firewall_config

时间:2019-04-29 03:17:38  来源:igfitidea点击:

使用firewall-config管理firewalld

firewall-config图形用户界面,用于管理firewalld

firewall-config是一种图形工具,可以代替命令行来使用它来管理防火墙。通常,如果您已经安装了Gnome之类的桌面环境,它将与Firewalld一起安装。
(要从命令行配置防火墙,请参阅firewall-cmd部分。)

检查是否已安装工具firewall-config

[root@centos07b ~]# yum install firewalld firewall-config
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: centos.openitc.uk
 * epel: mirror.i3d.net
 * extras: centos.serverspace.co.uk
 * updates: centos.serverspace.co.uk
Package firewalld-0.3.9-7.el7.noarch already installed and latest version
Package firewall-config-0.3.9-7.el7.noarch already installed and latest version
Nothing to do

从上面我们可以看到已经安装了必要的项目。如果未安装它们,将提示您安装相关的软件包和所有依赖项。

防火墙配置-图形管理工具

要启动防火墙配置工具,您可以按超级键进入活动概述,然后键入防火墙,然后按Enter。现在应显示防火墙配置工具。或者,您可以打开控制台并以root用户身份运行以下命令:

# firewall-config

防火墙配置:
防火墙配置图形管理工具

请注意左下角的已连接字样。这表明防火墙配置工具已连接到用户空间守护程序firewalld。请注意,只有从下拉菜单视图中选择ICMP类型直接配置锁定白名单选项卡后,这些选项卡才可见。

更改防火墙设置

要立即更改防火墙的当前配置,请确保当前视图设置为Runtime。如果您的更改只需要在下次系统重新引导或重新加载防火墙时应用,则从下拉列表中选择永久选项。

运行时模式:设置或清除与服务关联的复选框后,更改立即生效。

永久模式:您的选择仅在重新加载防火墙或重新启动系统后才会生效。

重新加载防火墙:可以从文件菜单下面的图标,或者通过单击选项菜单并选择重新加载防火墙来重新加载/重新启动防火墙。

区域

将接口添加到区域

通过从主菜单栏中选择选项,然后从下拉菜单中选择更改连接区域,可以将接口分配或添加到所选区域。然后显示连接列表。接下来,选择要重新分配的连接。现在,您应该看到出现选择连接区域窗口。现在,从下拉菜单中选择新的防火墙区域,然后单击确定

zone区域选择:

连接的防火墙配置更改区域

设置默认区域

指定将分配新接口的默认区域。从主菜单栏中选择选项,然后从下拉菜单中选择更改默认区域。现在将出现默认区域窗口。现在,从列表中选择要成为默认区域的区域,然后单击确定

配置服务

要启用或禁用服务(自定义或预定义),请选择要配置其服务的网络区域,然后选择服务选项卡。现在,您可以选中要信任的每种服务的复选框,或清除复选框以阻止特定服务。下面的示例显示服务ssh当前设置为可信。

firewall-config配置服务

编辑服务

要编辑服务,请首先从标记为配置:的下拉选择菜单中将模式更改为永久。其他图标和菜单按钮出现在服务窗口的底部。现在,选择要配置的服务。

firewall-config编辑服务

更改服务的端口和协议

使用端口和协议选项卡,可以添加,删除或修改所选服务的端口和协议。模块选项卡用于配置Netfilter帮助器模块。通过目标选项卡,您可以将流量限制为特定的目标地址和Internet协议(IPv4或IPv6)。

防火墙配置使用端口和协议](images/rhel_firewall_configuration_08.png)

开放端口

仅当将端口指定为开放状态时,才允许流量通过防火墙。要使用防火墙配置工具打开端口,首先需要选择要使用的区域。接下来选择端口选项卡,然后单击添加按钮。现在将出现端口和协议窗口。从这里可以指定端口号或允许的端口范围。可以从下拉列表中选择协议。

firewall-config指定端口和协议

启用IP伪装

通过使用IP伪装选项卡,可以将IPv4地址转换为单个外部地址。在这里,您首先选择要转换其地址的网络区域,然后选择伪装选项卡并选中该框以启用将IPv4地址转换为单个地址的功能。

防火墙配置IP伪装

转发端口

入站网络流量的转发是通过端口转发选项卡配置的。首先必须启用IP伪装,然后选择端口转发选项卡。从窗口的上部选择入站流量的协议和端口的端口范围。要本地转发(到同一系统上的端口),请选中本地转发复选框。接下来,输入要发送流量的本地端口或端口范围。

要将流量转发到另一个地址,请选中转发到另一个端口复选框。接下来输入IP目标地址和端口或端口范围。如果端口字段保留为空,则默认值为发送到同一端口。接下来,单击确定以应用更改。

防火墙配置端口转发

配置ICMP过滤器

要启用或禁用 ICMP筛选器,请首先选择要对其邮件进行筛选的网络区域。接下来,选择ICMP筛选器选项卡,然后为每种要筛选的ICMP消息类型选择复选框。要禁用过滤器,只需删除复选框条目。

丰富的规则

丰富的规则为firewalld添加了丰富的(高级)语言,这允许创建复杂的防火墙规则而无需了解iptables语法。