防火墙的作用是基于用户对网络中设备和交通所给与的信任程度，防火墙可以用来将网络分割成不同的区域
###########################
1.查看火墙状态
###########################

查看火墙状态
firewall-cmd --state

查看默认域
firewall-cmd --get-default-zone

查看活跃的域
firewall-cmd --get-active-zone

查看策略列表
firewall-cmd --list-all

查看work域
firewall-cmd --zone=work --list-al

添加允许http服务的数据通过
firewall-cmd --permanent --add-service=http

刷新
firewall-cmd --reload

把某个ip来源的数据添加到白名单，添加后要刷新
firewall-cmd --permanent --zone=trusted --add-source=172.25.254.232

刷新
firewall-cmd --reload

查看trusted域
firewall-cmd --list-all --zone=trusted

从白名单删除
firewall-cmd --permanent --remove-source=172.25.254.232 --zone=trusted

添加到黑名单，添加后要刷新
firewall-cmd --permanent --zone=block --add-source=172.25.254.32

从黑名单删除
firewall-cmd --permanent --remove-source=172.25.254.32 --zone=block

把eth0从活跃域移动到defalut
firewall-cmd --remove-interface=eth0 --zone=pubilc

##########################
2.添加端口和刷新
##########################

添加服务修改的文件是
/etc/firewalld/zones/public.xml
修改后必须刷新后才能被内存读取

刷新
firewall-cmd --reload

断开现有连接刷新,会中断所有服务
firewall-cmd --complete-reload

#######################
3.火墙的三张表和五条链的作用
#######################

火墙有三张表五条链

filter包含

input

forward

output

nat包含

input

prerouting

postouting

output

mangle包含

input

prrouting

postouting

forward

output

例如
在虚拟机模拟路由器时

1.1.1.1的数据会通过路由器端

（1）此时火墙就要在filter里的input下记录

1.1.1.1如果传数据给2.2.2.2的情况下

数据要记录在forward给内核

output允许出去

总来说fileter记录的是什么数据会被传递

（2）nat表在此的作用是设置传递数据不经过内核

1.1.1.1的数据进来

记录input里允许进入路由

perouting记录的是在路由之前记录目的地信息（2.2.2.2ping1.1.1.1）

postouting记录的是路由之后可到达目的的信息（1.1.1.1ping2.2.2.2）

output里允许出去

（3）mangle记录的是在以上两表不够用的时候使用，包含所有五条链

####################################
4.在不完全打开服务的情况下用火墙控制访问
####################################
服务端为
172.25.254.132
查看服务的默认端口
netstat -antlupe | grep httpd

httpd服务默认端口为80，我们通过设置80端口的黑白名单控制谁可以访问

只允许32访问80端口
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.32 -j ACCEPT

只拒绝32访问80端口
firewall-cmd --direct --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.32 -j REJECT

浏览器连接看看

删除写的策略
删除只允许
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.32 -j ACCEPT

删除只拒绝
firewall-cmd --direct --remove-rule ipv4 filter INPUT 1 -p tcp --dport 80 -s 172.25.254.32 -j REJECT

重连

#################################
5.nat做地址转换
#################################

服务端为双网卡主机模拟路由器
两个ip为
172.25.254.132
1.1.1.132

客户端为
1.1.1.232

服务的打开火墙

设置地址转换
firewall-cmd --add-forward-port=port=22:proto=tcp:toport=22:toaddr=172.25.254.232

firewall-cmd --permanent --add-service=ssh

firewall-cmd --add-masquerade

真机ssh连接132后ifconfig看ip