第六章 DNS域名解析服务器

DNS简介

DNS（Domain Name System）是互联网上的一项服务，它作为将域名和IP地址相互映射的一个分布式 数据库，能够使人更方便的访问互联网。

DNS系统使用的是网络的查询，那么自然需要有监听的port。DNS使用的是53端口。

（1）因特网的域名结构

由于因特网的用户数量较多，所以因特网在命名时采用的是层次树状结构的命名方法。任何一个连接在 因特网上的主机或路由器，都有一个唯一的层次结构的名字，即域名(domain name)。“域”(domain)是 名字空间中一个可被管理的划分。

域名只是逻辑概念，并不代表计算机所在的物理地点。域名可分为三大类：

·国家顶级域名：采用ISO3166的规定。如：cn代表中国，us代表美国，uk代表英国，等等。国家域名又常记为ccTLD(country code top-level domains，cc表示国家代码contry-code)。
·通用顶级域名：最常见的通用顶级域名有7个，即：com(公司企业)，net(网络服务机构)，org(非营利组织)，int(国际组织)，gov(美国的政府部门)，mil(美国的军事部门)。
·基础结构域名(infrastructure domain)：这种顶级域名只有一个，即arpa，用于反向域名解析，因此称为反向域名。

（2）域名服务器的类型划分

可以把域名服务器划分为以下类型

·根域名服务器：最高层次的域名服务器，也是最重要的域名服务器。所有的根域名服务器都知道所有的顶级域名服务器的域名和IP地址。
·顶级域名服务器：负责管理在该顶级域名服务器注册的二级域名。 
·权限域名服务器：负责一个“区”的域名服务器。
·本地域名服务器：本地域名服务器不属于域名服务器的层次结构，但是它对域名系统非常重要。当一个主机发出DNS查询请求时，这个查询请求报文就发送给本地域名服务器。 
·主从DNS服务器：为了提高域名服务器的可靠性，DNS域名服务器都把数据复制到几个域名服务器来保存，其中的一个就是主DNS服务器（Master name server），负责解析至少一个域。其他的是辅助（从）DNS服务器（Slave name server）：负责解析至少一个域，是主DNS服务器的辅助。
·缓存DNS服务器：不负责解析域，只是缓存域名解析的结果。

DNS域名解析的过程

DNS解析方式 正向解析：将FQDN----->IP 反向解析：将IP----->FQDN

DNS服务器配置

提供DNS服务的软件叫bind，服务名是named。
[root@localhost ~]# yum install bind -y
[root@localhost ~]# rpm -ql bind
/etc/named.conf # bind主配置文件
/var/named/slaves # 从dns服务器文件夹
[root@localhost ~]# vim /etc/named.conf
options {#定义监听端口，如果所有地址都监听，则只写端口listen-on port 53 { 127.0.0.1; };listen-on-v6 port 53 { ::1; };#定义数据文件目录directory "/var/named";#只允许本地主机进行查询allow-query { localhost; };
};
#定义区域
zone "." IN {type hint;file "named.ca";
};

实验1：配置DNS正向解析

[root@localhost ~]# vim /etc/named.conf主配置文件
options {  #监听端口为53，大括号内数据内容可以为anylisten-on port 53 { 172.24.8.128; }; directory       "/var/named";
};
zone "baidu.com" IN {                  type master;              file "named.baidu.com";
};  

正向解析文件资源记录（Resource Record，RR）,常见的正解文件RR相关信息:

SOA主要是与区域有关，所以domain要写域名。而SOA后面会接七个参数，这七个参数的意义如下：
1.Master DNS服务器主机名：这个区域主要是哪台DNS作为Master的意思。
2管理员的Email，发生问题可以联系这个管理员。由于@在数据库文件中有特殊含义，所以将用“.”代替@
3序号（Serial），这个序号代表的是这个数数据库文件的新旧，序号越大代表越新。所以当你更改了数据库内容时，需要将这个数值放大。
4更新频率（Refresh）定义slave多久向Master要求数据更新。
5失败重新尝试时间（Retry），如果Slave无法对Master实现连接，那么在多长时间内，Slave会尝试重新连接到Master。
6失效时间（Expire），如果一直尝试失败，持续连接到达这个设置值时限，那么Slave将不再继续尝试连接，并且尝试删除这份下载的zone file信息。
7缓存时间（Minumum TTL），如果这个数据库zone file中，每条记录都没有写到TTL缓存时间的话，那么就以这个SOA的设置值为主。ttl的意思是当这笔记录被其他DNS服务器查询到后，这个记录会在对方DNS服务器的缓存中，保持多久时间。如果写了$TTL，则以该值为准。 

时间单位：M（分钟），H（小时），D（天），W（周），默认是秒

[root@localhost ~]# vim /var/named/named.baidu.com
$TTL 1D 
@ IN SOA @ admin.baidu.com. ( 0 1D 1H 1W 3H )IN NS ns.baidu.com. IN MX 10 mail.baidu.com. 
ns IN A 172.24.8.128
mail IN A 172.24.8.128
www IN A 172.24.8.128
ftp IN CNAME www 
[root@localhost ~]# systemctl restart named
[root@localhost ~]# systemctl disable firewalld --now
[root@webserver ~]# setenforce 0
​
#客户端测试
host [-a] FQDN [server]
nslookup [FQDN] [server]
dig [options] FQDN [@server]options：+trace代表从.开始追踪；-t type查询的数据主要有MX、NS、SOA、A等类型；-x查
询反解信
息
[root@localhost ~]# host www.baidu.com 172.24.8.128
[root@localhost ~]# nslookup www.baidu.com 172.24.8.128
[root@localhost ~]# dig -t A www.baidu.com @172.24.8.128

实验2：反向解析

[root@localhost ~]# vim /etc/named.conf
zone "8.24.172.in-addr.arpa" IN { type master;file "named.172.24.8";
};
#反向区域文件
[root@localhost ~]# vim /var/named/named.172.24.8
$TTL 1D
@ IN SOA ns.baidu.com. admin.baidu.com. ( 0 1D 1H 1W 3H )IN NS ns.baidu.com.
128 IN PTR ns.baidu.com.
128 IN PTR www.baidu.com.
128 IN PTR mail.baidu.com.
128 IN PTR ftp.baidu.com.
#反解需要注意：主机名尽量使用完整的FQDN，即要写上“.”
​
#客户端测试
[root@localhost ~]# host 172.24.8.128 172.24.8.128
[root@localhost ~]# nslookup 172.24.8.128 172.24.8.128
[root@localhost ~]# dig -x 172.24.8.128 @172.24.8.128
​

实验3：主从DNS服务器

将一个区域文件复制到多个服务器上的过程叫做区域传送。将主服务器上的信息复制到辅助服务器上来 实现。

（1）完全区域传送：复制整个区域文件

#主DNS服务器的配置【主dns服务器的ip地址为172.24.8.128】
[root@localhost ~]# vim /etc/named.conf
options {  listen-on port 53 { 172.24.8.128; }; directory       "/var/named";allow-transfer { 172.24.8.129; }; 
};
zone "baidu.com" IN {                  type master;              file "named.baidu.com";
};       
[root@localhost ~]# vim /var/named/named.baidu.com
$TTL 1D 
@ IN SOA @ admin.baidu.com. ( 0 1D 1H 1W 3H )IN NS ns.baidu.com. IN NS slave.baidu.com.IN MX 10 mail.baidu.com. 
ns IN A 172.24.8.128
slave IN A 172.24.8.129
mail IN A 172.24.8.128
www IN A 172.24.8.128
ftp IN CNAME www 
[root@localhost ~]# systemct restart named 
#从DNS服务器的配置【从dns服务器的ip地址为172.24.8.129】
[root@localhost ~]# yum install bind -y
[root@localhost ~]# vim /etc/named.conf
options {  listen-on port 53 { 172.24.8.128; }; directory       "/var/named";
};
zone "baidu.com" IN {                  type slave;              file "slaves/named.baidu.com";masters {172.24.8.128;};
};  
[root@localhost ~]# systemctl restart named 
#测试
[root@localhost ~]# host www.baidu.com 172.24.8.129

（2）增量区域传送：仅复制区域里变化的文件

#修改主服务器的区域配置文件，序号比之前的序号大【注：区域文件里面必须要写从服务器的NS和A记
录】
#主DNS服务器的配置【主dns服务器的ip地址为172.24.8.128】
[root@localhost ~]# vim /var/named/named.baidu.com
$TTL 1D 
@ IN SOA @ admin.baidu.com. ( 1 1D 1H 1W 3H )IN NS ns.baidu.com. IN NS slave.baidu.com.IN MX 10 mail.baidu.com. 
ns IN A 172.24.8.128
slave IN A 172.24.8.129
mail IN A 172.24.8.128
www IN A 172.24.8.128
ftp IN CNAME www
www1 IN CNAME www
[root@localhost ~]# systemct restart named

第七章 selinux

SELinux是对程序、文件等权限设置依据的一个内核模块。由于启动网络服务的也是程序，因此刚好也 是能够控制网络服务能否访问系统资源的一道关卡。

工作原理

SELinux是通过MAC的方式来控制管理进程，它控制的主体是进程，而目标则是该进程能否读取的文件
资源。
主体（subject）：就是进程
目标（object）：被主体访问的资源，可以是文件、目录、端口等。
策略（policy）：由于进程与文件数量庞大，因此SELinux会依据某些服务来制定基本的访问安全策略。
这些策略内还会有详细的规则（rule）来指定不同的服务开放某些资源的访问与否。目前主要的策略
有：
targeted：针对网络服务限制较多，针对本机限制较少，是默认的策略；
strict：完整的SELinux限制，限制方面较为严格。
安全上下文（security context）：主体能不能访问目标除了策略指定外，主体与目标的安全上下文必须
一致才能够顺利访问。
最终文件的成功访问还是与文件系统的rwx权限设置有关 。
#查看文件的安全上下文
[root@localhost ~]# ls -Z
-rw-------. root root system_u:object_r:admin_home_t:s0 anaconda-ks.cfg
drwxr-xr-x. root root unconfined_u:object_r:admin_home_t:s0 home

安全上下文用冒号分为四个字段：

Identify：role：type：
·身份标识（Identify）：相当于账号方面的身份标识，主要有以下三种常见的类型：
root：表示root的账号身份；
system_u：表示程序方面的标识，通常就是进程；
unconfined_u：代表的是一般用户账号相关的身份。
·角色（role）：通过角色字段，可知道这个数据是属于程序、文件资源还是代表用户。一般角色有：
object_r：代表的是文件或目录等文件资源；
system_r：代表的是进程。
·类型（type）：在默认的targeted策略中，Identify与role字段基本上是不重要的，重要的在于这个类型字段。而类型字段在文件与进程的定义不太相同，分别是：
type：在文件资源上面称为类型。
domain：在主体程序中则称为域。
domain需要与type搭配，则该程序才能够顺利读取文件资源。
·最后一个字段是和MLS和MCS相关的东西，代表灵敏度，一般用s0、s1、s2来命名，数字代表灵敏度的分级。数值越大、灵敏度越高。 
[root@localhost ~]# ll -Zd /usr/sbin/httpd /var/www/html/
-rwxr-xr-x. root root system_u:object_r:httpd_exec_t:s0 /usr/sbin/httpd
drwxr-xr-x. root root system_u:object_r:httpd_sys_content_t:s0 /var/www/html/
以上两个文件的角色字段都是object_r，代表都是文件，/usr/sbin/httpd属于httpd_exec_t类
型，/var/www/html/则属于httpd_sys_content_t类型。

访问过程：

（1）首先，触发具有httpd_exec_t这个类型的/usr/sbin/httpd这个可执行文件；
（2）该文件的类型会让这个文件所造成的主体进程具有httpd这个域，我们的策略已经针对这个域制定
了许多规则，其中包括这个域可以读取的目标资源类型；
（3）由于httpd domain被设置为可读取httpd_sys_content_t这个类型的目标文件，因此httpd进程就
能够读取在/var/www/html/目录下面的文件了；
（4）最终能否读到/var/www/html/目录下面的数据，还要看rwx是否符合linux权限的规范。

selinux的启动、关闭与查看

（1）SELinux三种模式

enforcing：强制模式，代表SELinux正在运行中，开始限制domain/type。

permissive：宽容模式，代表SELinux正在运行中，不过仅会有警告信息并不会实际限制 domain/type的访问。

disabled：关闭，SELinux并没有实际运行。

#查看目前的模式
[root@localhost ~]# getenforce
Enforcing
#查看目前的selinux使用的策略
[root@localhost ~]# sestatus
SELinux status: enabled # 是否启用selinux
SELinuxfs mount: /sys/fs/selinux #selinux的相关文件数据挂
载点
SELinux root directory: /etc/selinux
Loaded policy name: targeted #目前的策略
Current mode: enforcing
Mode from config file: enforcing
Policy MLS status: enabled
Policy deny_unknown status: allowed
Max kernel policy version: 31
#查看selinux的策略：
[root@localhost ~]# vim /etc/selinux/config
改变策略之后需要重新启动；
如果由enforcing或permissive改成disabled，或由disabled改为其它两个，也必须要重新启
动。
将selinux模式在enforcing和permissive之间切换的方法为：
setenforce 0 转换成permissive宽容模式
setenforce 1转换成enforcing强制模式

（2）修改安全上下文

chcon [-R] [-t type] [-u user] [-r role] 文件
-R：连同该目录下的子目录也同时修改；
-t：后面接安全上下文的类型字段；
-u：后面接身份识别；
-r：后面接角色
chcon [-R] --reference=范例文件 文件 将文件的安全上下文按照范例文件修改
​
restorecon [-Rv] 文件或目录
-R：连同子目录一起修改；
-v：将过程显示到屏幕上
restorecon怎么会知道每个目录记载的默认selinux type类型呢？因为系统将每个目录的默认
selinux type类型记录在/etc/selinux/targeted/contexts/目录内。但是该目录内有很多不同
的数据，所以我们可以用semanage这个命令的功能来查询与修改。
semanage ｛login|user|port|interface|fcontext|translation｝ -l
semanage fcontext -{a|d|m} [-frst] file_spec
-l为查询；
-a：增加一些目录的默认安全上下文的设置；
-m：修改；
-d：删除。

selinux对linux服务的影响

实验一：使用web服务演示安全上下文值的设定

#服务端的IP地址为172.24.8.130，服务端的设置如下：
[root@localhost ~]# systemctl disable firewalld --now
[root@localhost ~]# getenforce 
Enforcing
[root@master-dns ~]# cat /etc/nginx/conf.d/test_ip.conf
server{listen 192.168.168.100:80;root /www/ip/100;location / {}
}
server{listen 192.168.168.200:80;root /www/ip/200;location / {}
}
[root@localhost ~]# mkdir -pv /www/ip/{100,200}
[root@localhost ~]# echo this is 100 > /www/ip/100/index.html
[root@localhost ~]# echo this is 200 > /www/ip/200/index.html
[root@localhost ~]# systemctl restart nginx
通过客户端测试，出现403状态码
#修改自定义目录的安全上下文的值：
[root@localhost ~]# chcon -t httpd_sys_content_t /www/ -R
也可以将自定义目录的安全上下文的值按照/var/www/html文件修改：
[root@localhost ~]# chcon -R --reference=/usr/share/nginx/html/index.html 
/www
修改之后即可成功访问

实验二：使用web服务端口的改变来演示端口的设定

[root@localhost ~]# vim /etc/httpd/conf.d/host.conf 
[root@master-dns ~]# cat /etc/nginx/conf.d/test_port.conf
server {listen 192.168.168.153:80;root /www/port/80;location / {}
}
server {listen 192.168.168.153:10000;root /www/port/10000;location / {}
}
[root@localhost ~]# mkdir -pv /www/port/{80,10000}
[root@localhost ~]# echo the port is 80 > /www/port/80/index.html
[root@localhost ~]# echo the port is 10000 > /www/port/10000/index.html
[root@master-dns ~]# systemctl restart nginx
#服务重启失败，查看日志
[root@localhost ~]# tail -f /var/log/messages 
#添加10000端口为服务端口：
[root@localhost ~]# semanage port -a -t http_port_t -p tcp 10000
[root@master-dns ~]# systemctl restart nginx
[root@master-dns ~]# curl 192.168.168.153:10000
the port is 10000
#测试可以访问成功

第八章 防火墙

防火墙：防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包 的进出。

linux系统本身提供的软件防火墙的功能，那就是Netfilter，即数据包过滤机制。数据包过滤，也就是分析进入主机的网络数据包，将数据包的头部数据提取出来进行分析，以决定该连 接为放行或抵挡的机制。由于这种方式可以直接分析数据包头部数据，包括硬件地址，软件地址， TCP、UDP、ICMP等数据包的信息都可以进行过滤分析，因此用途非常广泛（主要分析OSI七层协议的 2、3、4层）。由此可知，linux的Netfilter机制可以进行的分析工作有：

1拒绝让Internet的数据包进入主机的某些端口；

2拒绝让某些来源ip的数据包进入；

3拒绝让带有某些特殊标志（flag）的数据包进入，最常拒绝的就是带有SYN的主动连接的标志了；

4分析硬件地址（MAC）来决定连接与否。

虽然Netfilter防火墙可以做到这么多事情，不过，某些情况下，它并不能保证我们的网络一定就很安 全。例如：

·防火墙并不能有效阻挡病毒或木马程序。（假设主机开放了www服务，防火墙的设置是一定要将www服务的port开放给client端的。假设www服务器软件有漏洞，或者请求www服务的数据包本身就是病毒的一部分时，防火墙是阻止不了的） 
·防火墙对于内部LAN的攻击无能为力（防火墙对于内部的规则设置通常比较少，所以就很容易造成内部员工对于网络无用或滥用的情况）

netfilter这个数据包过滤机制是由linux内核内建的，不同的内核版本使用的设置防火墙策略的软件不一 样，在红帽7系统中firewalld服务取代了iptables服务，但其实iptables服务与firewalld服务它们都只是 用来定义防火墙策略的“防火墙管理工具”而已，他们的作用都是用于维护规则，而真正使用规则干活的 是内核的netfilter。

iptables

一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。

iptables服务把用于处理或过滤流量的策略条目称之为规则，多条规则可以组成一个规则链，而规则链 则依据数据包处理位置的不同进行分类，具体如下：

在进行路由选择前处理数据包，用于目标地址转（PREROUTING）； 处理流入的数据包（INPUT）；

处理流出的数据包（OUTPUT）；

处理转发的数据包（FORWARD）；

在进行路由选择后处理数据包，用于源地址转（POSTROUTING）。

[root@localhost ~]# yum install iptables -y
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# systemctl start iptables
[root@server ~]# iptables -F #清空所有的规则表，清空之后客户端可以访问ssh和http服务

iptables命令可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配，一旦匹配成 功，iptables就会根据策略规则所预设的动作来处理这些流量。

语法格式：iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

-t  对指定的表进行操作，table必须是raw，nat，filter，mangle中的一个。默认是filter
表。
-p 指定要匹配的数据包协议类型
-s  --source address[/mask][,...]：把指定的一个或者一组地址作为源地址，按此规则进行过
滤。当后面没有mask 时，address 是一个地址，比如：192.168.1.1；当 mask 指定时，
可以表示一组范围内的地址，比如：192.168.1.0/255.255.255.0
-d  --destination address[/mask][,...]：地址格式同上，但这里指定地址为目的地址，按此进
行过滤
-i  --in-interface name：指定数据包的来自来自网络接口，比如最常见的 eth0 。注意：它
只对 INPUT，FORWARD，PREROUTING 这三个链起作用。如果没有指定此选项， 说明
可以来自任何一个网络接口。同前面类似，"!" 表示取反
-o  --out-interface name：指定数据包出去的网络接口。只对 OUTPUT，FORWARD，
POSTROUTING 三个链起作用
-L  --list [chain] 列出链 chain 上面的所有规则，如果没有指定链，列出表上所有链的所有规
则
-A  --append chain rule-specification：在指定链 chain 的末尾插入指定的规则，也就是
说，这条规则会被放到最后，最后才会被执行。规则是由后面的匹配来指定
-I  --insert chain [rulenum] rule-specification：在链 chain 中的指定位置插入一条或多条
规则。如果指定的规则号是1，则在链的头部插入。这也是默认的情况，如果没有指定规
则号
-D  --delete chain rule-specification -D, --delete chain rulenum：在指定的链 chain 中删除
一个或多个指定规则
-R  num Replays替换/修改第几条规则
-P  --policy chain target ：为指定的链 chain 设置策略 target。注意，只有内置的链才允许有策略，用户自定义的是不允许的
-F  --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链，清空该表上所有链的所有规则
-N --new-chain chain 用指定的名字创建一个新的链
-X  --delete-chain [chain] ：删除指定的链，这个链必须没有被其它任何规则引用，而且这条上必须没有任何规则。如果没有指定链名，则会删除该表中所有非内置的链
-E  --rename-chain old-chain new-chain ：用指定的新名字去重命名指定的链。这并不会对链内部造成任何影响
-Z --zero [chain] ：把指定链，或者表中的所有链上的所有计数器清零
-j  --jump target <指定目标> ：即满足某条件时该执行什么样的动作。target 可以是内置的目标，比如 ACCEPT，也可以是用户自定义的链
-h 显示帮助信息

（2）实验

实验一：搭建web服务，设置任何人能够通过80端口访问。

[root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
[root@localhost ~]# iptables -L --line-numbers
[root@localhost ~]# iptables -D INPUT 1

实验二：禁止所有人ssh远程登录该服务器

[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 -j REJECT
#删除设置的拒绝ssh连接：
[root@localhost Desktop]# iptables -D INPUT 1

实验三：禁止某个主机地址ssh远程登录该服务器，允许该主机访问服务器的web服务。服务器地址为 172.24.8.128

拒绝172.24.8.129通过ssh远程连接服务器：
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 22 -j 
REJECT
允许172.24.8.129访问服务器的web服务：
[root@localhost ~]# iptables -I INPUT -p tcp -s 172.24.8.129 --dport 80 -j 
ACCEPT

firewalld

firewalld 所提供的模式就可以叫做动态防火墙，它的出现就是为了解决这一问题，任何规则的变更都不 需要对整个防火墙规则列表进行重新加载，只需要将变更部分保存并更新即可,它具备对 IPv4 和 IPv6防 火墙设置的支持。

相比于传统的防火墙管理工具，firewalld支持动态更新技术并加入了区域的概念。区域就是firewalld预 先准备了几套防火墙策略集合（策略模板），用户可以选择不同的集合，从而实现防火墙策略之间的快 速切换。

firewalld中常见的区域名称（默认为public）以及相应的策略规则：

·阻塞区域（block）
拒绝流入的流量，除非与流出的流量相关
·工作区域（work）
拒绝流入的流量，除非与流出的流量相关
·家庭区域（home）
拒绝流入的流量，除非与流出的流量相关
·公共区域（public）
不相信网络上的任何计算机，只有选择接受传入的网络连接。
·隔离区域（DMZ）
隔离区域也称为非军事区域，内外网络之间增加的一层网络，起到缓冲作用。对于隔离区域，只有选择接受传入的网络连接。
·信任区域（trusted）
允许所有的数据包。
·丢弃区域（drop）
拒绝流入的流量，除非与流出的流量相关
·内部区域（internal）
等同于home区域
·外部区域（external）
拒绝流入的流量，除非与流出的流量有关；而如果流量与ssh服务相关，则允许流量

firewalld默认提供的九个zone配置文件都保存在“/usr/lib/firewalld/zones/”目录下，分别为： block.xml drop.xml home.xml public.xml work.xml dmz.xml external.xml internal.xml trusted.xml 在RHEL7中，

firewalld服务是默认的防火墙配置管理工具，他拥有基于CLI（命令行界面）和基于 GUI（图形用户界面）的两种管理方式。firewall-config和firewall-cmd是直接编辑xml文件，其中 firewall-config是图形化工具，firewall-cmd是命令行工具。

安装firewalld服务的软件：

[root@localhost ~]# rpm -qa | grep firewall
firewall-config-0.3.9-14.el7.noarch
firewalld-0.3.9-14.el7.noarch

[root@localhost ~]# systemctl stop iptables
[root@localhost ~]# systemctl restart firewalld
[root@localhost ~]# firewall-cmd --help #查看帮助
[root@localhost ~]# firewall-cmd --list-all #查看所有的规则
[root@localhost ~]#firewall-cmd --permanent --add-service=服务名
使用firewalld配置的防火墙策略默认为当前生效，会随着系统的重启而失效。如果想让策略一直存在，
就需要使用永久模式了，即在使用firewall-cmd命令设置防火墙策略时添加--permanent参数，这样
配置的防火墙策略就可以永久生效了，最后想要使用这种方式设置的策略生效，只能重启或者输入命令：
firewall-cmd --reload。
​
#禁止某个ip地址进行ssh访问，应该写成ip/32
#配置端口转发（在172.24.8.0网段的主机访问该服务器的5423端口将被转发到80端口）
[root@system1 ~]# firewall-cmd --permanent --add-rich-rule='rule 
family="ipv4" source address="172.24.8.0/24" forward-port port="5423" 
protocol="tcp" toport="80"'