艾锑无限告诉你：iptables与firewalld的区别

2020-03-10 12:09 作者：admin

 
2015年我第一次参加阿里云杭州全球云栖大会时，看到的是惊喜和无限的可能性。
 
 
“2015杭州云栖大会”于10月14日至15日在杭州云栖小镇如期召开。大会以“互联网、创新、创业”为本届主题，展现“互联网+”时代下无处不在的云计算与各行各业的交错连接，介绍云计算为产业升级和改革创新提供的源源动力，挖掘云计算助力下生生不息的创业激情和机遇。
 
2015年正式更名为“云栖大会”，阿里云的名字不再出现在会议名称中，而是更加强调云计算、大数据生态的定位。量子计算、人工智能、生物识别、深度学习等前沿的科技创新力量首次在大会亮相。大会吸引了全球超过20个国家的21500名开发者，参展企业达到219家，参与企业3000多家，现场参观超过42584人次，全球直播收看人数超过127万人，成为全球最大规模的云计算峰会之一。
 
走进会场别开生面，丰富多彩，让人忘掉了科技的冰冷，就像走进了游乐园，有运动，有演出，有游戏，有展示，有互动，4万多人把整个会场挤得水泄不通，来自全球的技术爱好者，企业家，科学家，政府官员，阿里云的合作伙伴，竞争对手，闲杂人等五花八门，你能想到的人都聚齐了。
 
甚至还有票贩子，是什么吸引了各路好汉齐聚一堂，挤破头也要参加一场听起来非常专业性的云栖大会呢?
 
除了上面说的阿里云的技术能力和运营能力以外，其实还有一个非常重要的原因，就是能亲眼见到马云马老师，甚至还能有机会与他零距离接触.
 
从2015到2018年，在这四年中马老师每年都会参加杭州云栖大会的分享，而且还会出现在云栖现场的不同地方，这让很多喜欢马老师的伙伴兴奋极了，你想你一生能有几次亲眼见到“外星人”呢.  
2015年他在主会场20分钟的分享表达了一个重要的观点，就是在未来5年无企业，不上云。上云是企业战略而不是战术，未来是一个万物互联的时代，只有那些在云上的企业才能快速有效的抓住时代变化的先机，才能使用计算的能力，才能利用好数据的价值.
 
当时听了马老师的演讲，我当刻就决定了和阿里云的合作，让艾锑无限成为了阿里云的战略合作伙伴，和阿里云一起为中小企业提供上云解决方案服务。
 
四年多过去了，马老师当年说无企业，不上云，如今，如果你不知道云，你的企业没有用云，可能你在这次的疫情中根本就没有战斗力，你都不知道别人企业是如何赢得这次疫情战斗胜利的.
 
企业上云不仅能为企业节省70%以上的成本，更能为企业提升500%以上的效率，甚至它的有些价值是无法计算的，这些年艾锑无限为上千家企业提供了上云服务，亲身经历了有一些企业上云变革后带来的增长和变化，我记得服务了一家装修行业的领头企业，在2016年这家企业因人员场地和机房成本，让这家公司举步维艰，离破产仅一步之遥，我和这家企业的CEO是好朋友，有一天我去看他，听到他和我分享现在遇到的巨大困境，我问了他几个关键的问题，最后确认了是成本不断提升，业绩却没有提高，效率低下从而导致企业经营困难，后来艾锑无限的云解决方案团队帮助他出了三个解决方案:
 
第一， 把他们现有机房近百台服务器迁到云上，释放出近百平米的机房空间和硬件运维升级成本，因为云是弹性的，可以根据企业用量来支付费用，这一下就帮他们减轻了一年上百万的硬件投入成本.
 
第二， 帮助他们打通各个管理系统，让企业内部数据更透明，让整体效率一下子就提升了上来，而且当他发现整个环节全部通透后，有1/3的人力是可以节省的，完全没必要用这么多人，这一下让他们每年节省了近200万的人力支出，这就是科技的力量，虽然对失业的员工有些残忍，但对与一家商业企业来说这是正确的选择.
 
第三， 重建营销系统，让传统的销售模式重新变革，提升人员的产出比，让全员进行销售，整体销售额提高了200%，这个时代职责和名称将会越来越模糊，谁能为企业创造价值，谁就是企业最重要的员工.
 
大家可以想象一下，一家企业人员降低原来的1/3，但销售额却提升原来的两倍，这意味着盈利能力和盈利水平呈指数级的增长，这就是变革后的成果.
 
无企业，不上云，你的企业上云了吗？  
如果你的企业还没有下云也没有关系，也许你的企业还没有遇到挑战，假如你有和我朋友同样的困境，那不妨与艾锑无限的云工程师和技术专家聊一聊，说不定就让你眼前一亮，打开了你遇到的限制和困境，从而让你的企业迈上了生长的第二春。
 
 
 艾锑无限告诉你：iptables与firewalld的区别
 
在较老的CentOS系统中，防火墙是用iptables控制的，但是从新版本（Fedora 18）开始，已经不再使用iptables，而是使用firewalld取而代之。 从Centos7以后，iptables服务的启动脚本已被忽略。请使用firewalld来取代iptables服务。在RHEL7里，默认是使用firewalld来管理netfilter子系统，不过底层调用的命令仍然是iptables。firewalld是iptables的前端控制器，用于实现持久的网络流量规则。它提供命令行和图形界面。 firewalld 与 iptables的比较：
1，firewalld可以动态修改单条规则，动态管理规则集，允许更新规则而不破坏现有会话和连接。而iptables，在修改了规则后必须得全部刷新才可以生效；
2，firewalld使用区域和服务而不是链式规则；
3，firewalld默认是拒绝的，需要设置以后才能放行。而iptables默认是允许的，需要拒绝的才去限制；
4，firewalld自身并不具备防火墙的功能，而是和iptables一样需要通过内核的netfilter来实现。也就是说，firewalld和iptables一样，它们的作用都用于维护规则，而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样！
 
firewalld是iptables的一个封装，可以让你更容易地管理iptables规则。它并不是iptables的替代品，虽然iptables命令仍可用于firewalld，但建议firewalld时仅使用firewalld命令。
 
使用方式区别：
iptables要给http服务添加80端口允许规则，需要在/etc/sysconfig/iptables中添加如下内容：
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
然后
systemctl stop iptables
systemctl restart iptables
systemctl enable iptables
 
firewalld实现同样的功能，可以用下面2种方式：
 
1.直接添加服务
firewall-cmd --permanent --zone=public --add-service=http
firewall-cmd --reload
 
2.添加端口
firewall-cmd --permanent --zone=public --add-port=80/tcp
firewall-cmd --reload
 
当然，firewalld.service需要设为开机自启动。