正文

CentOS7 firewalld相关操作与端口配置

高亚轩
高亚轩 V管理员 /0 评论 /8167 阅读
1125
此篇文章发布距今已超过1578天,您需要注意文章的内容或图片是否可用!

        建议先阅读: Firewalld的结构

1、firewalld的基本使用

  • 开启防火墙 : systemctl start firewalld

  • 关闭防火墙 : systemctl stop firewalld

  • 重启防火墙 :   systemctl start firewalld

  • 查看状态 :   systemctl status firewalld 

  • 在开机时启用一个服务:systemctl enable firewalld.service

  • 在开机时禁用一个服务:systemctl disable firewalld.service

  • 查看服务是否开机启动:systemctl is-enabled firewalld.service

  • 查看已启动的服务列表:systemctl list-unit-files|grep enabled

  • 查看启动失败的服务列表:systemctl --failed

2、配置firewalld-cmd

  • 查看版本: firewall-cmd --version

  • 查看帮助: firewall-cmd --help

  • 显示状态: firewall-cmd --state

  • 查看所有打开的端口: firewall-cmd --zone=public --list-ports

  • 查看开放的服务 : firewall-cmd --list-services

  • 更新防火墙规则: firewall-cmd --reload (重载配置文件方式不会断掉正在连接的tcp会话,而重启服务则会断开tcp会话。)

  • 查看区域信息:  firewall-cmd --get-active-zones

  • 查看指定接口所属区域: firewall-cmd --get-zone-of-interface=eth0

  • 拒绝所有包:firewall-cmd --panic-on

  • 取消拒绝状态: firewall-cmd --panic-off

  • 查看是否拒绝: firewall-cmd --query-panic

 

3、firewall防火墙及端口设置

  • 添加

        firewall-cmd --zone=public --add-port=80/tcp --permanent    (--permanent永久生效,没有此参数重启或重新加载配置后失效)

  • 重新加载配置

        firewall-cmd --reload

  • 查看指定端口状态

        firewall-cmd --zone=public --query-port=80/tcp

  • 防火墙移除指定端口

    firewall-cmd --zone=public  --remove-port=80/tcp --permanent

  • 开放mysql服务

    firewall-cmd --zone=public --add-service=mysql  --permanent 

  • 阻止mysql服务

    firewall-cmd --zone=public --remove-service=mysql  --permanent

  • 查看开放的服务

    firewall-cmd --list-services


  • 检查是否允许伪装IP

    firewall-cmd --query-masquerade

  • 允许防火墙伪装IP

    firewall-cmd --add-masquerade

  • 禁止防火墙伪装IP

    firewall-cmd --remove-masquerade

  • 端口转发

    1、80端口转发到8080(tomcat的默认端口为8080),443转发到8443(https配置的端口为8443)
         firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

         firewall-cmd --add-forward-port=port=443:proto=tcp:toport=8443

    2、将80端口的流量转发至192.168.11.11

        firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.11.11

    3、将80端口的流量转发至192.168.11.11的8080端口

        firewall-cmd --add-forward-port=port=80:proto=tcp:toaddr=192.168.11.11:toport=8080

  • 禁止Ping

    firewall-cmd --add-icmp-block=echo-request --zone=dmz --permanent

  • 响应ping

    firewall-cmd --remove-icmp-block=echo-request  --permanent

  • 富文本规则
    1、查看已有的富文本规则
    firewall-cmd --list-rich-rules
    2、对制定ip段开放端口

    firewall-cmd  --add-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="666" accept" --permanent

    3、删除富文本规则

    firewall-cmd  --remove-rich-rule="rule family="ipv4" source address="192.168.1.1/24" port protocol="tcp" port="666" accept" --permanent 


    

转载请注明出处
-- 展开阅读全文 --