日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

第2章在講解Linux命令時(shí)曾經(jīng)聽(tīng)到，命令行終端是一種極富效率的工作方式，firewall-cmd是firewalld防火墻配置管理工具的CLI（命令行界面）版本。它的參數(shù)一般都是以“長(zhǎng)格式”來(lái)提供的，大家不要一聽(tīng)到長(zhǎng)格式就頭大，因?yàn)镽HEL 7系統(tǒng)支持部分命令的參數(shù)補(bǔ)齊，其中就包含這條命令（很酷吧）。也就是說(shuō)，現(xiàn)在除了能用Tab鍵自動(dòng)補(bǔ)齊命令或文件名等內(nèi)容之外，還可以用Tab鍵來(lái)補(bǔ)齊表8-3中所示的長(zhǎng)格式參數(shù)了（這太棒了）。

成都創(chuàng)新互聯(lián)：成立與2013年為各行業(yè)開(kāi)拓出企業(yè)自己的“網(wǎng)站建設(shè)”服務(wù)，為近千家公司企業(yè)提供了專業(yè)的網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站設(shè)計(jì)、網(wǎng)頁(yè)設(shè)計(jì)和網(wǎng)站推廣服務(wù)， 專業(yè)公司由設(shè)計(jì)師親自精心設(shè)計(jì)，設(shè)計(jì)的效果完全按照客戶的要求，并適當(dāng)?shù)奶岢龊侠淼慕ㄗh，擁有的視覺(jué)效果，策劃師分析客戶的同行競(jìng)爭(zhēng)對(duì)手，根據(jù)客戶的實(shí)際情況給出合理的網(wǎng)站構(gòu)架，制作客戶同行業(yè)具有領(lǐng)先地位的。

表8-3 firewall-cmd命令中使用的參數(shù)以及作用

參數(shù)	作用
--get-default-zone	查詢默認(rèn)的區(qū)域名稱
--set-default-zone=<區(qū)域名稱>	設(shè)置默認(rèn)的區(qū)域，使其永久生效
--get-zones	顯示可用的區(qū)域
--get-services	顯示預(yù)先定義的服務(wù)
--get-active-zones	顯示當(dāng)前正在使用的區(qū)域與網(wǎng)卡名稱
--add-source=	將源自此IP或子網(wǎng)的流量導(dǎo)向指定的區(qū)域
--remove-source=	不再將源自此IP或子網(wǎng)的流量導(dǎo)向某個(gè)指定區(qū)域
--add-interface=<網(wǎng)卡名稱>	將源自該網(wǎng)卡的所有流量都導(dǎo)向某個(gè)指定區(qū)域
--change-interface=<網(wǎng)卡名稱>	將某個(gè)網(wǎng)卡與區(qū)域進(jìn)行關(guān)聯(lián)
--list-all	顯示當(dāng)前區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息
--list-all-zones	顯示所有區(qū)域的網(wǎng)卡配置參數(shù)、資源、端口以及服務(wù)等信息
--add-service=<服務(wù)名>	設(shè)置默認(rèn)區(qū)域允許該服務(wù)的流量
--add-port=<端口號(hào)/協(xié)議>	設(shè)置默認(rèn)區(qū)域允許該端口的流量
--remove-service=<服務(wù)名>	設(shè)置默認(rèn)區(qū)域不再允許該服務(wù)的流量
--remove-port=<端口號(hào)/協(xié)議>	設(shè)置默認(rèn)區(qū)域不再允許該端口的流量
--reload	讓“永久生效”的配置規(guī)則立即生效，并覆蓋當(dāng)前的配置規(guī)則
--panic-on	開(kāi)啟應(yīng)急狀況模式
--panic-off	關(guān)閉應(yīng)急狀況模式

與Linux系統(tǒng)中其他的防火墻策略配置工具一樣，使用firewalld配置的防火墻策略默認(rèn)為運(yùn)行時(shí)（Runtime）模式，又稱為當(dāng)前生效模式，而且隨著系統(tǒng)的重啟會(huì)失效。如果想讓配置策略一直存在，就需要使用永久（Permanent）模式了，方法就是在用firewall-cmd命令正常設(shè)置防火墻策略時(shí)添加--permanent參數(shù)，這樣配置的防火墻策略就可以永久生效了。但是，永久生效模式有一個(gè)“不近人情”的特點(diǎn)，就是使用它設(shè)置的策略只有在系統(tǒng)重啟之后才能自動(dòng)生效。如果想讓配置的策略立即生效，需要手動(dòng)執(zhí)行firewall-cmd --reload命令。

接下來(lái)的實(shí)驗(yàn)都很簡(jiǎn)單，但是提醒大家一定要仔細(xì)查看劉遄老師使用的是Runtime模式還是Permanent模式。如果不關(guān)注這個(gè)細(xì)節(jié)，就算是正確配置了防火墻策略，也可能無(wú)法達(dá)到預(yù)期的效果。

查看firewalld服務(wù)當(dāng)前所使用的區(qū)域：

    [root@linuxprobe ~]# firewall-cmd --get-default-zone
    public

查詢eno16777728網(wǎng)卡在firewalld服務(wù)中的區(qū)域：

    [root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
    public

把firewalld服務(wù)中eno16777728網(wǎng)卡的默認(rèn)區(qū)域修改為external，并在系統(tǒng)重啟后生效。分別查看當(dāng)前與永久模式下的區(qū)域名稱：

    [root@linuxprobe ~]# firewall-cmd --permanent --zone=external --change-interface=eno16777728
    success
    [root@linuxprobe ~]# firewall-cmd --get-zone-of-interface=eno16777728
    public
    [root@linuxprobe ~]# firewall-cmd --permanent --get-zone-of-interface=eno16777728
    external

把firewalld服務(wù)的當(dāng)前默認(rèn)區(qū)域設(shè)置為public：

    [root@linuxprobe ~]# firewall-cmd --set-default-zone=public
    success
    [root@linuxprobe ~]# firewall-cmd --get-default-zone 
    public

啟動(dòng)/關(guān)閉firewalld防火墻服務(wù)的應(yīng)急狀況模式，阻斷一切網(wǎng)絡(luò)連接（當(dāng)遠(yuǎn)程控制服務(wù)器時(shí)請(qǐng)慎用）：

    [root@linuxprobe ~]# firewall-cmd --panic-on
    success
    [root@linuxprobe ~]# firewall-cmd --panic-off
    success

查詢public區(qū)域是否允許請(qǐng)求SSH和HTTPS協(xié)議的流量：

    [root@linuxprobe ~]# firewall-cmd --zone=public --query-service=ssh
    yes
    [root@linuxprobe ~]# firewall-cmd --zone=public --query-service=https
    no

把firewalld服務(wù)中請(qǐng)求HTTPS協(xié)議的流量設(shè)置為永久允許，并立即生效：

    [root@linuxprobe ~]# firewall-cmd --zone=public --add-service=https
    success
    [root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-service=https
    success
    [root@linuxprobe ~]# firewall-cmd --reload
    success

把firewalld服務(wù)中請(qǐng)求HTTP協(xié)議的流量設(shè)置為永久拒絕，并立即生效：

    [root@linuxprobe ~]# firewall-cmd --permanent --zone=public --remove-service=http 
    success
    [root@linuxprobe ~]# firewall-cmd --reload 
    success

把在firewalld服務(wù)中訪問(wèn)8080和8081端口的流量策略設(shè)置為允許，但僅限當(dāng)前生效：

    [root@linuxprobe ~]# firewall-cmd --zone=public --add-port=8080-8081/tcp
    success
    [root@linuxprobe ~]# firewall-cmd --zone=public --list-ports 
    8080-8081/tcp

把原本訪問(wèn)本機(jī)888端口的流量轉(zhuǎn)發(fā)到22端口，要且求當(dāng)前和長(zhǎng)期均有效：

    流量轉(zhuǎn)發(fā)命令格式為firewall-cmd --permanent --zone=<區(qū)域> --add-forward-port=port=<源端口號(hào)>:proto=<協(xié)議>:toport=<目標(biāo)端口號(hào)>:toaddr=<目標(biāo)IP地址>


    [root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-forward-port=port=888:proto=tcp:toport=22:toaddr=192.168.10.10
    success
    [root@linuxprobe ~]# firewall-cmd --reload
    success

在客戶端使用ssh命令嘗試訪問(wèn)192.168.10.10主機(jī)的888端口：

    [root@client A ~]# ssh -p 888 192.168.10.10
    The authenticity of host '[192.168.10.10]:888 ([192.168.10.10]:888)' can't be established.
    ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef:76:63:ff:1a:54:02:1a.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '[192.168.10.10]:888' (ECDSA) to the list of known hosts.
    root@192.168.10.10's password:此處輸入遠(yuǎn)程root管理員的密碼
    Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10

firewalld中的富規(guī)則表示更細(xì)致、更詳細(xì)的防火墻策略配置，它可以針對(duì)系統(tǒng)服務(wù)、端口號(hào)、源地址和目標(biāo)地址等諸多信息進(jìn)行更有針對(duì)性的策略配置。它的優(yōu)先級(jí)在所有的防火墻策略中也是最高的。比如，我們可以在firewalld服務(wù)中配置一條富規(guī)則，使其拒絕192.168.10.0/24網(wǎng)段的所有用戶訪問(wèn)本機(jī)的ssh服務(wù)（22端口）：

    [root@linuxprobe ~]# firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="192.168.10.0/24" service name="ssh" reject"
    success
    [root@linuxprobe ~]# firewall-cmd --reload
    success

在客戶端使用ssh命令嘗試訪問(wèn)192.168.10.10主機(jī)的ssh服務(wù)（22端口）：

    [root@client A ~]# ssh 192.168.10.10
    Connecting to 192.168.10.10:22...
    Could not connect to '192.168.10.10' (port 22): Connection failed.

分享名稱：創(chuàng)新互聯(lián)linux教程：8.3.1終端管理工具
分享路徑：http://www.dlmjj.cn/article/dpoojhg.html