使用 firewalld 构建 Linux 动态防火墙

参考
http://www.ibm.com/developerworks/cn/linux/1507_caojh/

• 启动

sudo systemctl start firewalld.service

• 添加 http 服务到public区域

firewall-cmd --permanent --zone=public --add-service=http

• 对于nodejs应用，如果监听端口为3000，可执行命令：

firewall-cmd --permanent –zone=public –add-port=3000/tcp

• 重新加载

firewall-cmd –reload

• 检查更改是否生效

firewall-cmd --zone=public --query-port=3000/tcp

monggdb安全性思路（待验证）：

1. 防火墙封了默认的27017端口
2. 开放另一端口，如28017
3. 设置转发
4. monggoDB设置全网侦听
5. 启用用户权限机制

或者直接封死外网访问，客户端无法直接访问。