转载自：https://www.cnblogs.com/lczz/p/9809653.html如有侵权请联系删除

linux防火墙工具之firewalld

firewalld简介

　　firewalld是redhat7默认的防火墙配置管理工具拥有命令行（CLI）和图形用户界面（GUI）两种管理方式，对比传统的防火墙工具，firewalld支持动态更新技术并加入了区域（zone）的概念，区域就是firewalld预设的几套防火墙策略模版集合，用户可以根据不同的工作场景选择不同的策略（通过选择区域的方式实现），firewalld的命令参数支持TAB键自动补齐，

策略默认是运行时（runtime）模式，又称为当前模式，系统重启后失效，若想使用永久（permanent）模式，就需在firewall-cmd  命令后面加参数 --permanent,在系统重启后生效。若想让配置策略立即生效需执行命令 firewall-cmd　--reload。

　　firewalld中的富规则可以针对系统服务、端口、源地址、和目标地址进行针对性的策略配置，在所有防火墙工具中优先级最高

firewalld服务自定义策略演示

1.查看当前使用区域

2.查询网卡的区域

3.修改网卡的默认区域为external，并重启后永久生效,并查看当前模式和永久模式下的区域名称

4.修改当前的默认区域为home

5.启动和关闭firewalld防火墙的应急状况模式，阻断一切网络连接（远程登入时慎用）

firewall-cmd　--panic-on　　===>开启

firewall-cmd　--panic-on　　===>关闭

6.查询public区域是否允许SSH和HTTPS协议流量，可以看到允许ssh,不允许https

7.修改在public区域中允许https流量，永久有效，并立即生效，可以看到为yes了

8.修改public区域中永久模式下拒绝https流量，立即生效，

9.把public区域中访问8080和8081的流量测试为允许，当前模式下

10把原本访问本机888端口的流量转发到22端口，要求当前和长期有效

SSH服务默认端口是22，其他端口是不可以访问，我们这里设置了端口转接，应该是可以登入的，

这里我用另一台虚拟机登入测试，不执行 firewall-cmd　--reload

无法ssh登入,网络是通的，

我们执行firewall-cmd　--reload,再登入看看

可以看到已成功登入到tes01了

11.使用firewalld的富规则，配置一条规则拒绝192.168.10.0、24网端所用用户访问主机的ssh服务

 富规则创建参数：--add-rich-rule=" 这里面是具体规则  "；

同网段的本机自己可以登入，其他同网段的不行

图形化工具则使用命令：firewall-config

需要安装 yum install -y firewall-config;再执行firewall-config命令