centos7下的firewalld配置问题【已解决】

eric7zhang

我的虚拟服务器有两块网卡，enp0s3和enp0s8。我的需求是把enp0s3放在work域里面，把enp0s8放在public域里面。

1，首先我已经把work域作为default，所以当前需要的操作步骤就是删除work域里面的enp0s8
[root@zabbix ~]# firewall-cmd --zone=work --list-all
work (default, active)
  interfaces: enp0s3 enp0s8
  sources:
  services: dhcpv6-client ipp-client ssh
  ports: 10050/tcp 80/tcp 10051/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

2，从返回结果看是成功的，但实际是没有成功
[root@zabbix ~]# firewall-cmd --permanent --zone=work --remove-interface=enp0s8
success

[root@zabbix ~]# firewall-cmd --zone=work --list-all
work (default, active)
  interfaces: enp0s3 enp0s8
  sources:
  services: dhcpv6-client ipp-client ssh
  ports: 10050/tcp 80/tcp 10051/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

3，只好放弃--permanent参数再次执行，执行成功。
[root@zabbix ~]# firewall-cmd --zone=work --remove-interface=enp0s8
success
[root@zabbix ~]# firewall-cmd --zone=work --list-all
work (default, active)
  interfaces: enp0s3
  sources:
  services: dhcpv6-client ipp-client ssh
  ports: 10050/tcp 80/tcp 10051/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

4，firewall-cmd --reload后reboot服务器，发现配置依旧没能改变，我不知道为什么--permanent参数会不起作用，还请各位大侠指点，谢谢。

junfer

man firewall-cmd

The permanent option --permanent can be used to set options permanently. These changes are not effective immediately, only after service restart/reload or system reboot.

eric7zhang

man这块的内容我看过了，但是我的需求应该不难，感觉有办法可以做到。现在就是不知道该怎么实现

eric7zhang

[root@localhost ~]# firewall-cmd --get-active-zones
work
  interfaces: enp0s8
public
  interfaces: enp0s3


其实我就是想让它保持这个样子，但是reboot后就恢复默认情况了，之前配置的都没有了，permanent这个参数总失效

eric7zhang

最终还是找到了解决的方法，其实# firewall-cmd --permanent --zone=work --remove-interface=enp0s8这行是已经生效了，
#firewall-cmd --zone=work --list-all 查看的时候要加上一个--permanent参数就可以了。

[root@zabbix ~]# firewall-cmd --zone=work --list-all
work
  interfaces:
  sources:
  services: dhcpv6-client ipp-client ssh
  ports: 10050/tcp 80/tcp 10051/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

[root@zabbix ~]# firewall-cmd --zone=work --list-all --permanent
work (active)
  interfaces: enp0s3
  sources:
  services: dhcpv6-client ipp-client ssh
  ports: 10050/tcp 80/tcp 10051/tcp
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

eric7zhang

还是想补充一下，其实想把某一块网卡固定在某一个zone里面，还可以在网卡的配置文件ifcfg-ethX里面加一行ZONE=public这样的参数，重启network服务后，会立即生效。这个配置和firewall-cmd --zone=public --change-interface=ethX 是一样的。

那么这里还有一个问题，如果你的default zone是public，而你偏偏对ifcfg-ethX里面添加了ZONE=home，这个时候你在firewall-cmd里面会看不到ethX加入任何zone的信息。