Для использования в общих случаях создано несколько предопределённых зон:
drop – входящие сетевые пакеты сбрасываются, без ответа, допускаются только исходящие соединения
block – входящие сетевые соединения отклоняются с сообщением icmp-host-prohibited, допускаются только сетевые соединения инициированные внутри нашей системы.
public – при недоверии к компьютерам, разрешается устанавливать только конкретные входящие соединения.
external – для использования во внешних сетях с разрешенным маскарадингом, особенно для роутеров, разрешается устанавливать только конкретные входящие соединения
dmz – для компьютеров собственной demilitarized zone которые публично доступны с ограниченным доступом к нашей внутренней сети, разрешается устанавливать только конкретные входящие соединения.
work/home/internal – максимальное доверие к компьютерам, уверенность в том, что они не приченят вреда нашему компьютеру, разрешается устанавливать только конкретные входящие соединения
trusted – все сетевые соединения разрешены.
firewall-cmd --state узнать состояние FirewallD
firewall-cmd --reload перезагрузить FirewallD
firewall-cmd --get-zones вывести список всех заданных зон
firewall-cmd --get-services список всех поддерживаемых служб
firewall-cmd --get-active-zones список всех активных зон
firewall-cmd [--zone=] --add-interface= добавить интерфейс к зоне
firewall-cmd [--zone=] --change-interface= изменить интерфейс
firewall-cmd [--zone=] --remove-interface= удалить интерфейс из зоны
firewall-cmd --panic-on режим паники, блокирующий все сетевые соединения
firewall-cmd --panic-off отмена режима паники
firewall-cmd [--zone=] --add-service= [--timeout=] добавить службу к зоне
firewall-cmd [--zone=] --remove-service= [--timeout=] удалить службу из зоны
firewall-cmd [--zone=] --add-port=[-]/ [--timeout=] добавить порт к зоне
firewall-cmd [--zone=] --remove-port=[-]/ [--timeout=] удалить порт из зоны
firewall-cmd [--zone=] --add-masquerade добавить маскарадинг к зоне
firewall-cmd [--zone=] --remove-masquerade удалить маскарадинг
firewall-cmd [--zone=] --add-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=| :toport=[-]:toaddr=} добавить проброс портов к зоне
firewall-cmd [--zone=] --remove-forward-port=port=[-]:proto= { :toport=[-] | :toaddr=| :toport=[-]:toaddr=} удалить проброс портов из зоны
--runtime-to-permanent сделать чтобы на лету прменить правила добавленные с ключем —permanent
ВКЛЮЧЕНИЕ IPTABLES ВМЕСТО FIREWALLD
1. Disable Firewalld Service.
systemctl mask firewalld
2. Stop Firewalld Service.
systemctl stop firewalld
3. Install iptables service related packages.
yum -y install iptables-services
4. Make sure service starts at boot:
systemctl enable iptables
# If you do not want ip6tables, You can skip following command.
systemctl enable ip6tables
5. Now, Finally Let’s start the iptables services.
systemctl start iptables
# If you do not want ip6tables, You can skip following command.
systemctl start ip6tables
/usr/libexec/iptables/iptables.init save
