终端管理工具,终端工具它的參數一般都是以&


  命令行終端是一種極富效率的工作方式,firewall-cmd是firewalld防火墻配置管理工具的CLI(命令行界面)版本。它的參數一般都是以“長格式”來提供的,大家不要一聽到長格式就頭大,因為RHEL 7系統支持部分命令的參數補齊,其中就包含這條命令(很酷吧)。也就是說,現在除了能用Tab鍵自動補齊命令或文件名等內容之外,還可以用Tab鍵來補齊表8-3中所示的長格式參數了(這太棒了)。

 與Linux系統中其他的防火墻策略配置工具一樣,使用firewalld配置的防火墻策略默認為運行時(Runtime)模式,又稱為當前生效模式,而且隨著系統的重啟會失效。如果想讓配置策略一直存在,就需要使用永久(Permanent)模式了,方法就是在用firewall-cmd命令正常設置防火墻策略時添加--permanent參數,這樣配置的防火墻策略就可以永久生效了。但是,永久生效模式有一個“不近人情”的特點,就是使用它設置的策略只有在系統重啟之後才能自動生效。如果想讓配置的策略立即生效,需要手動執行firewall-cmd --reload命令。

 接下來的實驗都很簡單,但是提醒大家一定要仔細查看劉遄老師使用的是Runtime模式還是Permanent模式。如果不關註這個細節,就算是正確配置了防火墻策略,也可能無法達到預期的效果。

 firewalld中的富規則表示更細致、更詳細的防火墻策略配置,它可以針對系統服務、端口號、源地址和目標地址等諸多信息進行更有針對性的策略配置。它的優先級在所有的防火墻策略中也是最高的。比如,我們可以在firewalld服務中配置一條富規則,使其拒絕192.168.10.0/24網段的所有用戶訪問本機的ssh服務(22端口)

相关内容