区域名字 |
默认设置 |
trusted |
允许所有的流量传入。 |
home |
默认拒绝传入流量,除非是涉及到出站流量或预设的 ssh、mdns、ipp- client、samba-client 与 dhcpv6-client 服务。 |
internal |
默认拒绝传入流量,除非是涉及到出站流量或预设的 ssh、mdns、ipp- client、samba-client 与 dhcpv6-client 服务(与 home 区相同)。 |
work |
默认拒绝传入流量,除非是涉及到出站流量或预设的 ssh、ipp- client 与 dhcpv6-client 服务。 |
public |
默认拒绝传入流量,除非是涉及到出站流量或预设的 ssh 与 dhcpv6-client 服 务。新加的网络接口默认会被分配到此区。 |
external |
默认拒绝传入流量,除非是涉及到出站流量或预设的 ssh 服务。IPv4 传出流 量通过该区域转发会被伪装成从 IPv4 网络接口上传出。 |
dmz |
默认拒绝传入流量,除非是涉及到出站流量或预设的 ssh 服务。 |
block |
默认拒绝所有的传入流量,除非是涉及到出站流量。 |
drop |
默认丢弃所有的传入流量,除非是涉及到出站流量(甚至不使用 ICMP 错误回 应)。 |
firewall-cmd选项 |
描述 |
--get-default-zone |
查询现在的默认区域。 |
--set-default-zone=<ZONE> |
设置默认区域。修改默认区域会影响临时的配置(runtime)和永久的配置(permanent)。 |
--get-zones |
列出所有可用的区域。 |
--get-active-zones |
列出当前所有正在使用的区域(具有依赖于它们的接口或源IP地址/范围),以及它们的接口或源IP地址/范围。 |
--add-source=<CIDR> [--zone=<ZONE>] |
添加流量路由,所有从IP地址或网络/子网掩码<CIDR>的流量转到指定区域。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--remove-source=<CIDR> [--zone=<ZONE>] |
删除流量路由,所有从IP地址或网络/子网掩码<CIDR>的流量转到指定区域的规则将被删除。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--add-interface=<INTERFACE> [--zone=<ZONE>] |
添加流量路由,所有从接口<INTERFACE>的流量转到指定区域。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--change-interface=<INTERFACE> [--zone=<ZONE>] |
将接口<INTERFACE>与区域<ZONE>关联,旧的关联将被移除。所有从接口<INTERFACE>的流量转到指定区域<ZONE>。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--list-all [--zone=<ZONE>] |
列出区域<ZONE>内所有已关联的接口,源,服务和端口。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--list-all-zones |
检索并列出所有的所有区域的信息。 |
--add-service-<SERVICE> [--zone=<ZONE>] |
允许服务<SERVICE>通信。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--remove-service-<SERVICE> [--zone=<ZONE>] |
在区域<ZONE>允许列表中移除服务<SERVICE>。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--add-port-<PORT/PROTOCOL> [--zone=<ZONE>] |
开放端口<PORT/PROTOCOL>通信。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--remove-port-<PORT/PROTOCOL> [--zone=<ZONE>] |
在区域<ZONE>允许列表中端口<PORT/PROTOCOL>。如果没有使用--zone=<ZONE>选项指定区域,将使用默认区域。 |
--reload |
重新加载firewall。临时的配置将被移除,加载永久的配置。 |
#firewall-cmd --set-default-zone=dmz
#firewall-cmd --permanent --zone=internal --add-source=192.168.0.0/24
#firewall-cmd --permanent --zone=internal --add-service=mysql
#firewall-cmd --reload
|