)用程序或服務(wù),允許外部訪問音樂共享應(yīng)用程序或服務(wù)允許外部訪問全部共享應(yīng)用程序或服務(wù)允許外部訪問torrent文件共享應(yīng)用程序或服務(wù)允許外部訪問http網(wǎng)絡(luò)服務(wù)這里的元數(shù)據(jù)信息不只有特定應(yīng)用程序，還可以是一組使用情況。例如：組“全部共享”或者組“文件共享”可以對應(yīng)于全部共享或文件共享程序（如：torrent文件共享）。這些只是例子，因而，可能并沒有實(shí)際用處。這里是在防火墻中獲取元數(shù)據(jù)信息的兩種可能途徑：第一種是添加到netfi

43、lter （內(nèi)核空間）。好處是每個人都可以使用它，但也有一定使用限制。還要考慮用戶或系統(tǒng)空間的具體信息，所有這些都需要在內(nèi)核層面實(shí)現(xiàn)。第二種是添加到firewall daemon中。這些抽象的規(guī)則可以和具體信息（如：網(wǎng)絡(luò)連接可信級、作為具體個人/主機(jī)要分享的用戶描述、管理員禁止完全共享的應(yīng)歸則等 ）一起使用。第二種解決方案的好處是不需要為有新的元數(shù)據(jù)組和納入改變（可信級、用戶偏好或管理員規(guī)則等等）重新編譯內(nèi)核。這些抽象規(guī)則的添加使得firewall daemon更加自由。即使是新的安全級也不需要更新內(nèi)核即可輕松添加。sysctld現(xiàn)在仍有sysctl設(shè)置沒有正確應(yīng)用。一個例子是，在rc.sysinit正運(yùn)行時，而提供設(shè)置的模塊在啟動時沒有裝載或者重新裝載該模塊時會發(fā)生問題。另一個例子是net.ipv4.ip_forward,防火墻設(shè)置、libvirt和用戶/管理員更改都需要它。如果有兩個應(yīng)用程序或守護(hù)進(jìn)程只在需要時開啟ip_forwarding,之后可能其中一個在不知道的情況下關(guān)掉服務(wù)，而另一個正需要它，此時就不得不重啟它。sysctl daemon可以通過對設(shè)置使用內(nèi)部計數(shù)來解決上面的問題。此時，當(dāng)之前請求者 不再需要時，它就會再次回到之前的設(shè)置狀態(tài)或者是直接關(guān)閉它。防火墻規(guī)則netfilter防火墻總是容易受到規(guī)則順序的影響，因?yàn)橐粭l規(guī)則在鏈中沒有固定的位置。在一條規(guī)則之