centos防火墙规则匹配

在CentOS 7中，firewalld是一个常用的防火墙管理工具，它提供了一种灵活的方式来定义和控制网络流量的访问规则。以下是关于CentOS防火墙规则匹配的一些关键点：

防火墙区域（Zones）

• 预定义区域：CentOS 7中，firewalld预定义了9个区域，包括drop、block、public、external、dmz、work、home、internal和trusted。每个区域都有其特定的规则集。
• 区域与规则的关系：不同的区域可以定义不同的规则，例如public区域可能只允许特定的IP访问SSH端口。

添加和修改规则

• 添加指定端口：可以使用firewall-cmd --add-port=port/protocol --permanent命令来添加需要开放的端口，并使用firewall-cmd --reload命令重新加载配置。
• 放行指定IP和端口：可以使用firewall-cmd --permanent --add-rich-rule命令来添加富规则，指定源IP、目的IP、端口和协议等条件。
• 屏蔽端口：可以通过移除特定服务或设置区域目标为drop来屏蔽端口。

查看和删除规则

• 查看当前配置：使用firewall-cmd --list-all命令可以查看当前防火墙的所有配置信息。
• 删除规则：可以使用firewall-cmd --permanent --remove-rich-rule命令来删除特定的规则。

示例命令

以下是一些常用的firewalld命令示例：

• 查看活动区域：

  firewall-cmd --get-active-zones
  

• 查看默认区域规则：

  firewall-cmd --zone=public --list-all
  

• 设置默认区域目标为drop：

  firewall-cmd --zone=public --set-target=drop
  

• 添加指定端口（如开放443端口）：

  firewall-cmd --add-port=443/tcp --permanent
  firewall-cmd --reload
  

• 放行指定IP和端口（如允许192.168.142.166访问5432端口）：

  firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="5432" accept"
  firewall-cmd --reload
  

• 删除规则（如删除允许192.168.142.166访问11300端口的规则）：

  firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.142.166" port protocol="tcp" port="11300" accept"
  firewall-cmd --reload
  

以上信息提供了关于如何在CentOS 7中使用firewalld进行防火墙规则匹配的基本指导。