1.2.2 配置防火墙规则

1.概述

防火墙规则可定义允许或阻止的互联网流量类型，每个防火墙配置文件都有无法对其进行更改的防火墙规则的预定义集，但可以在此预定义集基础上对配置文件添加新规则。

firewalld默认配置文件有/usr/lib/firewalld/（系统配置）、/etc/firewalld/（用户配置）。

firewalld有图形界面工具firewall-config和命令行工具fiewall-cmd，firewall-cmd支持全部防火墙特性，使用命令进行规则配置会自动生成对应配置文件。

2.目标

查看并更改防火墙规则。

3.准备

操作系统：CentOS 7.3。

4.考点1：查看过滤规则

①使用-state选项查看防火墙状态，关闭显示“not running”，开启显示“running”。

②使用-list-ports选项查看所有已开放的临时端口，默认为空。

③使用-list-ports-permanent选项查看所有永久开放的端口，默认为空。

④使用-list-all选项查看所有规则。

5.考点2：修改过滤规则

（1）开放指定端口

修改过滤规则，开放80端口及端口段1000-2000，重新加载防火墙并使配置生效，再次查看过滤规则即可看到对应信息。使用-permanent参数可以将更改保存到配置文件中，否则重启之后修改失效。具体命令如下。

（2）允许指定IP访问指定端口

①添加规则允许IP为192.168.1.1访问的命令如下。

②添加规则禁止IP为192.168.1.2访问的命令如下。

③添加规则允许192.168.2.1/24 IP段的主机访问22端口IP段的命令如下。

④重新加载防火墙permanent规则配置的命令如下。

⑤查看所有规则的命令如下。

（3）删除规则

删除端口段1000-2000的开放规则命令如下。