在较老的CentOS系统中,防火墙是用iptables控制的,但是从新版本(Fedora 18)开始,已经不再使用iptables,而是使用firewalld取而代之。
从Centos7以后,iptables服务的启动脚本已被忽略。请使用firewalld来取代iptables服务。在RHEL7里,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables。firewalld是iptables的前端控制器,用于实现持久的网络流量规则。它提供命令行和图形界面。
firewalld 与 iptables的比较:
1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效;
2,firewalld使用区域和服务而不是链式规则;
3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制;
4,firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现。也就是说,firewalld和iptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样!
firewalld是iptables的一个封装,可以让你更容易地管理iptables规则。它并不是iptables的替代品,虽然iptables命令仍可用于firewalld,但建议firewalld时仅使用firewalld命令。
使用方式区别:
iptables要给http服务添加80端口允许规则,需要在/etc/sysconfig/iptables中添加如下内容:
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
然后
systemctl stop iptables
systemctl restart iptables
systemctl enable iptables
firewalld实现同样的功能,可以用下面2种方式:
1.直接添加服务
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --reload
2.添加端口
firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --reload
当然,firewalld.service需要设为开机自启动。