firewalld介绍

其实有个iptables-services 默认没有安装

If you are running Docker version 20.10.0 or higher with firewalld on your system with --iptables enabled, Docker automatically creates a firewalld zone called docker and inserts all the network interfaces it creates (for example, docker0) into the docker zone to allow seamless networking.

firewalld支持动态更新技术并加入了区域zone的概念。区域就是预先准备了几套策略集合/模板，方便切换。默认有9个。
/usr/lib/firewalld/zones/ 下面：block.xml dmz.xml drop.xml external.xml home.xml internal.xml public.xml trusted.xml work.xml
/etc/firewalld/zones/ 下面：docker.xml public.xml public.xml.old （这个目录下优先使用）

/usr/lib/firewalld/services/下面记录了154多个网络服务(centos7.9)的配置文件（如ssh.xml），有描述信息。
当然，比直接使用端口号，肯定是会有一些优点的。

firewalld有3种使用方式：firewall-config图形化配置、firewall-cmd命令行、直接编辑上面的xml文件

firewall-cmd --get-services #看可用的服务清单
firewall-cmd --get-zones    #可用的区域
firewall-cmd --list-ports   #开放的端口
firewall-cmd  --get-active-zones   #活动区域，如果有docker可用看到

firewall-cmd --list-all-zones #所有区域的所有配置 比如docker没什么配置；但Iptabels看的到策略

firewall-cmd --get-default-zone
firewall-cmd --get-zone-of-interface=eth0
firewall-cmd --zone=public --query-service=ssh

富规则，更细致。可以对系统服务、端口号、源/目的地址等信息进行策略配置，优先级最高。–add-rich-rule

iptables把策略交给内核层面的netfilter处理；firewalld把策略交给内核层面的nftables处理