Firewalld - Basis Wissen
Im folgenden, werden Basis Operationen und Kommandos von Firewalld festgehalten und erläutert.
Die Definition/Freischaltung von Services, ist in Firewalld in verschiedenen Zonen strukturiert. (Public, External..) Um nun Firewalld grundlegend einmal zu aktivieren, wird folgendes ausgeführt:
# systemctl start firewalld # systemctl enable firewalld
Die Standardzone in Firewalld, ist wenn nicht verändert, die “Public”. Sie ist Standardmässig, schon auf die Server NICs applyed und erlaubt von Haus aus, nur den dhcpv6-client und ssh. Wenn nun ein neuer Service freigeschaltet wird, und keine Zone angegeben wird, so wird der Eintrag immer in die Default Zone (also Public) geschrieben.
# display the default zone [root@dlp ~]# firewall-cmd --get-default-zone public # display current settings [root@dlp ~]# firewall-cmd --list-all public (default, active) interfaces: eno16777736 sources: services: dhcpv6-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules: # display all zones defined by default [root@dlp ~]# firewall-cmd --list-all-zones block interfaces: sources: services: ports: masquerade: no forward-ports: icmp-blocks: rich rules: ... # display allowed services on a specific zone [root@dlp ~]# firewall-cmd --list-service --zone=external ssh # change default zone [root@dlp ~]# firewall-cmd --set-default-zone=external success # change zone for an interface (*note) [root@dlp ~]# firewall-cmd --change-interface=eth1 --zone=external success [root@dlp ~]# firewall-cmd --list-all --zone=external external (active) interfaces: eth1 sources: services: ssh ... # *note : it's not changed permanently with "change-interface" even if added "--permanent" option # if change permanently, use nmcli like follows [root@dlp ~]# nmcli c mod eth1 connection.zone external [root@dlp ~]# firewall-cmd --get-active-zone external interfaces: eth1 public interfaces: eth0
https://wiki.blackgate.org/linux/note98dd.html?os=CentOS_7&p=firewalld