centos 7.8 防火墙出入规则-设置防止入侵等命令

centos 7.8 防火墙的区域：

drop 任何流入方向都被丢弃，只可以流出

block 流入方向都拒绝，返回icmp-host-prohibited错误

public 允许部分服务和选中的服务流入，默认只允许dhcp和ssh

external 用于路由器的伪装网络，默认入站只允许
ssh
dmz隔离 限制被外界网络访问，需手动开转发，默认入站只允许
ssh
work 只允许被选中的连接，默认dhcp/ipp和ssh
home 只允许被选中的连接，默认dhcp、dns、ipp、Samba、ssh

internal 和home一样
trusted 完全允许所有，进出都一样

Firewall命令

firewall-cmd --list-all-zones 查看所有区域

firewall-cmd --zone=public --list-all 查看public区域

firewall-cmd --get-default-zone 查看默认区域

firewall-cmd --get-active-zones 查看激活区域

firewall-cmd --state 查看防火墙状态

firewall-cmd --get-services 查看防火墙支持的服务

firewall-cmd --get-zone-of-interface=ens33 查看ens33在哪个区域

firewall-cmd --list-services 查看区域内的所有服务

firewall-cmd --list-ports 查看区域内所有端口

firewall-cmd --set-default-zone=internal 设置默认区域

firewall-cmd --zone=work --add-interface=ens33 添加端口

firewall-cmd --zone=work --add-service=http 添加服务

firewall-cmd --zone=internal --change-interface=ens33 将ens33移动到internal

firewall-cmd --zone=internal --remove-interface=ens33 从internal中将ens33移除

firewall-cmd --zone=internal --query-interface=ens33 返回yes

firewall-cmd --zone=work --remove-service=http

firewall-cmd --zone=work --query-service=http
恐慌模式 panic 切换一切连接

firewall-cmd --query-panic 查询恐慌模式是否开启

firewall-cmd --panic-on 开启恐慌模式
firewall-cmd --panic-off 关闭恐慌模式

firewall-cmd --zone=work --add-port=20-30/tcp

firewall-cmd --zone=work --remove-port=20-30/tcp

firewall-cmd --zone=work --query-port=20-21/tcp

firewall-cmd --zone=work --add-masquerade 相当于做了SNAT work区域可上网

firewall-cmd --zone=work --remove-masquerade work区域不可以上网

firewall-cmd --zone=work --query-masquerade 查询是否可以上网

firewall-cmd --zone=work --add-icmp-block=echo-reply 阻塞应答包

firewall-cmd --zone=work --add-icmp-block=echo-request 阻塞请求包
数据包转发语法：

firewall-cmd --zone=work --add-forward-port=port=80:proto=tcp:toport:8080:toaddr=192.168.1.1
可在8080后加tcp 即 toport=8080/tcp 表示到本机80端口的数据会被转发到192.168.1.1的8080端口，可以不加toaddr，表情本机端口转发

富策略语法：

rule family 协议簇

source address 源地址
firewall-cmd --permanent --add-rich-rule ‘rule family=ipv4 source address=1.1.1.100/8
forward-port port=8888 protocol=tcp to-port=80’
firewall-cmd --permanent --zone=dmz --add-rich-rule ‘rule famile=ipv4 source address=192.168.1.1 service name=http reject’ 拒绝192.168.1.1的web连接
firewall-cmd --permanent --add-rich-rule ‘rule family=ipv4 source address=192.168.1.100 service name=http log limit value=2/m’ 记录来自1.100的日志每分钟2条
firewall-cmd --reload 永久生效的立即生效
阻止某个可疑ip

firewall-cmd --permanent --add-rich-rule ’rule family=ipv4 source address =10.0.0.0/24 drop’
firewall-cmd --permanent --add-rich-rule ‘rule service name=ssh accept limit value=3//m’ 每分钟连接3个ssh，限流
某个网段可以上网

firewall-cmd --permanent --add-rich-rule ‘rule family=ipv4 source address=192.168.1.0/24 masquerade’

centos 7.8设置防火墙要注意的两点：
（1）开放端口或权限需要先看默认zone是哪个，然后在对应的zone里添加port或source 这样才会有用

（2）永久生效尽量使用