RHEL7 學習筆記（31) - 防火牆 （中）

RHEL7 學習筆記（31) - 防火牆 （中）

前面一節初步了解了firewalld的zone和service的設定（見 http://www.linuxidc.com/Linux/2015-02/113499.htm），下面看看port如何設定

例如，我刪除了使用者存取http服務的許可權，但是允許存取80埠，效果是一樣的

前面也說道了，物理網絡卡（這裡叫interface，介面）只能接入一個Zone裡面

預設接入的Zone是public，如果我再試圖分配到其他Zone，就會提示衝突。

刪除當前介面的系結，就可以分配了

如果是一個新建的網絡卡，或者我就手動清空了，如下所示，那對應的規則如何匹配？

如果某個介面不屬於任何Zone，那麼這個介面的所有封包使用預設的Zone的規則，這裡也就是public的規則。

因此可以繼續存取網頁

如果覺得每次都要刪除新增比較麻煩，可以直接使用 change-interface 修改網絡卡所在的zone

比如我把介面移到了trusted zone，那這個網絡卡對應的所有服務都是可以允許的。

接下來，我們看看 source （來源), 這個可以限制存取者的IP地址

檢視防火牆的設定可以通過 --list來查詢

設定source 使用 --add-source 就行了

例如

值得一提的是儘管firewalld是立刻生效的，如果需要重新啟動，可以重新啟動服務，也可以重新載入服務；

下一個功能是ICMP的過濾。 圖形介面裡面勾選的icmp型別就拒絕存取了，這個可以遮蔽用戶端的PING或者traceroute的測試，一般網管喜歡以安全的名義幹這事兒，系統管理員往往覺得忒不方便。

這個功能根據豆子的測試有些bug。 這個bug體現在幾點上

1） 圖形工具勾選的內容，命令列查詢有的時候沒有列出來

2）這個遮蔽對windows 的PING 完全無效

3）對於linux的PING，勉強生效；如果當前狀態是通的，那麼更改之後必須關掉PING再開啟才會遮蔽；如果當前不通，修改之後倒是立馬就通了

ICMP過濾之後，看看Rich Rules （富規則），這個可以允許我們設定更多的限制

手動圖形介面建立一個 禁止遠端IP ssh存取

測試成功，存取拒絕

檢視一下設定

依葫蘆畫瓢照著輸入一個類似的命令，禁止http存取

成功

刪除富規則

修改一下富規則，可以指定紀錄檔的字首和輸出級別

tailf /var/log/message 看看效果