firewalld ist die Standardmethode in Red Hat Enterprise Linux 7 zur Verwaltung von Firewalls auf Hostebene. Von der Firewall aus gestartet. service systemd service, firewalld verwaltet das Netfilter-Subsystem des Linux-Kernels mit den Low-Level-Befehlen iptables, ip6tables und ebtables.
Standardkonfiguration von Firewalld-Zonen
| Zonenname | Standardkonfiguration |
|---|---|
| vertrauenswürdig | Alle eingehenden Datenverkehr zulassen. |
| Startseite | Eingehenden Datenverkehr ablehnen, es sei denn, er bezieht sich auf ausgehenden Datenverkehr oder stimmt mit den vordefinierten Diensten ssh, mdns, ipp-client, samba-client oder dhcpv6-client überein. |
| intern | Eingehenden Datenverkehr ablehnen, es sei denn, er bezieht sich auf ausgehenden Datenverkehr oder stimmt mit den vordefinierten Diensten ssh, mdns, ipp-client, samba-client oder dhcpv6-client überein (zunächst mit der Heimatzone identisch). |
| arbeiten | Eingehenden Datenverkehr ablehnen, es sei denn, er bezieht sich auf ausgehenden Datenverkehr oder stimmt mit den vordefinierten Diensten ssh, ipp – client oder dhcpv6 – client überein. |
| öffentlich | Eingehenden Datenverkehr ablehnen, es sei denn, er bezieht sich auf ausgehenden Datenverkehr oder stimmt mit den vordefinierten ssh- oder dhcpv6-Client-Diensten überein. Die Standardzone für neu hinzugefügte Netzwerkschnittstellen |
| extern | Eingehenden Datenverkehr ablehnen, es sei denn, er bezieht sich auf ausgehenden Datenverkehr oder entspricht dem vordefinierten ssh-Dienst. Ausgehender 1Pv4-Datenverkehr, der durch diese Zone weitergeleitet wird, wird maskiert, um so auszusehen, als stamme er von der 1Pv4-Adresse der ausgehenden Netzwerkschnittstelle. |
| dmz | Eingehenden Datenverkehr ablehnen, es sei denn, er bezieht sich auf ausgehenden Datenverkehr oder entspricht dem vordefinierten ssh-Dienst. |
| blockieren | Alle eingehenden Datenverkehr ablehnen, es sei denn, es handelt sich um ausgehenden Datenverkehr. |
| fallen lassen | Den gesamten eingehenden Datenverkehr verwerfen, sofern er nicht mit ausgehendem Datenverkehr in Zusammenhang steht (antworten Sie nicht einmal mit ICMP-Fehlern). |
Referenz zur Firewall-Befehlszeile
| firewall -cmd-Befehle | Erklärung |
|---|---|
| –get-default-zone | Abfrage der aktuellen Standardzone. |
| –set-default-zone=[ZONE] | Stellen Sie die Standardzone ein. Dadurch ändert sich sowohl die Laufzeit als auch die permanente Konfiguration. |
| –get-zones | Alle verfügbaren Zonen auflisten. |
| –get-services | Alle vordefinierten Dienste auflisten. |
| –get-active-zones | Listen Sie alle derzeit verwendeten Zonen auf (mit denen eine Schnittstelle oder Quelle verknüpft ist), zusammen mit ihren Schnittstellen- und Quellinformationen. |
| –add-source=[CIDR] [ –zone=[ZONE] | Leiten Sie den gesamten Datenverkehr von der IP-Adresse oder dem Netzwerk/der Netzmaske [CIDR] an die angegebene Zone. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –remove-source=[CIDR] [ –zone=[ZONE] | Entfernen Sie die Regel, die den gesamten Datenverkehr von der IP-Adresse oder dem Netzwerk/der Netzmaske [CIDR] aus der angegebenen Zone leitet. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –add-interface=[INTERFACE] [ –zone=[ZONE] | Alle von [INTERFACE] kommenden Datenverkehr an die angegebene Zone weiterleiten. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –change -interface=[INTERFACE] [–zone=[ZONE] | Verknüpfen Sie die Schnittstelle mit [ZONE] statt mit ihrer aktuellen Zone. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –list-all [–zone=[ZONE]] | Konfigurierte Schnittstellen, Quellen, Dienste und Ports für [ZONE] auflisten. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –list-all-zones | Alle Informationen für alle Zonen abrufen (Schnittstellen, Quellen, Ports, Dienste usw.). |
| –add-service=[DIENST] | Verkehr zu [SERVICE] zulassen. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –add-port=[PORT/PROTOKOLL] | Verkehr zu den [PORT/PROTOCOL]-Ports zulassen. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –remove-service=[SERVICE] | Entfernen Sie [SERVICE] aus der Zulassungsliste für die Zone. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –remove-port=[PORT/PROTOKOLL] | Entfernen Sie den/die [PORT/PROTOKOLL]-Port(s) aus der Zulassungsliste für die Zone. Wenn keine Option –zone=angegeben ist, wird die Standardzone verwendet. |
| –neu laden | Laufzeitkonfiguration löschen und persistente Konfiguration anwenden. |