目录
3:firewalld与iptables service 的区别
四:Firewalld防火墙firewall-cmd 命令设置
(1)验证 firewalld 在网站服务器上是否启动并且正常运行
(5)更改 ssh 的监听端口,并重启服务,关闭 SELinux
(2)为 dmz 区域打开 https 服务井添加 TCP 的 12345 端口
(4)因为预定于的 ssh 服务已经更改了端口,所以要将预定于 ssh 服务移除
(1)验证 firewalld 在网关服务器上是否启动并且正在运行
(2)设置默认区域为 external 区域,并查看配置结果
(3)将ens224 网卡配置到 trusted 区域,将 ens226 配置到 dmz 区域
(6)关闭SELinux,更改 ssh 的监听端口,并重启服务
(7)配置 external区域添加 TCP 的 12345 端口
(11)在互联网测试机上通过 ssh 登录网关外部接口地址的 12345 端口
(12)在企业内网测试机上 ssh 登录 web 网站服务器的 12345 端口
一:Firewalld防火墙概述
1:Firewalld简介
firewalld 的作用是为包过滤机制提供匹配规则(或称为策略),通过各种不同的规则告诉netfilter 对来自指定源、前往指定目的或具有某些协议特征的数据包采取何种处理方式为了更加方便地组织和管理防火墙,firewalld 提供了支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具。它支持 IPV4、IPv6 防火墙设置以及以太网桥,并且拥有两种配置模式:运行时配置与永久配置。它还支持服务或应用程序直接添加防火墙规则接口。
2:firewalld和iptables的关系
| 特性/工具 | firewalld | iptables |
|---|---|---|
| 功能 | 动态防火墙管理工具,通过规则管理内核的 netfilter | 直接管理内核的 netfilter 规则 |
| 底层实现 | 依赖 iptables 命令与内核 netfilter 交互 | 直接使用 iptables 命令与内核 netfilter 交互 |
| 规则持久化 | 支持运行时和永久规则配置,重启后自动加载永久规则 | 规则需手动保存(iptables-save),否则重启后丢失 |
| 动态更新 | 支持动态更新规则,无需重启服务 | 规则修改后需重新加载所有规则 |
| 管理工具 | 图形化:firewall-config、system-config-firewall;命令行:firewall-cmd |
命令行:iptables、iptables-service |
| 服务启停影响 | 重启 firewalld 会覆盖手动通过 iptables 添加的规则 | 若 firewalld 启用,iptables 规则重启后会被 firewalld 默认规则替代 |
| 适用场景 | 适合需要动态规则管理的场景(如频繁变更策略) | 适合静态规则环境或需直接控制 netfilter 的场景 |
3:firewalld与iptables service 的区别
| 对比项 | firewalld | iptables service |
|---|---|---|
| 配置文件存储位置 | /usr/lib/firewalld/(默认规则)/etc/firewalld/(用户自定义规则,XML 格式) |
/etc/sysconfig/iptables(纯文本规则文件) |
| 规则加载方式 | 动态更新:仅应用差异部分,无需完全重载规则,保持现有连接。 | 静态全量加载:每次修改需清除所有旧规则,并重新从文件读取全部规则,中断现有连接。 |
| 运行时修改 | 支持实时更新(如 firewall-cmd --reload 仅重载变更部分)。 |
必须重启服务(service iptables restart)导致所有规则重新加载。 |
| 规则持久化 | 通过 --permanent 参数保存到配置文件,需 --reload 生效。 |
直接修改 /etc/sysconfig/iptables 文件并重启服务生效。 |
| 适用场景 | 适合需要频繁调整规则或维护长期连接(如生产环境)。 | 适合规则简单、变动少的场景(如静态服务器)。 |
二:Firewalld网络区域
firewalld 将所有的网络数据流量划分为多个区域,从而简化防火墙管理。根据数据包的源 IP 地址或传入网络接口等条件,将数据流量转入相应区域的防火墙规则。对于进入系统的数据包,首先检查的就是其源地址。
1.若源地址关联到特定的区域,则执行该区域所制定的规则。
2.若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所制定的规则。
3.若网络接口未关联到特定的区域,则使用默认区域并执行该区域所制定的规则。
默认区域不是单独的区域,而是指向系统上定义的某个其他区域。默认情况下,默认区域是 public,但是系统管理员可以更改默认区域。以上匹配规则,按照先后顺序,第一个匹配的规则胜出。
在每个区域中都可以配置其要打开或者关闭的一系列服务或端口,firewalld 的每个预定义的区域都设置了默认打开的服务。下表中列出了 firewalld 的预定义区域说明。
| 区域(Zone) | 默认策略规则 | 允许的服务或流量 |
|---|---|---|
| trusted | 允许所有数据包 | 无限制(全开放) |
| home | 拒绝流入流量(除非与流出相关) | ssh, mdns, ipp-client, samba-client, dhcpv6-client |
| internal | 同 home 区域 | 同 home 区域 |
| work | 拒绝流入流量(除非与流出相关) | ssh, ipp-client, dhcpv6-client |
| public | 拒绝流入流量(除非与流出相关) | ssh, dhcpv6-client |
| external | 拒绝流入流量(除非与流出相关) | ssh |
| dmz | 拒绝流入流量(除非与流出相关) | ssh |
| block | 拒绝流入流量(除非与流出相关) | 无(仅允许响应流量) |
| drop | 拒绝流入流量(除非与流出相关) | 无(静默丢弃,无响应) |
三:Firewalld防火墙图形配置方法
在 Euler 系统中,可以使用三种方式配置 firewalld 防火墙:
firewall-config 图形工具。
firewall-cmd 命令行工具。
/etc/firewalld/中的配置文件
通常情况下,不建议直接编辑配置文件。所以本章我们只介绍 firewall-config 图形工具与firewall-cmd 命令行工具的配置方法。
firewall-config 图形化配置工具支持防火墙所有的特性,系统管理员可以通过它来改变系统或用户策略。通过 firewall-config 图形化配置工具,可以实现配置防火墙允许通过的服务、端口、伪装、端口转发、ICMP 过滤器等功能。在 Centos 7 系统中单击“应用程序”中的“杂项”,选择“防火墙”即可打开如图所示的 firewall-config 工作界面,或者直接在终端中输入 firewall-config 命令也可以打开此界面。
firewall-config 工作界面主要分为三个部分,上面是主菜单,中间是配置选项,下面是区域、服务、IPsets、ICMP 类型、直接配置、锁定白名单设置选项卡。其中,ICMP 类型、直接配置和锁定白名单选项卡只在从“査看”下拉菜单中选择之后才能看见。最底部是状态栏从左到右显示了四个信息,依次是连接状态、默认区域、锁定状态、应急模式。
firewall-config 主菜单包括四个菜单项:文件、选项、査看、帮助。其中,“选项”菜单是最重要的,主要包括以下几个选项。
| 功能/操作 | 命令示例 | 作用与说明 |
|---|---|---|
| 重新加载防火墙 | firewall-cmd --reload |
重新加载规则,使永久配置生效为运行时配置。未永久化的规则会丢失。 |
| 更改连接区域 | firewall-cmd --zone=新区域 --change-interface=接口名 |
动态修改指定接口所属的区域(需临时或永久参数)。 |
| 改变默认区域 | firewall-cmd --set-default-zone=新区域 |
修改默认区域(如 public),影响新连接接口的自动分配。 |
| 应急模式 | firewall-cmd --panic-on |
立即阻断所有流量(用于紧急安全隔离)。 关闭: firewall-cmd --panic-off。 |
| 锁定配置 | firewall-cmd --lockdown-on |
禁止非白名单应用修改防火墙规则。 需配合白名单配置( /etc/firewalld/lockdown-whitelist.xml)。 |
“配置”选项包括运行时和永久两种。运行时配置为当前使用的配置规则,永久配置规则在系统或服务重启时生效。在 firewall-config 界面中主要需要了解的是区域、服务、ICMP 等设置的选项卡。
1:“区域”选项
服务是端口、协议、模块和目标地址的组合,并且“服务”选项卡只能在“永久”配置视图中修改,运行时”配置中的服务是不可以修改的。与“区域”选项卡不同,“服务”选项卡仅包含五个子选项卡。其中,“端口”“协议”“源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。
| 组件/功能 | 说明 | 配置示例(命令行) |
|---|---|---|
| 区域(Zone) | 防火墙策略的容器,包含服务、端口、协议等规则的集合,可绑定接口或源地址。 | firewall-cmd --zone=public --add-interface=eth0 |
| 服务(Service) | 预定义的服务规则(如 ssh、http),包含端口和协议组合。 |
firewall-cmd --zone=public --add-service=http |
| 端口(Port) | 直接开放指定端口(支持TCP/UDP)。 | firewall-cmd --zone=public --add-port=8080/tcp |
| 协议(Protocol) | 允许特定协议(如 icmp、igmp)。 |
firewall-cmd --zone=public --add-protocol=icmp |
| 源端口(Source Port) | 限制流量的源端口(通常用于高级规则)。 | firewall-cmd --zone=public --add-source-port=12345/udp |
| IP 伪装(Masquerade) | 启用NAT转发,适用于外部区域(如 external)。 |
firewall-cmd --zone=external --add-masquerade |
| ICMP 过滤(ICMP Block) | 禁止特定ICMP类型(如禁止ping)。 | firewall-cmd --zone=public --add-icmp-block=echo-request |
| 绑定接口(Interface) | 将区域应用到指定网络接口(如 eth0)。 |
firewall-cmd --zone=work --change-interface=eth1 |
| 绑定源地址(Source) | 将区域应用到特定源IP或子网(如 192.168.1.0/24)。 |
firewall-cmd --zone=trusted --add-source=192.168.1.0/24 |
2:“服务”选项卡
服务是端口、协议、模块和目标地址的组合,并且“服务”选项卡只能在“永久”配置视图中修改,运行时”配置中的服务是不可以修改的。与“区域”选项卡不同,“服务”选项卡仅包含五个子选项卡其中,“端口”“协议”“源端口”这些子选项卡的作用及配置方法与“区域”选项卡中的相同。
| 组件/功能 | 说明 | 配置方法(命令行) |
|---|---|---|
| 服务(Service) | 预定义的端口、协议、模块和目标地址组合(如http、ssh),仅能在永久配置中修改。 |
firewall-cmd --permanent --new-service=my-servicefirewall-cmd --permanent --service=my-service --add-port=80/tcp |
| 端口(Port) | 定义服务使用的端口(TCP/UDP),与区域中的端口配置独立但语法相同。 | firewall-cmd --permanent --service=my-service --add-port=443/tcp |
| 协议(Protocol) | 指定服务支持的协议(如icmp、igmp)。 |
firewall-cmd --permanent --service=my-service --add-protocol=icmp |
| 源端口(Source Port) | 限制服务的源端口(高级配置)。 | firewall-cmd --permanent --service=my-service --add-source-port=12345/udp |
| 模块(Module) | 加载内核模块以支持特定服务(如nf_conntrack_ftp)。 |
firewall-cmd --permanent --service=ftp --add-module=nf_conntrack_ftp |
| 目标地址(Destination) | 指定服务的目标IP或子网(如192.168.1.1)。 |
firewall-cmd --permanent --service=my-service --add-destination=192.168.1.0/24 |
3:改变防火墙设置
要立刻改变现在的防火墙设置,须确定当前视图设定在运行时。或者,从下拉菜单中选择永久(Permanent)如下图所示,编辑下次启动系统或者防火墙重新加载时执行的设定。
在运行时(Runtime)模式下更改防火墙的设定时,一旦您启动或者清除连接服务器的复选框,选择立即生效。在 Permanent模式下更改防火墙的设定,仅仅在重新加载防火墙或者系统重启之后生效。可以使用文件菜单下的重新加载图标,或者点击选项菜单,选择重新加载防火墙。
4:修改默认分区
要设定一个将要被分配新接口的分区作为默认值,则启动 firewall-config,从菜单栏选择选项卡,由下拉菜单中选择修改默认区域,出现默认区域窗口如图所示。从给出的列表中选择您需要用的分区作为默认分区,点击确定按钮即可。
四:Firewalld防火墙firewall-cmd 命令设置
1:获取预定信息
firewall-cmd 预定义信息主要包括三种:可用的区域、可用的服务以及可用的 ICMP 阻塞类型,具体的查看命令如下所示。
[root@localhost ~]# firewall-cmd --get-zones
work drop internal external trusted home dmz public block[root@localhost ~]# firewall-cmd --get-service
RH-Satellite-6 amanda-client amanda-k5-client baculabacula-client cephceph-mondhcp
dhcpv6 dhcpv6-client dnsdocker-registry dropbox-lansyncfreeipa-ldap
freeipa-ldapsfreeipa-replication ftp high-availability http https imapimaps
ippipp-clientipseciscsi-target kadminkerberoskpasswdldapldapslibvirt
libvirt-tlsmdns mosh mountdms-wbtmysqInfsntpopenvpnpmcdpmproxypmwebapi
pmwebapis pop3 pop3s postgresqlprivoxy proxy-dhcpptppulseaudiopuppetmaster
radiusrpc-bindrsyncd samba samba-client sane smtpsmtpssnmpsnmptrap squid ssh
synergy syslog syslog-tls telnet tftptftp-client tinc tor-socks
transmission-clientvdsmvnc-serverwbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server[root@localhost ~]# firewall-cmd --get-icmptypes
destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded timestamp-replytimestamp-requestfirewall-cmd --get-icmptypes 命令的执行结果中各种阻塞类型的含义分别如下所示。
| ICMP 类型(Type) | 含义 | 典型应用场景 |
|---|---|---|
destination-unreachable |
目的地址不可达(如网络不可访问、端口关闭)。 | 阻止网络探测或故障反馈。 |
echo-reply |
应答回应(Ping 回复,即 pong)。 |
允许/阻止 Ping 响应(需配合 echo-request)。 |
parameter-problem |
数据包参数错误(如 IP 头无效)。 | 调试网络问题时临时允许。 |
redirect |
网络重定向(通知发送方使用更优路由)。 | 通常在企业内网中禁用以防止路由欺骗。 |
router-advertisement |
路由器通告(IPv6 路由广播)。 | IPv6 网络配置管理。 |
router-solicitation |
路由器征寻(主机请求路由信息)。 | IPv6 网络初始化时使用。 |
source-quench |
源端抑制(请求降低发送速率,已弃用)。 | 现代网络极少使用。 |
time-exceeded |
超时(如 TTL 耗尽)。 | 阻止 Traceroute 探测(需结合其他规则)。 |
timestamp-reply |
时间戳应答回应。 | 调试网络延迟时启用。 |
timestamp-request |
时间戳请求。 | 调试网络延迟时启用。 |
2:区域管理
使用 firewall-cmd 命令可以实现获取和管理区域,为指定区域绑定网络接口等功能。下表中列出了firewall-cmd 命令的区域管理选项说明。
| 命令选项 | 功能说明 | 使用示例 |
|---|---|---|
--get-default-zone |
显示当前默认区域 | firewall-cmd --get-default-zone |
--set-default-zone=<zone> |
设置默认区域 | firewall-cmd --set-default-zone=public |
--get-active-zones |
显示所有已激活的区域及绑定的接口 | firewall-cmd --get-active-zones |
--get-zone-of-interface=<interface> |
查询指定接口所属区域 | firewall-cmd --get-zone-of-interface=eth0 |
--zone=<zone> --add-interface=<interface> |
为指定接口绑定区域 | firewall-cmd --zone=work --add-interface=eth1 |
--zone=<zone> --change-interface=<interface> |
修改接口绑定的区域 | firewall-cmd --zone=home --change-interface=eth0 |
--zone=<zone> --remove-interface=<interface> |
移除接口的区域绑定 | firewall-cmd --zone=public --remove-interface=eth2 |
--list-all-zones |
显示所有区域及其规则 | firewall-cmd --list-all-zones |
[--zone=<zone>] --list-all |
显示指定区域的详细规则 | firewall-cmd --zone=trusted --list-all |
3:服务管理
| 项目 | 说明 | 操作示例 |
|---|---|---|
| 预定义服务目录 | /usr/lib/firewalld/services/存放系统预定义的70+服务配置文件(如 ssh.xml)。 |
ls /usr/lib/firewalld/services/ |
| 自定义服务目录 | /etc/firewalld/services/用户自定义服务需放置于此,优先级高于预定义服务。 |
cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/my-ssh.xml |
| 服务文件格式 | service-name.xml定义服务的名称、描述、端口及协议(TCP/UDP)。 |
查看示例:cat /usr/lib/firewalld/services/http.xml |
| 服务管理优势 | 1. 通过服务名(如http)而非端口号管理规则,更直观。2. 支持批量端口管理。 |
firewall-cmd --zone=public --add-service=http |
| 自定义服务流程 | 1. 复制模板到自定义目录。 2. 修改端口/协议。 3. 重载防火墙生效。 |
bash<br>cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/myapp.xml<br>vim /etc/firewalld/services/myapp.xml # 修改端口<br>firewall-cmd --reload<br> |
| 服务与区域绑定 | 将服务关联到指定区域,自动开放其定义的所有端口。 | firewall-cmd --zone=work --add-service=myapp --permanent |
service 配置具有以下优点。
通过服务名字来管理规则更加人性化。
通过服务来组织端口分组的模式更加高效,如果一个服务使用了若干个网络端口,则服务的配置文件就相当于提供了到这些端口的规则管理的批量操作快捷方式。
下表列出了 firewall-cmd 命令区域中服务管理的常用选项说明。
| 参数选项 | 功能描述 | 使用示例 | 生效范围 |
|---|---|---|---|
| 基础查询 | |||
--get-default-zone |
显示当前默认区域 | firewall-cmd --get-default-zone |
运行时 |
--get-zones |
列出所有可用区域 | firewall-cmd --get-zones |
运行时 |
--get-services |
列出所有预定义服务 | firewall-cmd --get-services |
运行时 |
--get-active-zones |
显示已激活区域及绑定的接口/IP | firewall-cmd --get-active-zones |
运行时 |
| 区域配置 | |||
--set-default-zone=<zone> |
设置默认区域(永久生效) | firewall-cmd --set-default-zone=public |
永久+运行时 |
--add-source=<IP/子网> |
将指定源IP流量导向区域 | firewall-cmd --zone=work --add-source=192.168.1.0/24 |
需--permanent |
--remove-source=<IP/子网> |
移除源IP绑定 | firewall-cmd --zone=work --remove-source=192.168.1.0/24 |
需--permanent |
--add-interface=<网卡> |
绑定网卡到区域 | firewall-cmd --zone=internal --add-interface=eth1 |
需--permanent |
--change-interface=<网卡> |
修改网卡所属区域 | firewall-cmd --zone=home --change-interface=eth0 |
需--permanent |
| 规则管理 | |||
--add-service=<服务> |
允许服务的流量 | firewall-cmd --zone=public --add-service=http |
可临时或永久 |
--remove-service=<服务> |
禁止服务的流量 | firewall-cmd --zone=public --remove-service=ssh |
可临时或永久 |
--add-port=<端口/协议> |
允许端口流量 | firewall-cmd --zone=public --add-port=8080/tcp |
可临时或永久 |
--remove-port=<端口/协议> |
禁止端口流量 | firewall-cmd --zone=public --remove-port=3306/tcp |
可临时或永久 |
| 状态控制 | |||
--list-all |
显示当前区域所有规则 | firewall-cmd --zone=public --list-all |
运行时 |
--list-all-zones |
显示所有区域的规则 | firewall-cmd --list-all-zones |
运行时 |
--reload |
重载永久配置(覆盖运行时) | firewall-cmd --reload |
永久→运行时 |
--panic-on |
启用应急模式(阻断所有流量) | firewall-cmd --panic-on |
立即生效 |
--panic-off |
关闭应急模式 | firewall-cmd --panic-off |
立即生效 |
4:端口管理
在进行服务配置时,预定义的网络服务可以使用服务名配置,服务所涉及的端口就会自动打开。但是,对于非预定义的服务只能手动为指定的区域添加端口。例如,执行以下操作即可实现在 internal 区域打开 443/TCP 端口。
若想实现在 internal 区域禁止 443/TCP 端口访问,可执行以下命令。
5:两种配置模式
| 配置模式 | 特点 | 相关命令选项 | 生效条件 |
|---|---|---|---|
| 运行时模式 (Runtime Mode) |
- 当前内存中的防火墙规则 - 重启系统或 firewalld 服务后失效 - 适合临时测试规则 |
默认模式(不加 --permanent 参数)示例: firewall-cmd --zone=public --add-service=http |
立即生效,但临时性 |
| 永久模式 (Permanent Mode) |
- 规则保存在配置文件(/etc/firewalld/)- 重启后仍然有效 - 需重载才能应用 |
--permanent示例: firewall-cmd --permanent --zone=public --add-service=http |
需执行 --reload 或重启 firewalld 服务后生效 |
| 模式转换操作 | |||
--reload |
重新加载永久配置,覆盖当前运行时规则(保持现有连接) | firewall-cmd --reload |
将永久配置同步到运行时环境 |
--runtime-to-permanent |
将当前运行时规则保存为永久配置(需谨慎操作) | firewall-cmd --runtime-to-permanent |
直接写入配置文件,需后续 --reload 确保一致性 |
四:Firewalld防火墙案例
实验环境如图:
需求描述
本案例需求描述如下。
网关服务器 ens168 网卡分配到 external(外部)区域,ens226 网卡分配到 trusted(信任)区域,ens38 网卡分配到 dmz(非军事)区域
网站服务器和网关服务器将 SSH 默认端口都改为 12345
网站服务器开启 https,过滤未加密的 http 流量,且拒绝拒绝 ping
实验步骤
1:基本参数设置
(1)在网关服务器上配置主机名
(2)开启网关服务器的路由转发功能
(3)配置web 服务器的主机名
2:网站服务器环境的搭建
(1)验证 firewalld 在网站服务器上是否启动并且正常运行
(2)安装httpd 和 mod_ssl 软件包
(3)启用并启动 httpd 服务
[root@web ~]# systemctl start httpd
[root@web ~]# systemctl enable httpd
(4)创建网站首页测试页 index.html
[root@web ~l# vi /var/www/html/index.html
test web
(5)更改 ssh 的监听端口,并重启服务,关闭 SELinux
[root@web ~]# setenforce 0
[root@web ~]# vi /etc/ssh/sshd_config
Port 12345[root@web ~]# systemctl restart sshd3:在网站服务器上配置 firewalld 防火墙
(1)设置默认区域为 dmz 区域
[root@web ~]# firewall-cmd --set-default-zone=dmz
(2)为 dmz 区域打开 https 服务井添加 TCP 的 12345 端口
[root@web ~]# firewall-cmd --zone=dmz--add-service=https--permanent
[root@web ~]# firewall-cmd --zone=dmz--add-service=http --permanent
[root@web ~]# firewall-cmd--zone=dmz--add-port=12345/tcp --permanent
(3)禁止ping
[root@web ~]# firewall-cmd --add-icmp-block=echo-request:--zone=dmz--permanent
(4)因为预定于的 ssh 服务已经更改了端口,所以要将预定于 ssh 服务移除
[root@web ~]# firewall-cmd --zone=dmz --remove-service=ssh--permanent
(5)重新加载 firewa11d 配置。并查看之前的配置
[root@web ~]# firewall-cmd --reload
[root@web ~]# firewall-cmd --list-all4:在网关服务器上配置 firewalld 防火墙
(1)验证 firewalld 在网关服务器上是否启动并且正在运行
[root@gateway-server ~]#systemctl status firewalld
(2)设置默认区域为 external 区域,并查看配置结果
[root@gateway-server ~]# firewall-cmd --set-default-zone=external
[root@gateway-server ~l#firewall-cmd --list-all(3)将ens224 网卡配置到 trusted 区域,将 ens226 配置到 dmz 区域
[root@gateway-server ~]# firewal1-cmd --change-interface=ens224 --zone=trusted --permanent
[root@gateway-server ~]# firewal1-cmd --change-interface=ens226 --zone=dmz --permanent(4)查看配置情况
[root@gateway-server ~]# firewall-cmd --get-active-zone
dmz
interfaces:ens226
external
interfaces:ens160
trusted
interfaces:ens224
(5)在企业内网测试计算机上访问网站服务器
https:192.168.2.10
(6)关闭SELinux,更改 ssh 的监听端口,并重启服务
[root@gateway-server ~]#setenforce 0
[root@gateway-server ~]# vi /etc/ssh/sshd config
Port 12345[root@gateway-server ~]#systemctl restart sshd(7)配置 external区域添加 TCP 的 12345 端口
[root@gateway-server ~]# firewall-cmd --zone=external --add-port=12345/tcp --permanent(8)配置 external 区域移除 ssh 服务
[root@gateway-server~]#firewall-cmd --zone=external.--remove-service=ssh--permanent
(9)配置external 区域禁止 ping
[root@gateway-server ~]# firewal1-cmd --zone=external --add-icmp-block=echo-request --permanent(10)重新加载防火墙配置
[root@gateway-server ~]#firewall-cmd--reload(11)在互联网测试机上通过 ssh 登录网关外部接口地址的 12345 端口
[root@localhost ~]# ssh -p 12345 100.1.1.10(12)在企业内网测试机上 ssh 登录 web 网站服务器的 12345 端口
[root@localhost ~]# ssh -p 12345 192.168.2.10