新的

firewalld

服务就预先设计这些可能会被用到的网络环境，里面的规则除了

public (

公开网域

)

这

个½域

(zone)

之外，其它的½域则暂时为没有启动的状况。

因此，在预设的情况下，如图

20.1.2

当

中的

2

号箭头与

3

号箭头处，你只要考虑

public

那个项目即可！其他的领域等到读完服务器篇之

后再来讨论。

所以，再说一次～你只要考虑

public

这个

zone

即可喔！

.

相关设定项目

½下来图

20.1.2 4

号箭头的地方就是重点啦！防火墙规则通常需要设定的地方有：

.

服务：一般来说，如果你的

Linux server

是作为

Internet

的服务器，提供的是比½一般的服务，那么只要

处理『服务』项目即可。预设你的服务器已经提供了

ssh

与

dhcpv6-client

的服务埠口喔！

.

端口：如果你提供的服务所启用的埠口并不是正规的埠口，举例来说，为了玩

systemd

与

SELinux

我们曾

经½

ssh

的埠口调整到

222

，同时也曾经½

ftp

的埠口调整到

555

对吧！那如果你想要让人家连½来，

就不能只开放上面的『服务』项目，连这个『端口』的地方也需要调整才行！另外，

如果有某些比½特别

的服务是

CentOS

预设没有提供的，所以『服务』当然也就没有存在！这时你也可以直½透过端口来搞定

它！

.

丰富规则

(rich rule)

：如果你有『整个网域』需要放行或者是拒绝的时候，那么前两个项目就没有办法适用，

这时就得要这个项目来处理了。不过鸟哥测试了

7.1

这一版的设定，似乎怪怪的～因此，底下我们会以

firewall-cmd

来增加这一个项目的设定。

.

½面：就是这个½域主要是针对哪一个网络卡来做规范的意思，我们只有一张网卡，所以当然就是

eth0

啰！

至于『伪装』、『端口转送』、『

ICMP

过滤器』、『来源』等等我们就不½绍了！毕竟那个是网络

的东西，还不是在基础篇应该要告诉你的项目。

好了！现在假设我们的

Linux server

是要作为底下

的几个重要的服务与相关的网域功能，你该如何设定防火墙呢？

.

要作为

ssh, www, ftp, https

等等正规埠口的服务；

.

同时与前几章搭配，还需要放行

port 222

与

port 555

喔！

.

局域网络

192.168.1.0/24

这一段我们目前想要直½放行这段网域对我们服务器的联机

请注意，因为未来都要持续生效，所以请一定要去到『永久』的防火墙设定项目里头去处理！不然只

有这次开机期间会生效而已～注意注意！

好了，首先就来处理一下正规的服务埠口的放行吧！不过

因为永久的设定比½重要，因此你得要先经过授权认证才行！如下图所示。