centos 6 ipforward(forward转发)
各位老铁们好,相信很多人对centos 6 ipforward都不是特别的了解,因此呢,今天就来为大家分享下关于centos 6 ipforward以及forward转发的问题知识,还望可以帮助大家,解决大家的一些困惑,下面一起来看看吧!
CentOS系统怎样安装DNS服务器
CentOS系统安装DNS服务器方法
DNS安装配置
在 RHEL5、6中 DNS都是用的是 bind软件包,而在 RHEL/CentOS 7用的是 unbound安装包,配置文件也有了改变。我们来看一下:
2.1.安装:
代码如下:
[root@linuxprobe~]# yum-y install unbound
Loaded plugins: langpacks, product-id, subscription-manager
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
Resolving Dependencies
---> Running transaction check
---> Package unbound.x86_64 0:1.4.20-19.el7 will be installed
---> Finished Dependency Resolution
·····
启动服务
代码如下:
[root@linuxprobe~]# systemctl restart unbound//启动DNS服务
[root@linuxprobe~]# systemctl enable unbound
ln-s‘/usr/lib/systemd/system/unbound.service‘‘/etc/systemd/system/multi-user.target.wants/unbound.service‘
//下次系统重启自动启动DNS服务
2.2.修改配置文件
unbound安装好之后,缺省配置文件在/etc/unbound/unbound.conf。
2.2.1.修改端口监听地址
相当于 RHEL6配置文件中的:listen-on port 53{ any;};
查看默认监听地址
代码如下:
[root@linuxprobe~]# netstat-tunlp|grep unbound
tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 3333/unbound
tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3333/unbound
tcp6 0 0::1:53:::* LISTEN 3333/unbound
tcp6 0 0::1:8953:::* LISTEN 3333/unbound
udp 0 0 127.0.0.1:53 0.0.0.0:* 3333/unbound
udp6 0 0::1:53:::* 3333/unbound
//默认监听本地回环地址,也就是现在只有自己能访问DNS服务,其它主机不能访问本机的DNS服务
修改监听地址代码如下:
[root@linuxprobe~]# vim/etc/unbound/unbound.conf
……
38# interface: 0.0.0.0
39 interface: 0.0.0.0
……
//找到38行,复制去掉注释行,打开监听全网功能。
重启服务查看
代码如下:
[root@linuxprobe~]# systemctl restart unbound
[root@linuxprobe~]# netstat-tunlp|grep unbound
tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN 3461/unbound
tcp 0 0 127.0.0.1:8953 0.0.0.0:* LISTEN 3461/unbound
tcp6 0 0::1:8953:::* LISTEN 3461/unbound
udp 0 0 0.0.0.0:53 0.0.0.0:* 3461/unbound
//现在53号端口监听的是0.0.0.0,即所有网段都监听。
2.2.2.修改允许查询的范围
在 RHEL6中,DNS配置文件中有这样一句:allow-query{ localhost;};。此句定义的是允许向本机查询(迭代&递归)的主机范围,localhost代表只有本机可以向本机查询。而在配置中,经常改 localhost为 any,让所有主机能够向本机查询 DNS。所以,在 RHEL7中,也要做这样的修改,只不过修改内容不同而已,如下:
代码如下:
[root@linuxprobe~]# vim/etc/unbound/unbound.conf
……
177# access-control: 0.0.0.0/0 refuse
178 access-control: 0.0.0.0/0 allow
179# access-control: 127.0.0.0/8 allow
……
找到配置文件/etc/unbound/unbound.conf的第177行,缺省为注释行,把内容改为允许访问,然后保存退出,重启服务即可。
2.2.3.创建解析文件
RHEL/CentOS 5、6系统中,DNS的解析文件分正向和反向两个解析文件,并且有解析文件的模板文件。但是在 RHEL7中,正反向解析文件合并为一个,并且无模板文件,需自己创建,路径可以在主配置文件中查看:
代码如下:
[root@linuxprobe~]# vim/etc/unbound/unbound.conf
……
453# You can add locally served data with
454# local-zone:"local." static
455# local-data:"mycomputer.local. IN A 192.0.2.51"
//正向解析可参考语法
456# local-data:‘mytext.local TXT"content of text record"‘
457#
458# You can override certain queries with
459# local-data:"adserver.example.com A 127.0.0.1"
460#
461# You can redirect a domain to a fixed address with
462#(this makes example.com, www.example.com, etc, all go to 192.0.2.3)
463# local-zone:"example.com" redirect
464# local-data:"example.com A 192.0.2.3"
465#
# Shorthand to make PTR records,"IPv4 name" or"IPv6 name".
467# You can also add PTR records using local-data directly, but then
468# you need to do the reverse notation yourself.
469# local-data-ptr:"192.0.2.3 www.example.com"
//反向解析参考语法
470
471 include:/etc/unbound/local.d/*.conf
472
473# service clients over SSL(on the TCP sockets), with plain DNS inside
……
查看本机FQDN
代码如下:
[root@linuxprobe~]# hostname
linuxprobe.example.com
//由此可知,域名为example.com
创建解析文件代码如下:
[root@linuxprobe~]# vim/etc/unbound/local.d/example.conf
local-zone:"example.com." static
local-data:"example.com. 86400 IN SOA ns.example.com. root 1 1D 1H 1W 1H"
local-data:"ns.example.com. IN A 192.168.10.10"
local-data:"linuxprobe.example.com. IN A 192.168.10.10"
local-data-ptr:"192.168.10.10 ns.example.com."
local-data-ptr:"192.168.10.10 linuxprobe.example.com."
查看RHEL6上解析文件以作对比
代码如下:
[root@linuxprobe~]# vim/var/named/named.localhost
$TTL 1D
@ IN SOA@ rname.invalid.(
0; serial
1D; refresh
1H; retry
1W; expire
3H); minimum
NS@
A 127.0.0.1
AAAA::1
2.3.禁用服务用户
每个服务都是有其专用的服务用户,DNS的服务用户为 unbound,实际情况下服务用户的启用有可能有安全隐患,这里要禁用服务用户。
代码如下:
[root@linuxprobe~]# vim/etc/unbound/unbound.conf
······
211# if given, user privileges are dropped(after binding port),
212# and the given username is assumed. Default is user"unbound".
213# If you give"" no privileges are dropped.
214#username:"unbound"
215 username:""
216
217# the working directory. The relative files in this config
······
如上,找到配置文件的第214行,删除unbound即可,删除后为:username”“。
2.4.验证
代码如下:
[root@linuxprobe~]# unbound-checkconf
unbound-checkconf: no errors in/etc/unbound/unbound.conf
验证无配置问题,即可重启服务
复制代码代码如下:
[root@linuxprobe~]# systemctl restart unbound
dns验证:
修改本机DNS
代码如下:
[root@linuxprobe~]# vim/etc/sysconfig/network-scripts/ifcfg-eth0
HWADDR=00:0C:29:70:····
TYPE=Ethernet
····
IPADDR="192.168.10.10"
PREFIX="24"
···
DNS1=192.168.10.10
NAME=eth0
ONBOOT=no
[root@linuxprobe~]# systemctl restart network
nslookup验证
代码如下:
[root@linuxprobe~]# nslookup
linuxprobe.example.com.
192.168.10.10
ok dns设置成功
PS:关闭防火墙
在本次实验中我们关闭了 linux的3大防火墙。当没有关闭防火墙时,远程主机验证可能出现故障,这时需要在 DNS服务器防火墙上开放 DNS服务。我们以 firewall防火墙为例,修改一下:
代码如下:
[root@linuxprobe~]# systemctl stop iptables
[root@linuxprobe~]# systemctl stop ebtables
[root@linuxprobe~]# systemctl disable iptables
[root@linuxprobe~]# systemctl disable ebtables
[root@linuxprobe~]# firewall-cmd--add-service=dns--permanent
success
[root@linuxprobe~]# firewall-cmd--reload
success
[root@linuxprobe~]# firewall-cmd--list-all
public(default, active)
interfaces: eth0
sources:
services: dhcpv6-client dns ssh
ports:
masquerade: no
forward-ports:
icmp-blocks:
rich rules:
//DNS服务器上Firewall开放DNS访问ok
CentOS7使用hostapd实现无AP模式的详解
这篇是 linux下使用hostapd实现无线接入点 AP模式的另一种实现方式:hostapd路由模式配置。
对于软硬件的基本配置及 hostapd安装在《CentOS 7之 hostapd AP模式配置》的前半部分内容中有说明,可以先看看那篇,再看本文。
hostapd的AP模式配置需要的有线网卡和无线网卡进行桥接,那路由模式配置主要就是将无线网卡的数据通过有线网卡进行伪装、转发两个方面,也就不再需要将有线和无线网卡进行桥接。
配置这种路由模式就类似一台普通的无线路由器,有线网口就相当于普通无线路由器的 WAN接口,无线网卡就负责发送广播无线信号供手机、笔记本的无线设备接入实现网络访问。
但也有区别的地方就是跟普通无线路由器相比,这种实现方式没有四个普通的 LAN接口,不能供其它台式机等进行有线连接。
实际上 linux作为网络功能为主的操作系统也是可以连接的,只是需要交换机等设备等,会复杂些。我这里的配置就当作是没有四个 LAN接口的普通无线路由器。
hostapd.conf配置
这里只是一个最小化的配置:
#/etc/hostapd/hostapd.conf最小化配置
interface=wlp2s0
#bridge=br0#不再需要桥接,将这行注释就可以
driver=nl80211
ssid=test
hw_mode=g
channel=1
auth_algs=3
ignore_broadcast_ssid=0#是否广播,0广播
wpa=3
wpa_passphrase=12345678#无线连接密码
配置跟AP模式配置文件类似,只要注释掉 bridge=br0选项就可以。
有线接口配置
首先我们需要正确配置有线接口并且可以正常上网。最简单的是方式就是从路由器那自动获取IP地址、网关、DNS。如果没有路由器的话那就需要手动设置有线接口的上网方式,例如常用的PPPOE方式、静态IP地址方式、动态获取IP地址方式等。反正动态获取IP地址的最简单。
无线接口设置使用 ip addr add命令
使用 ip addr add命令设置无线网卡的IP地址,重启后就会失效。例如172.16.0.1/24或其他私有地址,还有就是不要与有线网卡处在同一个网段。一般有线网卡从路由器获取的IP地址是 192.168.1.0/24网段地址。
ipaddradd172.16.0.1/24devwlp2s0
坑提示:目前 CentOS 7默认使用的是 NetworkManager套件作为网络配置工具。这里遇到一个问题就是,NetworkManager套件其提供的 nmcli命令并不支持给无线网卡设置静态的 IP地址,这就需要使用 ip addr add命令手动设定无线网卡的 IP地址或者在/etc/sysconfig/network-scripts/文件夹下面新建配置文件,这是比较老且经典的一种接口配置方式。
使用网络配置文件
如要想想保存设置,可以新建一个文件/etc/sysconfig/network-scripts/ifcfg-static-wlp2s0,文件名以 ifcfg前缀。
vi/etc/sysconfig/network-scripts/ifcfg-static-wlp2s0
[root@server~]#vi/etc/sysconfig/network-scripts/ifcfg-static-wlp2s0
#TYPE=Ethernet
#BOOTPROTO=none
#DEFROUTE=yes
#IPV4_FAILURE_FATAL=no
#IPV6INIT=yes
#IPV6_AUTOCONF=yes
#IPV6_DEFROUTE=yes
#IPV6_FAILURE_FATAL=no
#NAME=static-wlp2s0
#UUID=a036678e-8fdf-48f3-8693-961bb6326i744
DEVICE=wlp2s0#指定无线网卡的接口
ONBOOT=yes#开机就进行设置
IPADDR=172.16.0.1#指定IP地址
PREFIX=24#指定掩码长度
#GATEWAY=192.168.10.254#其他用不着注释掉
#DNS1=127.0.0.1
#DNS2=192.168.10.254
#IPV6_PEERDNS=yes
#IPV6_PEERROUTES=yes
保存后需要先停止 NetworkManager.service服务,最好禁止开机启动,不然还是会有问题。主要表现为开机时 network.service无法启动。
禁止NetworkManager.service服务开机启动
systemctldisableNetworkManager.service
停止NetworkManager.service服务
systemctlstopNetworkManager.service
想看看有没有生效可以重启 network.service服务或直接重启系统。
systemctlrestartnetwork.service
启用转发和配置接口伪装启用转发
使用 sysctl-w重启后会失效
sysctl-wnet.ipv4.ip_forward=1
[root@server~]#sysctl-wnet.ipv4.ip_forward=1
net.ipv4.ip_forward=1
启用IP转发重启后不会失效使用下面方法,系统重启后会自动加载/etc/sysctl.d/文件夹下的设置。
vi/etc/sysctl.d/ip_forward.conf
[root@server~]#vi/etc/sysctl.d/ip_forward.conf
net.ipv4.ip_forward=1
配置接口伪装
CentOS 7中使用 firewalld和 iptables都能做到接口伪装。CentOS 7中默认启用的是 firewalld.service服务。iptables服务和 firewalld服务冲突,两者只能启用其中一个。
使用 firewalld配置接口伪装
如果能使用图形界面配置的话更加简单明了,这里仅使用 firewalld-cmd命令方式配置。
如果没有启动 firewalld.service服务,需要先启动 firewalld.service服务。
systemctlstartfirewalld.service
将无线接口加入到 trust区域,并保存配置。默认情况下所有接口属于 public区域,连接限制比较严格,会导致无法连接。
firewall-cmd--zone=trusted--add-interface=wlp2s0--permanent
[root@server~]#firewall-cmd--zone=trusted--add-interface=wlp2s0--permanent
success
对有线接口所在的区域启用伪装,并保存配置,默认情况下有线接口属于 public区域。
firewall-cmd--zone=public--add-masquerade--permanent
[root@server~]#firewall-cmd--zone=public--add-masquerade--permanent
success
重启 firewalld服务
systemctlrestartfirewalld.service
使用 iptables配置接口伪装
如果习惯使用 iptables,需要安装 iptables-services这个包,里面包含 iptables.service和 ip6tables.service这两个服务,分别用于 ipv4和 ipv6。
要使用 iptables需要先停止并禁用 firewalld.service服务
systemctlstopfirewalld.service
systemctldisablefirewalld.service
再启用 iptables.service服务,因为目前还是主要使用 ipv4所以只启用 iptables.service就可以。如果使用 iptables同样需要设置开机启动 iptables.service服务。
systemctlenableiptables.service
启动 iptables.service服务
systemctlstartiptables.service
接口伪装
iptables-tnat-APOSTROUTING-op2p1-jMASQUERADE
一般来说配置上面的命令就可以了,如果防火墙设置比较严格需要添加允许转发无线网卡接口wlp2s0。
iptables-tfilter-AFORWARD-iwlp2s0-jACCEPT
dnsmasq配置 dnsmasq软件安装
dnsmasq主要负责分配客户端IP地址及DNS解析服务。
没有安装的话先安装 dnsmasq软件
yuminstalldnsmasq
设置开机自动启动 dnsmasq服务
systemctlenablednsmasq.service
dnsmasq.conf配置
vi/etc/dmsmasq.conf
[root@server~]#vi/etc/dnsmasq.conf
#指定接口,指定后同时附加lo接口,可以使用'*'通配符
interface=wlp2s0
#绑定接口
bind-interfaces
#DHCP地址池从172.16.0.100到172.16.0.200
dhcp-range=172.16.0.100,172.16.0.200,255.255.255.0,1h
启动 dnsmansq服务需要无线网卡已经正确设置了 ip地址。dnsmasq会自动将当前的无线网卡地址 172.16.0.1设置为客户端的网关地址和DNS地址。
systemctlstartdnsmasq.service
最后重新启动 hostapd服务
systemctlrestarthostapd.service
Linux centos7下ftp默认端口修改后firewalld如何设置
centos 7中防火墙是一个非常的强大的功能了,但对于centos 7中在防火墙中进行了升级了,下面我们一起来详细的看看关于centos 7中防火墙使用方法。
FirewallD提供了支持网络/防火墙区域(zone)定义网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPv4, IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项。它也支持允许服务或者应用程序直接添加防火墙规则的接口。以前的 system-config-firewall/lokkit防火墙模型是静态的,每次修改都要求防火墙完全重启。这个过程包括内核 netfilter防火墙模块的卸载和新配置所需模块的装载等。而模块的卸载将会破坏状态防火墙和确立的连接。
相反,firewall daemon动态管理防火墙,不需要重启整个防火墙便可应用更改。因而也就没有必要重载所有内核防火墙模块了。不过,要使用 firewall daemon就要求防火墙的所有变更都要通过该守护进程来实现,以确保守护进程中的状态和内核里的防火墙是一致的。另外,firewall daemon无法解析由 ip*tables和 ebtables命令行工具添加的防火墙规则。
守护进程通过 D-BUS提供当前激活的防火墙设置信息,也通过 D-BUS接受使用 PolicyKit认证方式做的更改。
“守护进程”
应用程序、守护进程和用户可以通过 D-BUS请求启用一个防火墙特性。特性可以是预定义的防火墙功能,如:服务、端口和协议的组合、端口/数据报转发、伪装、ICMP拦截或自定义规则等。该功能可以启用确定的一段时间也可以再次停用。
通过所谓的直接接口,其他的服务(例如 libvirt)能够通过 iptables变元(arguments)和参数(parameters)增加自己的规则。
amanda、ftp、samba和 tftp服务的 netfilter防火墙助手也被“守护进程”解决了,只要它们还作为预定义服务的一部分。附加助手的装载不作为当前接口的一部分。由于一些助手只有在由模块控制的所有连接都关闭后才可装载。因而,跟踪连接信息很重要,需要列入考虑范围。
静态防火墙(system-config-firewall/lokkit)
使用 system-config-firewall和 lokkit的静态防火墙模型实际上仍然可用并将继续提供,但却不能与“守护进程”同时使用。用户或者管理员可以决定使用哪一种方案。
在软件安装,初次启动或者是首次联网时,将会出现一个选择器。通过它你可以选择要使用的防火墙方案。其他的解决方案将保持完整,可以通过更换模式启用。
firewall daemon独立于 system-config-firewall,但二者不能同时使用。
使用iptables和ip6tables的静态防火墙规则
如果你想使用自己的 iptables和 ip6tables静态防火墙规则,那么请安装 iptables-services并且禁用 firewalld,启用 iptables和ip6tables:
yum install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
静态防火墙规则配置文件是/etc/sysconfig/iptables以及/etc/sysconfig/ip6tables.
注: iptables与 iptables-services软件包不提供与服务配套使用的防火墙规则.这些服务是用来保障兼容性以及供想使用自己防火墙规则的人使用的.你可以安装并使用 system-config-firewall来创建上述服务需要的规则.为了能使用 system-config-firewall,你必须停止 firewalld.
为服务创建规则并停用 firewalld后,就可以启用 iptables与 ip6tables服务了:
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service
什么是区域?
网络区域定义了网络连接的可信等级。这是一个一对多的关系,这意味着一次连接可以仅仅是一个区域的一部分,而一个区域可以用于很多连接。
预定义的服务
服务是端口和/或协议入口的组合。备选内容包括 netfilter助手模块以及 IPv4、IPv6地址。
端口和协议
定义了 tcp或 udp端口,端口可以是一个端口或者端口范围。
ICMP阻塞
可以选择 Internet控制报文协议的报文。这些报文可以是信息请求亦可是对信息请求或错误条件创建的响应。
伪装
私有网络地址可以被映射到公开的IP地址。这是一次正规的地址转换。
端口转发
端口可以映射到另一个端口以及/或者其他主机。
哪个区域可用?
由firewalld提供的区域按照从不信任到信任的顺序排序。
丢弃
任何流入网络的包都被丢弃,不作出任何响应。只允许流出的网络连接。
阻塞
任何进入的网络连接都被拒绝,并返回 IPv4的 icmp-host-prohibited报文或者 IPv6的 icmp6-adm-prohibited报文。只允许由该系统初始化的网络连接。
公开
用以可以公开的部分。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。(You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.)
外部
用在路由器等启用伪装的外部网络。你认为网络中其他的计算机不可信并且可能伤害你的计算机。只允许选中的连接接入。
隔离区(dmz)
用以允许隔离区(dmz)中的电脑有限地被外界网络访问。只接受被选中的连接。
工作
用在工作网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
家庭
用在家庭网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
内部
用在内部网络。你信任网络中的大多数计算机不会影响你的计算机。只接受被选中的连接。
受信任的
允许所有网络连接。
我应该选用哪个区域?
例如,公共的 WIFI连接应该主要为不受信任的,家庭的有线网络应该是相当可信任的。根据与你使用的网络最符合的区域进行选择。
如何配置或者增加区域?
你可以使用任何一种 firewalld配置工具来配置或者增加区域,以及修改配置。工具有例如 firewall-config这样的图形界面工具, firewall-cmd这样的命令行工具,以及D-BUS接口。或者你也可以在配置文件目录中创建或者拷贝区域文件。@PREFIX@/lib/firewalld/zones被用于默认和备用配置,/etc/firewalld/zones被用于用户创建和自定义配置文件。
如何为网络连接设置或者修改区域
区域设置以 ZONE=选项存储在网络连接的ifcfg文件中。如果这个选项缺失或者为空,firewalld将使用配置的默认区域。
如果这个连接受到 NetworkManager控制,你也可以使用 nm-connection-editor来修改区域。
由NetworkManager控制的网络连接
防火墙不能够通过 NetworkManager显示的名称来配置网络连接,只能配置网络接口。因此在网络连接之前 NetworkManager将配置文件所述连接对应的网络接口告诉 firewalld。如果在配置文件中没有配置区域,接口将配置到 firewalld的默认区域。如果网络连接使用了不止一个接口,所有的接口都会应用到 fiwewalld。接口名称的改变也将由 NetworkManager控制并应用到firewalld。
为了简化,自此,网络连接将被用作与区域的关系。
如果一个接口断开了,NetworkManager也将告诉firewalld从区域中删除该接口。
当firewalld由systemd或者init脚本启动或者重启后,firewalld将通知NetworkManager把网络连接增加到区域。
由脚本控制的网络
对于由网络脚本控制的连接有一条限制:没有守护进程通知 firewalld将连接增加到区域。这项工作仅在 ifcfg-post脚本进行。因此,此后对网络连接的重命名将不能被应用到firewalld。同样,在连接活动时重启 firewalld将导致与其失去关联。现在有意修复此情况。最简单的是将全部未配置连接加入默认区域。
区域定义了本区域中防火墙的特性:
使用firewalld
你可以通过图形界面工具 firewall-config或者命令行客户端 firewall-cmd启用或者关闭防火墙特性。
使用firewall-cmd
命令行工具 firewall-cmd支持全部防火墙特性。对于状态和查询模式,命令只返回状态,没有其他输出。
一般应用
获取 firewalld状态
firewall-cmd--state
此举返回 firewalld的状态,没有任何输出。可以使用以下方式获得状态输出:
firewall-cmd--state&& echo"Running"|| echo"Not running"
在 Fedora 19中,状态输出比此前直观:
# rpm-qf$( which firewall-cmd)
firewalld-0.3.3-2.fc19.noarch# firewall-cmd--state
not running
在不改变状态的条件下重新加载防火墙:
firewall-cmd--reload
如果你使用–complete-reload,状态信息将会丢失。这个选项应当仅用于处理防火墙问题时,例如,状态信息和防火墙规则都正常,但是不能建立任何连接的情况。
获取支持的区域列表
firewall-cmd--get-zones
这条命令输出用空格分隔的列表。
获取所有支持的服务
firewall-cmd--get-services
这条命令输出用空格分隔的列表。
获取所有支持的ICMP类型
firewall-cmd--get-icmptypes
这条命令输出用空格分隔的列表。
列出全部启用的区域的特性
firewall-cmd--list-all-zones
输出格式是:
<zone>
interfaces:<interface1>..
services:<service1>..
ports:<port1>..
forward-ports:<forward port1>..
icmp-blocks:<icmp type1>....
输出区域<zone>全部启用的特性。如果生略区域,将显示默认区域的信息。
firewall-cmd [--zone=<zone>]--list-all
获取默认区域的网络设置
firewall-cmd--get-default-zone
设置默认区域
firewall-cmd--set-default-zone=<zone>
流入默认区域中配置的接口的新访问请求将被置入新的默认区域。当前活动的连接将不受影响。
获取活动的区域
firewall-cmd--get-active-zones
这条命令将用以下格式输出每个区域所含接口:
<zone1>:<interface1><interface2>..<zone2>:<interface3>..
根据接口获取区域
firewall-cmd--get-zone-of-interface=<interface>
这条命令将输出接口所属的区域名称。
将接口增加到区域
firewall-cmd [--zone=<zone>]--add-interface=<interface>
如果接口不属于区域,接口将被增加到区域。如果区域被省略了,将使用默认区域。接口在重新加载后将重新应用。
修改接口所属区域
firewall-cmd [--zone=<zone>]--change-interface=<interface>
这个选项与–add-interface选项相似,但是当接口已经存在于另一个区域的时候,该接口将被添加到新的区域。
从区域中删除一个接口
firewall-cmd [--zone=<zone>]--remove-interface=<interface>
查询区域中是否包含某接口
firewall-cmd [--zone=<zone>]--query-interface=<interface>
返回接口是否存在于该区域。没有输出。
列举区域中启用的服务
firewall-cmd [--zone=<zone> ]--list-services
启用应急模式阻断所有网络连接,以防出现紧急状况
firewall-cmd--panic-on
禁用应急模式
firewall-cmd--panic-off
代码如下复制代码
应急模式在 0.3.0版本中发生了变化
在 0.3.0之前的 FirewallD版本中, panic选项是–enable-panic与–disable-panic.
查询应急模式
firewall-cmd--query-panic
此命令返回应急模式的状态,没有输出。可以使用以下方式获得状态输出:
firewall-cmd--query-panic&& echo"On"|| echo"Off"
处理运行时区域
运行时模式下对区域进行的修改不是永久有效的。重新加载或者重启后修改将失效。
启用区域中的一种服务
firewall-cmd [--zone=<zone>]--add-service=<service> [--timeout=<seconds>]
此举启用区域中的一种服务。如果未指定区域,将使用默认区域。如果设定了超时时间,服务将只启用特定秒数。如果服务已经活跃,将不会有任何警告信息。
例:使区域中的ipp-client服务生效60秒:
firewall-cmd--zone=home--add-service=ipp-client--timeout=60
例:启用默认区域中的http服务:
firewall-cmd--add-service=http
禁用区域中的某种服务
firewall-cmd [--zone=<zone>]--remove-service=<service>
此举禁用区域中的某种服务。如果未指定区域,将使用默认区域。
例:禁止home区域中的http服务:
firewall-cmd--zone=home--remove-service=http
区域种的服务将被禁用。如果服务没有启用,将不会有任何警告信息。
查询区域中是否启用了特定服务
firewall-cmd [--zone=<zone>]--query-service=<service>
如果服务启用,将返回1,否则返回0。没有输出信息。
启用区域端口和协议组合
firewall-cmd [--zone=<zone>]--add-port=<port>[-<port>]/<protocol> [--timeout=<seconds>]
此举将启用端口和协议的组合。端口可以是一个单独的端口<port>或者是一个端口范围<port>-<port>。协议可以是 tcp或 udp。
禁用端口和协议组合
firewall-cmd [--zone=<zone>]--remove-port=<port>[-<port>]/<protocol>
查询区域中是否启用了端口和协议组合
firewall-cmd [--zone=<zone>]--query-port=<port>[-<port>]/<protocol>
如果启用,此命令将有返回值。没有输出信息。
启用区域中的IP伪装功能
firewall-cmd [--zone=<zone>]--add-masquerade
此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。
禁用区域中的IP伪装
firewall-cmd [--zone=<zone>]--remove-masquerade
查询区域的伪装状态
firewall-cmd [--zone=<zone>]--query-masquerade
如果启用,此命令将有返回值。没有输出信息。
启用区域的ICMP阻塞功能
firewall-cmd [--zone=<zone>]--add-icmp-block=<icmptype>
此举将启用选中的Internet控制报文协议(ICMP)报文进行阻塞。ICMP报文可以是请求信息或者创建的应答报文,以及错误应答。
禁止区域的ICMP阻塞功能
firewall-cmd [--zone=<zone>]--remove-icmp-block=<icmptype>
查询区域的ICMP阻塞功能
firewall-cmd [--zone=<zone>]--query-icmp-block=<icmptype>
如果启用,此命令将有返回值。没有输出信息。
例:阻塞区域的响应应答报文:
firewall-cmd--zone=public--add-icmp-block=echo-reply
在区域中启用端口转发或映射
firewall-cmd [--zone=<zone>]--add-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}
端口可以映射到另一台主机的同一端口,也可以是同一主机或另一主机的不同端口。端口号可以是一个单独的端口<port>或者是端口范围<port>-<port>。协议可以为 tcp或udp。目标端口可以是端口号<port>或者是端口范围<port>-<port>。目标地址可以是 IPv4地址。受内核限制,端口转发功能仅可用于IPv4。
禁止区域的端口转发或者端口映射
firewall-cmd [--zone=<zone>]--remove-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}
查询区域的端口转发或者端口映射
firewall-cmd [--zone=<zone>]--query-forward-port=port=<port>[-<port>]:proto=<protocol>{:toport=<port>[-<port>]|:toaddr=<address>|:toport=<port>[-<port>]:toaddr=<address>}
