在各種版本的Linux系統(tǒng)中，幾乎沒有能讓劉遄老師欣慰并推薦的圖形化工具，但是firewall-config做到了。它是firewalld防火墻配置管理工具的GUI（圖形用戶界面）版本，幾乎可以實現(xiàn)所有以命令行來執(zhí)行的操作。毫不夸張的說，即使讀者沒有扎實的Linux命令基礎，也完全可以通過它來妥善配置RHEL 7中的防火墻策略。firewall-config的界面如圖8-2所示，其功能具體如下。

1：選擇運行時（Runtime）模式或永久（Permanent）模式的配置。
2：可選的策略集合區(qū)域列表。
3：常用的系統(tǒng)服務列表。
4：當前正在使用的區(qū)域。
5：管理當前被選中區(qū)域中的服務。
6：管理當前被選中區(qū)域中的端口。
7：開啟或關(guān)閉SNAT（源地址轉(zhuǎn)換協(xié)議）技術(shù)。
8：設置端口轉(zhuǎn)發(fā)策略。
9：控制請求icmp服務的流量。
10：管理防火墻的富規(guī)則。
11：管理網(wǎng)卡設備。
12：被選中區(qū)域的服務，若勾選了相應服務前面的復選框，則表示允許與之相關(guān)的流量。
13：firewall-config工具的運行狀態(tài)。

圖8-2 firewall-config的界面

劉遄老師再啰嗦幾句。在使用firewall-config工具配置完防火墻策略之后，無須進行二次確認，因為只要有修改內(nèi)容，它就自動進行保存。下面進行動手實踐環(huán)節(jié)。

我們先將當前區(qū)域中請求http服務的流量設置為允許，但僅限當前生效。具體配置如圖8-3所示。

圖8-3 放行請求http服務的流量

嘗試添加一條防火墻策略規(guī)則，使其放行訪問8080～8088端口（TCP協(xié)議）的流量，并將其設置為永久生效，以達到系統(tǒng)重啟后防火墻策略依然生效的目的。在按照圖8-4所示的界面配置完畢之后，還需要在Options菜單中單擊Reload Firewalld命令，讓配置的防火墻策略立即生效（見圖8-5）。這與在命令行中執(zhí)行--reload參數(shù)的效果一樣。

圖8-4 放行訪問8080～8088端口的流量

圖8-5 讓配置的防火墻策略規(guī)則立即生效

前面在講解firewall-config工具的功能時，曾經(jīng)提到了SNAT（Source Network Address Translation，源網(wǎng)絡地址轉(zhuǎn)換）技術(shù)。SNAT是一種為了解決IP地址匱乏而設計的技術(shù)，它可以使得多個內(nèi)網(wǎng)中的用戶通過同一個外網(wǎng)IP接入Internet。該技術(shù)的應用非常廣泛，甚至可以說我們每天都在使用，只不過沒有察覺到罷了。比如，當我們通過家中的網(wǎng)關(guān)設備（比如無線路由器）訪問本書配套站點www.linuxprobe.com時，就用到了SNAT技術(shù)。

大家可以看一下在網(wǎng)絡中不使用SNAT技術(shù)（見圖8-6）和使用SNAT技術(shù)（見圖8-7）時的情況。在圖8-6所示的局域網(wǎng)中有多臺PC，如果網(wǎng)關(guān)服務器沒有應用SNAT技術(shù)，則互聯(lián)網(wǎng)中的網(wǎng)站服務器在收到PC的請求數(shù)據(jù)包，并回送響應數(shù)據(jù)包時，將無法在網(wǎng)絡中找到這個私有網(wǎng)絡的IP地址，所以PC也就收不到響應數(shù)據(jù)包了。在圖8-7所示的局域網(wǎng)中，由于網(wǎng)關(guān)服務器應用了SNAT技術(shù)，所以互聯(lián)網(wǎng)中的網(wǎng)站服務器會將響應數(shù)據(jù)包發(fā)給網(wǎng)關(guān)服務器，再由后者轉(zhuǎn)發(fā)給局域網(wǎng)中的PC。

圖8-6 沒有使用SNAT技術(shù)的網(wǎng)絡

圖8-7 使用SNAT技術(shù)處理過的網(wǎng)絡

使用iptables命令實現(xiàn)SNAT技術(shù)是一件很麻煩的事情，但是在firewall-config中卻是小菜一碟了。用戶只需按照圖8-8進行配置，并選中Masquerade zone復選框，就自動開啟了SNAT技術(shù)。

圖8-8 開啟防火墻的SNAT技術(shù)

為了讓大家直觀查看不同工具在實現(xiàn)相同功能的區(qū)別，這里使用firewall-config工具重新演示了前面使用firewall-cmd來配置防火墻策略規(guī)則，將本機888端口的流量轉(zhuǎn)發(fā)到22端口，且要求當前和長期均有效，具體如圖8-9和圖8-10所示。

圖8-9 配置本地的端口轉(zhuǎn)發(fā)

圖8-10 讓防火墻效策略規(guī)則立即生效

配置富規(guī)則，讓192.168.10.20主機訪問到本機的1234端口號，如圖8-11所示。

圖8-11 配置防火墻富規(guī)則策略

如果生產(chǎn)環(huán)境中的服務器有多塊網(wǎng)卡在同時提供服務（這種情況很常見），則對內(nèi)網(wǎng)和對外網(wǎng)提供服務的網(wǎng)卡要選擇的防火墻策略區(qū)域也是不一樣的。也就是說，可以把網(wǎng)卡與防火墻策略區(qū)域進行綁定（見圖8-12），這樣就可以使用不同的防火墻區(qū)域策略，對源自不同網(wǎng)卡的流量進行針對性的監(jiān)控，效果會更好。

最后，劉遄老師想說的是，firewall-config工具真的非常實用，很多原本復雜的長命令被用圖形化按鈕替代，設置規(guī)則也簡單明了，足以應對日常工作。所以再次向大家強調(diào)配置防火墻策略的原則—只要能實現(xiàn)所需的功能，用什么工具請隨君便。

圖8-12 把網(wǎng)卡與防火墻策略區(qū)域進行綁定